MUNICIPALIDAD DE GOICOECHEA · 2020. 12. 12. · MUNICIPALIDAD DE GOICOECHEA Cédula Jurídica...

21 MMO 2020 * lag-07131"

RECIBIDO

Página 1 de 1

MUNICIPALIDAD DE GOICOECHEA Cédula Jurídica 3-014-042051-23

547;744i7

MG-Al-160-2020

Goicoechea, 21 de mayo de 2020

Licenciado Rafael Ángel Brenes Vargas Alcalde Municipal

Licenciado Sahid Salazar Castro Director Administrativo-Financiero

Asunto: Auditoría Procesos de Informática (aplicaciones secundarías).

Adjunto encontraran el Estudio de Auditoria Procesos de Informática (aplicaciones secundarias) del Informe 005-2020.

El estudio de Auditoría se ejecutó de conformidad con, El Manual de Referencia para la Auditorías Internas (MARPAI), DFOE-0143, y las "Normas para el Ejercicio de Auditoría Interna en el Sector Público" dictadas por la Contraloría General de la República (Resolución R-DC-119-2009) y las "Normas Generales de Auditoría para el Sector Público" R-DC-064-2014.

Atentamente,

glymade - Lic. Daniel Arce Astorga

AUDITOR INTERNO Lic. Daniel Arce Astorga, MATI Auditor Interno

N. I lin le; po I itind de.< nec•I

inr. Administrativa - unan{ re•poru1t.m.,1

MUNICIPALIDAD DE GUCOECHEA *53 ALCALDiA MUNICIPAL DAA/mbp/loa

S Concejo Municipal Archivo de Auditoria

"TODOS COMPROMETIDOS CON EL MEJORAMIENTO DE NUESTRO CANTÓN"

Tels: (506) 2527-6618 • 2527-6631 • 2527-6688 • Fax: 2283-4464! Apdo: 1014-2100 GUADALUPE, SAN JOSÉ Correo electrónico: [email protected]

i,UNICIP/\ LI, , ) J CE ..

ALCALDLA MUN

100 2020 g (S

Página 1 de 1


Adio2AZ fida-~

MGAI-168-2020

Goicoechea, 25 de Mayo de 2020

Licenciado Rafael Ángel Vargas Brenes Alcalde Municipal

Licenciado Sahid Salazar Castro Director Administrativo Financiero

Corrección de informe 005-2020

Por instrucción del señor Auditor Interno, y en respuesta al oficio MG-AG-02870-2020, donde se solicita aclaración del informe 005-2020 Estudio de Auditoria Procesos de Informática (aplicaciones secundarias), me permito indicar que, por un error involuntario, la numeración que referencia a los hallazgos dentro de las recomendaciones, se plasmó con un consecutivo equivocado.

Adjunto se remiten las páginas del informe que han sido corregidas (páginas 19, 20 y 21), con el fin de que puedan ser incorporadas, descartando aquellas que poseen el error señalado.

Atent ente, N:• • icipalidad de

Lic. M ' l Brenes Portuguez Unidad de Auditoria Interna

Auxili e Auditoría a.i.

L4 Archivo. MBP '

cle Cicrieoechen Unen inri AtIminislrativa - Financiera

Iteren< 'ni Correspondencia

26 MAY 2112Ü

'tbit'at•CLI Hora:lit

Nombre Funcionario que Recibe

"CONSTRUYAMOS JUNT@S UN MEJOR CANTÓN"

Tels: (506) 2527-6618 • 2527-6631 • 2527-6688 • Fax: 2283-44641 Apdo: 1014-2100 GUADALUPE, SAN JOSÉ Correo electrónico: [email protected]


irded~

INFORME DE AUDITORÍA 005-2020

AUDITORÍA PROCESOS DE INFORMÁTICA (APLICACIONES SECUNDARIAS)

CONTENIDO

INTRODUCCIÓN 3 1.1. Origen 3 1.2. Objetivo(s) 3 1.3. Alcance 3 1.4. Responsabilidad de la Administración y la Auditoría 3 1.5. Comunicación de Resultados 3

RESULTADOS 4 2.1. Aspectos a mejorar en el Control Interno 4 2.2. Hallazgos o Procesos Susceptibles a Mejora 4 2.2.1. Ausencia de procedimientos internos para gestión y uso de herramienta Vision2020 4 2.2.2. Carencia de plan de implementación para incursión en sistema SICOP 7 2.2.3. Ausencia de política interna para el control y uso de la firma digital a nivel institucional 9 2.2.4. Faltante de política para la gestión interna de factura electrónica II 2.2.5. Ausencia de plan interno para acatamiento de la Directriz sobre el Desarrollo del Gobierno Digital del Bicentenario 13 2.2.6. Condiciones de seguridad físicas inadecuadas para el servidor de herramienta Vision2020 14 2.2.7. Deficiencias en la gestión de cuentas de acceso para las herramientas Vision2020 y SIPP 15 2.2.8. Directrices y disposiciones emitidas en reuniones carentes de formalización documental 17

CONCLUSIÓN GENERAL 18 RECOMENDACIONES 18

4.1. A la Alcaldía Municipal 19 4.2. A la Dirección Administrativa Financiera 21

OTROS 21 FIRMAS DE ELABORACIÓN Y APROBACIÓN 22

Auditoria Procesos de Informática (aplicaciones secundarias)

Página 1 de 22

-IODOS COMPROMETIDOS CON EL MEJORAMIENTO DE NUESTRO CANTÓN

Correo electrónico: [email protected]


I' le n

RESUMEN EJECUTIVO AUDITORÍA PROCESOS DE INFORMÁTICA (APLICACIONES SECUNDARIAS)

¿Qué se examinó?

En cumplimiento del plan anual de trabajo de la Auditoría para el período 2019, se realizó el estudio denominado Auditoría Procesos de Informática (aplicaciones secundarias), con el objetivo de revisar y evaluar la solidez y/o debilidades del Sistema de Control Interno.

El estudio se enfocó en los controles sobre las herramientas Vision2020, SICOP y SIPP, validando los controles sobre aplicación, revisión de procedimientos y regulaciones y su correcta aplicación, verificación de confiabilidad de la información, y comprobación de aplicación de las normas técnicas de tecnología de información.

¿Por qué es importante?

El uso de las tecnologías en el campo del Archivo Central, no sólo facilita la consecución de los objetivos para una correcta gestión documental, sino que también conlleva a la simplificación de trámites, la homogenización de procesos, el mejoramiento en la celeridad, accesibilidad, y disponibilidad de la información, y el cumplimiento del principio de coordinación institucional y oportuno derecho de petición, conforme a una respuesta ágil de las diferentes áreas involucradas tanto en las acciones de cara al contribuyente, como en los procedimientos operativos y administrativos internos, en acato a las directrices vigentes, que buscan la apropiada generación y conservación del expediente electrónico, e implementación de la firma digital a lo largo de todos los servicios municipales.

En torno a las compras efectuadas por el sector público se trabajó, bajo el pilar tecnológico, en la centralización del flujo, unificando las acciones de mejora y control, creando una consolidación de la herramienta en aras de una accesibilidad y transparencia de la información ante la ciudadanía, disminuyendo el grado de discrecionalidad en los procesos de adjudicación, mejorando los estándares, y generando eficiencia en el uso de los recursos con automatización, siendo así que, la incorporación al Sistema Integrado de Compras Públicas, sea un paso obligatorio para la Administración Descentralizada, lo que es vinculante para las Municipalidades.

¿Qué se encontró?

Se identificaron diversas debilidades principalmente enfocadas en la carencia de formalización documental de políticas y procedimientos para la gestión y uso de las aplicaciones secundarias vigentes en la plataforma tecnológica municipal, así como ausencia de una planificación estructurada y medible para implementación, tanto de nuevas herramientas, como de la estrategia institucional de gobierno digital y desplazamiento gradual de documentación en soporte papel hacia medios electrónicos, con sus consecuentes requerimientos en infraestructura y operatividad.

¿Qué sigue?

Conforme a los hallazgos encontrados en el desarrollo de este estudio, se emiten recomendaciones a fin de subsanar las situaciones identificadas, con lo cual se persigue un mejoramiento del Sistema de Control Interno, mismo que debe mantener un proceso de evolución y mejoramiento hacia una madurez que permita una administración razonable del ambiente de control aplicable a las distintas herramientas secundarias vigentes en la plataforma tecnológica municipal.

Auditoría Procesos de Informática (aplicaciones secundarias)

Página 2 de 22

-TODOS COM PR( )METIDOS CON EL MEJORAMIENTO DE NUESTRO CANTÓN"



.09

1. INTRODUCCIÓN INTRODUCCIÓN

1.1. Origen

Este estudio es de carácter operativo y obedece al cumplimiento de parte del Plan de Trabajo Anual de Auditoría para el año 2019, el cual ha sido puesto en conocimiento del Concejo Municipal y comunicado a la Contraloría General de la República.

El estudio se realizó con fundamento en las competencias que le confieren a la Auditoría Interna de la Municipalidad de Goicoechea, el artículo 22 de la Ley General de Control Interno.

1.2. Objetivo(s)

El objetivo general es la revisión y evaluación de la solidez y/o debilidades del Sistema de Control Interno.

1.3. Alcance

El alcance del estudio comprendió la verificación de controles sobre la aplicación, revisión de procedimientos y regulaciones conforme a la normativa vigente y su correcta aplicación, así como la verificación de confiabilidad, eficiencia y eficacia de la información, y la comprobación de aplicación de las normas técnicas de tecnología de información, para el periodo comprendido entre el 1 de Enero de 2017 y el 31 de Diciembre de 2018.

El estudio de Auditoría se ejecutó de conformidad con las "Normas para el Ejercicio de Auditoría Interna en el Sector Público" dictadas por la Contraloría General de la República (Resolución R-DC-119-2009), las "Normas Generales de Auditoría para el Sector Público" (R-DC-64-2014) y el "Manual de referencia para auditorías internas" MARPAI (DFOE-0143-2018).

1.4. Responsabilidad de la Administración y la Auditoría

La veracidad y exactitud de la información en la que se basó esta Auditoria para llegar a los resultados obtenidos en el presente informe, es responsabilidad de la Administración Activa.

La responsabilidad del profesional que realiza el estudio consiste en emitir una opinión sobre la efectividad de la gestión de los recursos de tecnología de información, así como el esfuerzo de implementación y articulación en sistemas activos tales como el Sistema de Control Interno y Sistema de Valoración de Riesgos.

1.5. Comunicación de Resultados

En el mes de marzo se entregó una copia del borrador del informe al Director Administrativo y a la jefatura de Cómputo con el objeto de obtener algunas observaciones sobre el estudio efectuado, al cual no le efectuaron ningún comentario.


Página 3 de 22

-TODOS COMPROMETIDOS CON EL MEJORAMIENTO DE NUESTRO CANTÓN"



.0 • I' 4.0 tite/evin

2. RESULTADOS

A continuación, se presentan los resultados del estudio de auditoría. Asimismo, con fundamento en los resultados obtenidos, así como en las potestades conferidas en la Ley General de Control Interno artículos 12 inciso c), 36 y 37, se emiten recomendaciones a la entidad auditada, en virtud de las circunstancias encontradas, para mejorar los controles internos, la eficiencia operativa y los resultados institucionales en cada uno de los resultados en que aplique.

2.1. Aspectos a mejorar en el Control Interno

2.1.1. Durante la validación del aprovechamiento de la herramienta Vision2020 dentro del área de Plataforma de Servicios, se observó un caso de recepción de documento firmado digitalmente por los solicitantes (asociado a trámite de patente nueva #44953), mismo que se obtuvo como un papel impreso sin obtención del documento electrónico original, por lo que se imposibilita la verificación de autenticidad y certificación que permita establecer la autoría y responsabilidad del titular, siendo que esta práctica había sido común según lo indicado por la Jefatura de Plataforma de Servicios en correo electrónico del 29 de Julio 2019. En este mismo correo electrónico, la Jefatura de Plataforma de Servicios expresó que, a partir de la visita presencial efectuada por el Auditor, se estará solicitando al contribuyente el documento electrónico que posee la firma digital respectiva.

2.2. Hallazgos o Procesos Susceptibles a Mejora

2.2.1. Ausencia de procedimientos internos para gestión y uso de herramienta Vision2020

Según consulta planteada en correo electrónico del día 19 de Junio 2019 a las diferentes jefaturas y direcciones de la Corporación Municipal, se observó que diversas áreas (Informática, Tesorería, Gestión Ambiental) desconocen la herramienta Vision2020 y sus beneficios operativos, mientras que otras solamente la utilizan para digitalizar la documentación que ha sido previamente impresa en papel (Contraloría y Plataforma de Servicios), y otras como la Proveeduría Municipal apenas están incursionando vagamente en su uso, siendo que, de igual manera, la Dirección Administrativa Financiera señala en oficio DAD 02283-2019, que hace uso de Vision2020 para consulta de documentos, no obstante, en reporte de seguridad de usuarios, se identificó que las cuentas asociadas a la Dirección Administrativa Financiera y un funcionario de la misma dirección, tiene como último ingreso fechas de 2011 y 2013 respectivamente; en este mismo reporte, se visualizó la presencia de usuarios activos asociados a funcionarios de Alcaldía, Recursos Humanos, Tesorería, Contabilidad, y la Dirección de Desarrollo Humano, cuyas fechas de último acceso data de períodos superiores a un año, evidenciando una falta de aprovechamiento del aplicativo en esas áreas.


Página 4 de 22

-TODOS COMPROMETIDOS CON El. MEJORAMIENTO DE NUESTRO CANTÓN'.



iri•f67,UC SI az

La herramienta Vision2020 posee, funcionalidades para control, envío y firma digital de correspondencia, accesibilidad para dispositivos móviles, integración con otras aplicaciones a través de WebServices, consulta pública de expedientes a través de creación de hipervínculos, y automatización de procesos documentales, sin embargo, aún ante la existencia de dichos aspectos operativos disponibles, se carece de un plan o iniciativa de revisión y valoración de los mismos, para evaluar su alineación con los objetivos institucionales y la visión tecnológica de la entidad, lo que se evidenció por medio de las respuestas recibidas en correos electrónicos de las distintas dependencias entre el 19 de Junio y 2 de Julio 2019, la entrevista realizada al Proveedor Municipal el 28 de Junio 2019, el oficio DAD 02283-2019, las respuestas a preguntas 6 y 8 del cuestionario de control interno aplicado a la Jefatura de Informática, y respuestas a interrogantes 6 y 10 del cuestionario de control interno aplicado al Director Administrativo Financiero, complementan con lo señalado en entrevista a la jefatura de computo, donde se indicó un desconocimiento de las funciones propias de la herramienta Vision2020, conocida sólo como un archivero.

Un faltante de capacitación y acercamiento de las áreas hacia la herramienta Vision2020, se ha evidenciado en el desconocimiento de la misma, señalado en correos electrónicos provenientes de Informática, Contabilidad, Recursos Humanos, y la Dirección de Gestión Ambiental, a pesar de los esfuerzos realizados por el departamento de Archivo Central para incorporar a toda la Municipalidad de manera integral, según lo señalado en entrevista inicial.

Conjuntamente con lo planteado, se evidenció, a partir de los comentarios presentados en entrevista por la Jefatura de Archivo Central, así como la respuesta obtenida a interrogante 1 y 13 del cuestionario de control interno, aplicado a la Jefatura de Informática, que se carece de políticas o procedimientos debidamente formalizados y documentados que, de manera integral, regulen la administración y aprovechamiento de la herramienta Vision2020 y la tecnología asociada a la gestión documental electrónica.

En lo que interesa, las Normas de control interno para el Sector Público (N-2-2009-CO-DFOE) indican:

"2.4 Idoneidad de/personal El personal debe reunir las competencias y valores requeridos, de conformidad con los manuales de puestos institucionales, para el desempeño de los puestos y la operación de las actividades de control respectivas. Con ese propósito, las políticas y actividades de planificación, reclutamiento, selección, motivación, promoción, evaluación del desempeño capacitación y otras relacionadas con la gestión de recursos humanos, deben dirigirse técnica y profesionalmente con miras a la contratación la retención y la actualización de personal idóneo en la cantidad que se estime suficiente para el logro de los objetivos institucionales." (Subrayado no es del original)

"5.9 Tecnologías de información El jerarca y los titulares subordinados, según sus competencias, deben propiciar el aprovechamiento de tecnologías de información que apoyen la gestión institucional mediante el manejo apropiado de la información y la implementación de soluciones ágiles y de amplio


Página 5 de 22

"TODOS COMPROMETIDOS CON FI. MEJORAMIENTO DE NUESTRO CAN I CV



alcance. Para ello deben observar la normativa relacionada con las tecnologías de información, emitida por la CGR. [...]"

Asimismo, la ley n° 8292 Ley General de Control Interno expone que:

"Artículo 15. —Actividades de control. Respecto de las actividades de control, serán deberes del jerarca y de los titulares subordinados, entre otros, los siguientes:

Documentar, mantener actualizados y divulgar internamente, las políticas, las normas y los procedimientos de control que garanticen el cumplimiento del sistema de control interno institucional y la prevención de todo aspecto que conlleve a desviar los objetivos y las metas trazados por la institución en el desempeño de sus funciones.

Documentar, mantener actualizados y divulgar internamente tanto las políticas como los procedimientos que definan claramente, entre otros asuntos, los siguientes:

v. Los controles generales comunes a todos los sistemas de información computarizados y los controles de aplicación específicos para el procesamiento de datos con software de aplicación."

"Artículo 16. —Sistemas de información. Deberá contarse con sistemas de información que permitan a la administración activa tener una gestión documental institucional, entendiendo esta como el conjunto de actividades realizadas con el fin de controlar, almacenar y, posteriormente, recuperar de modo adecuado la información producida o recibida en la organización, en el desarrollo de sus actividades, con el fin de prevenir cualquier desvío en los objetivos trazados. Dicha gestión documental deberá estar estrechamente relacionada con la gestión de la información, en la que deberán contemplarse las bases de datos corporativas y las demás aplicaciones informáticas, las cuales se constituyen en importantes fuentes de la información registrada. En cuanto a la información y comunicación, serán deberes del jerarca y de los titulares subordinados, como responsables del buen funcionamiento del sistema de información, entre otros, los siguientes:

b) Armonizar los sistemas de información con los objetivos institucionales y verificar que sean adecuados para el cuido y manejos eficientes de los recursos públicos."

Adicionalmente, las Normas técnicas para la gestión y el control de las Tecnologías de Información (N-2-2007-CO-DFOE), refieren al tema como se observa a continuación:

"1.4.5 Control de acceso La organización debe proteger la información de accesos no autorizados. Para dicho propósito debe:

d. Establecer procedimientos para la definición de perfiles, roles y niveles de privilegio, y para la identificación y autenticación para el acceso a la información, tanto para usuarios como para recursos de TI."

"4.2 Administración y operación de la plataforma tecnológica La organización debe mantener la plataforma tecnológica en óptimas condiciones y minimizar su riesgo de fallas. Para ello debe: a. Establecer y documentar los procedimientos y las responsabilidades asociados con la operación de la plataforma.


Página 6 de 22

"TODOS COMPROMETIDOS CON El. MEJORAMIENTO DE NUESTRO CANTÓN"



14 o" ir o' f; h. Definir formalmente y efectuar rutinas de respaldo, custodiar los medios de respaldo en ambientes adecuados, controlar el acceso a dichos medios y establecer procedimientos de control para los procesos de restauración."

Una falta de involucramiento del área técnica, un faltante de programas periódicos de capacitación interna, carencia de políticas y procedimientos internos a nivel tecnológico, una arraigada cultura organizacional enfocada en la generación documental en formato físico (papel), el conocimiento limitado de métodos de planificación en las diferentes áreas municipales, y una débil integración e intercomunicación entre áreas, se presentan como los aspectos que han originado la deficiencia planteada.

Esta insuficiencia podría propiciar la subutilización de recursos con su consecuente pérdida económica asociada, incursión en posibles reprocesos, información inoportuna, inaccesible o con vicios de integridad, fallas de continuidad del flujo (trasiego) de información, incumplimiento normativo, y accesos no autorizados o con dificultades para sentar responsabilidades.

2.2.2. Carencia de plan de implementación para incursión en sistema SICOP

En cuanto al proceso de implementación de la herramienta SICOP dentro de los servicios de la Municipalidad, según lo plasmado en oficios DAD 02283-2019 y PROV 0436-2019, aún se mantienen aplazadas distintas definiciones sobre parametrizaciones de la herramienta y la especificación sobre cuáles funcionarios harán uso de la misma, siendo que, a pesar de indicarse en la última nota mencionada, que el punto 3.1 del contrato se realizó, a la fecha de realización de este estudio, el sistema carece de aprovechamiento a nivel general de la institución.

A través de correo electrónico remitido el día 19 de Junio 2019, se efectuó consulta a las diferentes jefaturas y direcciones sobre el conocimiento que se posee en torno a la interacción que se tendrá con la aplicación SICOP, de la cual se validó que la Secretaria Municipal, el Jefe de Catastro, la Jefe de Cobros, la Jefe de Informática, el Contralor de Servicios, la Jefe de Plataforma de Servicios, el Director de Desarrollo Humano, la Tesorera Municipal, el Director de Gestión Ambiental y la Jefe de Recursos Humanos, aducen desconocer sobre la participación de cada una de sus áreas con esta plataforma, incluso expresando en algunos casos (Recursos Humanos y Cobros) que el departamento a su cargo tendría una utilización nula del sistema. Lo anterior se complementa con lo expuesto en entrevistas con la Jefatura de Archivo Central y la Jefatura de Informática, donde se comentó que se desconoce del tema, ya que, dentro de la institución, a la fecha se carece de divulgación sobre el impacto de implementación, así como el rol que cada funcionario desempeñará en la herramienta. Aunado a ello, la Jefatura de Catrastro y el Director de Desarrollo Humano concuerdan en que hay una carencia de capacitación en cuanto al uso del SICOP.


Página 7 de 22

"TODOS COMPROMETIDOS QN EL MEJORAMIENTO DE NUESTRO CANTÓN"



j‘idoiyryi; Sizt~

Complementario a esto, existen diversas jefaturas sin una firma digital asignada, siendo este un recurso primordial para el funcionamiento de la aplicación SICOP, y la ejecución de actividades de solicitud, aprobación y seguimiento dentro de esta herramienta.

Según se indica en oficio DAD 02283-2019, la nota PROV 0444-2019, y confirmación en entrevista con el Proveedor Municipal y la Jefatura de Informática, se carece de un plan de migración y asimilación hacia un aprovechamiento apto de la herramienta SICOP, donde se establezcan los diferentes pasos a seguir para una evolución de los métodos actuales, y una comprensión de los elementos tecnológicos implicados, permitiendo permear el conocimiento hacia todas las áreas involucradas. Aunado a esto, en entrevista (previamente mencionada) con el Proveedor Municipal, así como las respuestas a cuestionario de control interno aplicado a la Jefatura de Informática, se evidenció la ausencia de políticas o reglamentos internos relacionados con la gestión y uso de SICOP dentro de la Municipalidad

Al respecto, las Normas de Control Interno para el Sector Público (N-2-2009-CO-DFOE) señalan lo siguiente:

"2.2 Compromiso superior El jerarca y los titulares subordinados, según sus competencias, deben apoyar constantemente el SCI, al menos por los siguientes medios:

c. El fomento de la comunicación transparente y de técnicas de trabajo que promuevan la lealtad, el desempeño eficaz y el logro de los objetivos institucionales, así como una cultura que incentive, entre los miembros de la institución, el reconocimiento del control como parte integrante de los sistemas institucionales."

"4.2 Requisitos de las actividades de control Las actividades de control deben reunir los siguientes requisitos: e. Documentación. Las actividades de control deben documentarse mediante su incorporación en los manuales de procedimientos, en las descripciones de puestos y procesos, o en documentos de naturaleza similar. Esa documentación debe estar disponible, en forma ordenada conforme a criterios previamente establecidos, para su uso, consulta y evaluación."

De igual manera, las Normas Técnicas para la Gestión y el Control de las Tecnologías de Información (N-2-2007-CO-DFOE), hacen mención a diversos aspectos relacionados con este hallazgo, a saber:

"1.4.6 Seguridad en la implementación y mantenimiento de software e infraestructura tecnológica La organización debe mantener la integridad de los procesos de implementación y mantenimiento de software e infraestructura tecnológica y evitar el acceso no autorizado, daño o pérdida de información. Para ello debe: a. Definir previamente los requerimientos de seguridad que deben ser considerados en la implementación y mantenimiento de software e infraestructura."

"3.1 Consideraciones generales de la implementación de TI La organización debe implementar y mantener las TI requeridas en concordancia con su marco estratégico, planificación, modelo de arquitectura de información e infraestructura tecnológica. Para esa implementación y mantenimiento debe:

Auditorio Procesos de Informática (aplicaciones secundarias) Página 8 de 22

—TODOS COMPROMETIDOS CON EI. MEJORAMIENTO DE NUESTRO CANTÓN"



Yrde4zin lb I'

Garantizar la participación activa de las unidades o áreas usuarias, las cuales deben tener una asignación clara de responsabilidades y aprobar formalmente las implementaciones realizadas.

Instaurar líderes de proyecto con una asignación clara, detallada y documentada de su autoridad y responsabilidad. 1.1

Contar con una definición clara, completa y oportuna de los requerimientos, como parte de los cuales debe incorporar aspectos de control, seguridad y auditoría bajo un contexto de costo—beneficio.

Tomar las previsiones correspondientes para garantizar la disponibilidad de los recursos económicos, técnicos y humanos requeridos.

Formular y ejecutar estrategias de implementación que incluyan todas las medidas para minimizar el riesgo de que los proyectos no logren sus objetivos, no satisfagan los requerimientos o no cumplan con los términos de tiempo y costo preestablecidos."

"4.5.2 Gestión de proyectos El jerarca y los titulares subordinados, según sus competencias, deben establecer, vigilar el cumplimiento y perfeccionar las actividades de control necesarias para garantizar razonablemente la correcta planificación y gestión de los proyectos que la institución emprenda, incluyendo los proyectos de obra pública relativos a construcciones nuevas o al mejoramiento, adición, rehabilitación o reconstrucción de las ya existentes."

El faltante de políticas y procedimientos internos a nivel tecnológico y de gestión de proyectos, una arraigada cultura organizacional enfocada en la incursión en proyectos administrativos sin planificación operativa previa, la débil integración e intercomunicación entre áreas, faltante de programas de capacitación internos, y existencia de recelo ante incursión en avances tecnológicos, se consideran como causas de esta situación.

La situación expuesta puede conllevar a un uso ineficiente de recursos, incursión en reprocesos, incumplimiento normativo con su aplicación de sanciones, retrasos en servicios o ejecución del plan operativo, fuerte resistencia al cambio, información inexacta o inoportuna, así como dificultad para sentar responsabilidades.

2.2.3. Ausencia de política interna para el control y uso de la firma digital a nivel institucional

A la fecha de realización de este estudio, la Municipalidad adolece de una política o reglamente interno que regule el uso, validación, seguimiento, incentivo de aprovechamiento e incursión en capacitación asociada con la firma digital a nivel institucional, según se validó en entrevistas con el Departamento de Archivo Central, la Proveeduría Municipal y el Departamento de Informática, así como la nota DJ 245-2019, las múltiples respuestas recibidas en correo electrónico por parte de las distintas jefaturas y direcciones de la Corporación Municipal según la cuarta consulta planteada por el Auditor por dicho medio el día 19 de Junio 2019, y respuesta a cuestionario de control interno aplicado a la Jefatura de Informática. En nota DAD 02283-2019, la DAF señaló que se encuentra en estudio la propuesta de reglamento y política relacionada, la cual estaba

Auditorio. Procesos de Informática (aplicaciones secundarias)

Página 9 de 22




ids 013 „o st

en espera de un pronunciamiento por parte del Archivo Nacional, mismo que ha sido recibido y se procederá a continuar el proceso respectivo.

Según lo expresado por el Director Administrativo Financiero en oficio DAD 02283-2019, se ha instruido el uso de la firma digital solamente para emisión de comunicaciones externas, estando a la espera de presentación de una propuesta para un sistema informático que permita conservar la seguridad de los documentos emitidos electrónicamente.

Aunado a lo anterior, se verificó la ausencia de dispositivos de firma digital asignados a distintos funcionarios clave, como el Proveedor Municipal, el Contralor de Servicios, Jefe de Plataforma de Servicios, Jefe de Cobro y Patentes, Director de Desarrollo Humano, Director de Gestión Ambiental, y Director Jurídico, ante respuestas brindadas en correos electrónicos y oficio DJ 245-2019, dificultando así la evolución de los procesos y servicios hacia un enfoque sistemático basado en medios electrónicos.

A esto se suma que, a través de réplica expresada en torno a la sétima interpelación del cuestionario de control interno a la Jefatura de Informática, se indicó que la Corporación Municipal no ha incurrido en procesos de capacitación al personal sobre temas de aprovechamiento, cuidado, interpretación y validación de firmas digitales, dado que la incursión en el tema se limitó a una reunión donde se expresó las circunstancias en las que podría ser usada.

En este sentido, las Normas de Control Interno para el Sector Público emitidas por la

Contraloría General de la República, determinan lo siguiente:

"2.4 Idoneidad del personal El personal debe reunir las competencias y valores requeridos, de conformidad con los manuales de puestos institucionales, para el desempeño de los puestos y la operación de las actividades de control respectivas. Con ese propósito, las políticas y actividades de planificación, reclutamiento, selección, motivación, promoción, evaluación del desempeño capacitación y otras relacionadas con la gestión de recursos humanos, deben dirigirse técnica y profesionalmente con miras a la contratación, la retención y la actualización de personal idóneo en la cantidad que se estime suficiente para el logro de los objetivos institucionales." (Subrayado no es del original)

Complementario a ello, la Ley de Certificados, Firmas Digitales y Documentos Electrónicos n° 8454, añade:

"Artículo 2°—Principios En materia de certificados, firmas digitales y documentos electrónicos, la implementación, interpretación y aplicación de esta Ley deberán observar los siguientes principios:

Regulación legal mínima y desregulación de trámites. Autonomía de la voluntad de los particulares para reglar sus relaciones. Utilización, con las limitaciones legales, de reglamentos autónomos por la Administración

Pública para desarrollar la organización y el servicio, interno o externo. Igualdad de tratamiento para las tecnologías de generación, proceso o almacenamiento

involucradas."


Página 10 de 22

--10DOS iMPROMETIDOS CON EL MEJORAMIENTO DE NUESTRO CANTÓN"



g7, .0 ir z

"Artículo 33. —Reglamentación El Poder Ejecutivo reglamentará esta Ley dentro de los seis meses siguientes a su publicación. Además, para el trámite eficiente de sus asuntos, cada dependencia pública podrá adoptar /as medidas particulares de aplicación de esta Ley de acuerdo con sus necesidades."

En adición, el Artículo 4 del Reglamento a la Ley de Certificados, Firmas Digitales y

Documentos Electrónico, define lo siguiente:

"Con excepción de aquellos trámites que necesariamente requieran la presencia física del ciudadano, o que éste opte por realizarlos de ese modo, el Estado y todas las dependencias públicas incentivarán el uso de documentos electrónicos, certificados y firmas digitales para la prestación directa de servicios a los administrados, así como para facilitar la recepción, tramitación y resolución electrónica de sus gestiones y la comunicación del resultado correspondiente."

El escenario encontrado tiene como causas la ausencia de proyección digital sobre los servicios municipales, el recelo y proteccionismo ante eventuales avances tecnológicos, una falta de control, formalización y seguimiento en las directrices planteadas, el faltante de programas de capacitación internos, la práctica común de regulación de procesos sin presencia de políticas o procedimientos documentados, y la falta de esclarecimiento sobre el alcance del uso de la firma digital dentro de las instituciones públicas.

Dadas estas circunstancias, la Municipalidad podría percibir sus efectos en procesos ineficientes ante uso limitado de la tecnología, denegación de servicios ante desconocimiento de la metodología, incumplimiento normativo, uso ineficiente de los recursos, fuerte tendencia a la obsolescencia de métodos de prestación de servicios, recepción de documentos inválidos o falsificados, riesgo de fraude o suplantación de identidad, vicios de confidencialidad en el uso del dispositivo, y dificultad para la futura migración hacia documentación producida por medios electrónicos.

2.2.4. Faltante de política para la gestión interna de factura electrónica

En entrevista con el Proveedor Municipal y contestación a cuestionario de control interno aplicado a la Jefatura de Informática, se validó que la Municipalidad ha tratado la recepción, manejo y almacenamiento de facturas electrónicas sin una política o reglamento interno asociado, limitando las acciones a una reunión y la presentación de la nota DT-69-2018 como una directriz según el oficio AG-01426-2016, donde solamente se insta a utilizar el mencionado medio de facturación para todas las contrataciones administrativas ejecutadas

Sobre el tema en cuestión, se presenta lo indicado en el artículo 110 de la Resolución Comprobantes Electrónicos DGT-R-48-2016, que determina lo siguiente:

"El envío de los archivos XML a la Dirección General de Tributación para su respectiva validación no exime a los obligados tributarios de la obligación de almacenar y conservar en soporte electrónico, todos aquellos comprobantes electrónicos generados, enviados y recibidos, así como los documentos asociados, los cuales deben de ser almacenados por un plazo de cinco años conforme a lo establecido en el articulo 109 del Código Tributario, excepto

Auditorio Procesos de Informática (aplicaciones secundarias)

Página II de 22

—TODOS COMPROMETIDOS CON EL MEJORAMIENTO DE NUESTRO CAN I ON



t7,

para los casos indicados en el segundo párrafo del artículo 51 del citado Código, que establece un plazo de diez años. Asimismo, se debe garantizar la inalterabilidad, privacidad, legibilidad, accesibilidad, preservación, con fidencialidad, autenticidad, integridad y consulta posterior de la información de los archivos XML. Lo anterior, sin perjuicio de lo establecido en el artículo 7 de la Ley del Impuesto sobre la Renta, y los artículos 54 y 56 de su Reglamento. Además, las áreas físicas donde se almacene la información de los comprobantes electrónicos deben contar con los controles para evitar riesgos, daños, pérdida, destrucción, alteración, sustracción o divulgación, así como contar con planes de evaluación, que permitan valorar la eficiencia de los controles asociados al almacenamiento de la información."

Asimismo, las Normas de Control Interno para el Sector Público, para aspectos de gestión interna, establecen que:

"4.1 Actividades de control El jerarca y los titulares subordinados, según sus competencias, deben diseñar, adoptar, evaluar y perfeccionar, como parte del SCI, las actividades de control pertinentes, las que comprenden las políticas, los procedimientos y los mecanismos que contribuyen a asegurar razonablemente la operación y el fortalecimiento del SCI y el logro de los objetivos institucionales. Dichas actividades deben ser dinámicas, a fin de introducirles las mejoras que procedan en virtud de los requisitos que deben cumplir para garantizar razonablemente su efectividad. El ámbito de aplicación de tales actividades de control debe estar referido a todos los niveles y funciones de la institución. En ese sentido, la gestión institucional y la operación del SCI deben contemplar, de acuerdo con los niveles de complejidad y riesgo involucrados, actividades de control de naturaleza previa, concomitante, posterior o una conjunción de ellas. Lo anterior, debe hacer posible la prevención, la detección y la corrección ante debilidades del SCI y respecto de los objetivos, así como ante indicios de la eventual materialización de un riesgo relevante."

"4.2 Requisitos de las actividades de control Las actividades de control deben reunir los siguientes requisitos:

Documentación. Las actividades de control deben documentarse mediante su incorporación en los manuales de procedimientos, en las descripciones de puestos y procesos, o en documentos de naturaleza similar. Esa documentación debe estar disponible, en forma ordenada conforme a criterios previamente establecidos, para su uso, consulta y evaluación.

Divulgación. Las actividades de control deben ser de conocimiento general, y comunicarse a los funcionarios que deben aplicarlas en el desempeño de sus cargos. Dicha comunicación debe darse preferiblemente por escrito, en términos claros y específicos."

La principal causa de lo previamente enunciado radica en la práctica de regulación de procesos sin presencia de políticas o procedimientos documentados, conjuntamente con una falta de control, formalización y seguimiento en las directrices planteadas, un faltante de programas de capacitación internos, y el desconocimiento de relevancia en la gestión interna del tema.

Un uso ineficiente de recursos, la denegación de servicios ante inaccesibilidad o fallos de disponibilidad, incumplimiento normativo, pérdida de información, y poca claridad en designación de responsabilidades, son efectos asociados a la presencia del mencionado hallazgo.


Página 12 de 22

"TODOS COMPROMETIDOS CON EL MEJORAMIENTO DE NUESTRO CAN I (IV



2.2.5. Ausencia de plan interno para acatamiento de la Directriz sobre el Desarrollo del Gobierno Digital del Bicentenario

Se carece de una agenda institucional para la atención de las estipulaciones emitidas en la directriz n° 019-MP-MICITT relacionada con el Desarrollo del Gobierno Digital del Bicentenario, donde se requiere la implementación de trámites y servicios haciendo uso de medios electrónicos accesibles a la ciudadanía sobre enfoque de gobierno digital, y el desplazamiento gradual del uso y conservación de documentos en soporte papel, siendo que, según lo expuesto en oficio DAD 02283-2019, el Director Administrativo Financiero señaló que el cumplimiento de dicha directriz no compete a las municipalidades (aduciendo que las mismas no forman parte de la Administración Descentralizada "conforme al organigrama del Sector Público y lo dispuesto en la Constitución Política"), además de existir afectaciones en la actualización de la plataforma tecnológica utilizada para resolución de trámites a la comunidad, lo cual imposibilita definir una estrategia al respecto, confirmando esta ausencia en cuestionario aplicado a la Jefatura de Informática.

La principal base normativa relacionada con este hallazgo corresponde propiamente a la mencionada directriz n° 019-MP-MICITT Desarrollo del Gobierno Digital del Bicentenario, la cual define lo siguiente:

"Artículo 1°- Se ordena a la Administración Central y se instruye a la Administración Descentralizada a tomar las medidas administrativas, técnicas y financieras necesarias para la consecución de los objetivos del Gobierno Digital del Bicentenario"

"Articulo 2°-Se formará el Grupo Interinstitucional de Gobierno Digital, para lo cual las instituciones de la Administración Central y Descentralizada deberán designar dos funcionarios: un enlace que será el representante ante el Grupo y su respectivo suplente. Esta designación se hará mediante documento oficial que será remitido por el jerarca máximo de cada institución al Ministro de Ciencia, Tecnología y Telecomunicaciones, en los próximos 15 días después de la publicación de la presente directriz."

"Artículo 3°- Se ordena a los jerarcas de la Administración Central y se instruye a los jerarcas de la Administración Descentralizada, a implementar las siguientes medidas de Gobierno Digital:

b) Definir una Agenda Institucional de Gobierno Digital, que constituya la estrategia en la cual se definan los proyectos, metas, indicadores y responsables de las iniciativas institucionales que se desarrollen para atender todas las disposiciones de esta directriz. La Agenda Institucional de Gobierno Digital deberá alinear los esfuerzos institucionales con la estrategia de Gobierno Digital del Bicentenario. El formato, contenidos, fecha de remisión y plazos relativos a la Agenda Institucional de Gobierno Digital serán definidos por el MICITT, y comunicados a través de los enlaces institucionales."

"Artículo 5°- Las instituciones de la Administración Central y Descentralizada deberán implementar las directrices técnicas y la normativa sobre Gobierno Digital, que al efecto sea emitida por el Ministerio de Ciencia, Tecnología y Telecomunicaciones, en su condición de rector. La normativa que emita el Ministerio de Ciencia, Tecnología y Telecomunicaciones deberá potenciar las mejores prácticas internacionales en materia de interoperabilidad,


Página 13 de 22

'TODOS COMPROMETIDOS CON EL MEJORAMIENTO DE NUESTRO CANTÓN"



S-e/4~

neutralidad tecnológica, firma digital, autenticación y gestión de atributos ciudadanos, ciberseguridad, escalabilidad, experiencia del usuario y continuidad del negocia"

Esta falencia se ha suscitado a raíz de la percepción, por parte de altos jerarcas, de que el alcance de esta directriz es ajeno a la institución, además de la existencia de un rezago tecnológico en la plataforma municipal, la práctica común de ejecución de proyectos administrativos sin planificación operativa documentada, y el limitado impulso y compromiso dado a la innovación y cambios tecnológicos.

La situación expuesta conduce a un inminente incumplimiento normativo, así como a procesos y servicios obsoletos, denegación de servicios dada la metodología buscada por el contribuyente, degradación de imagen, y posibles pérdidas económicas ante proyectos sin planificación o ejecutados con premura.

2.2.6. Condiciones de seguridad físicas inadecuadas para el servidor de herramienta Vision2020

Por medio de una visita presencial al área donde se ubica el centro de datos de la Municipalidad, mismo que comparte espacio físico con la sección de cubículos de trabajo de los funcionarios del Departamento de Informática, se visualizó cercanía con elementos eléctricos que pueden generar estática perjudicial para los equipos informáticos, presencia de un piso falso con aperturas que facilitan el ingreso de polvo y humedad, libre tránsito por el área, el servidor de la herramienta Vision2020 sin anclaje (atornillado) al rack, y cableado sin identificación y orden establecido. Estas condiciones fueron previamente identificadas en informe 007-2018 Auditoría de Seguridad Física y Lógica en el Proceso de Cómputo, generando las recomendaciones 4.1.3 y 4.1.5, y para las que, en entrevista con la Jefatura de Informática el mismo día de la visita, se señaló que el proyecto de traslado del centro de datos ya ha sido planteado y se espera su ejecución entre el año 2019 y 2020.

En lo que atañe a esta condición, las Normas Técnicas para la Gestión y el Control de las Tecnologías de Información, determinan lo siguiente:

"1.4.3 Seguridad física y ambiental La organización debe proteger los recursos de TI estableciendo un ambiente físico seguro y controlado, con medidas de protección suficientemente fundamentadas en políticas vigentes y análisis de riesgos. Como parte de esa protección debe considerar:

Los controles de acceso a las instalaciones: seguridad perimetral, mecanismos de control de acceso a recintos o áreas de trabajo, protección de oficinas, separación adecuada de áreas.

La ubicación física segura de los recursos de TI. El ingreso y salida de equipos de la organización.

La continuidad, seguridad y control del suministro de energía eléctrica, del cableado de datos y de las comunicaciones inalámbricas.

El acceso de terceros. Los riesgos asociados con el ambiente."

"1.4.7 Continuidad de los servicios de TI


Página 14 de 22

"TODOS COM PROMETIDOS CON EL MEJORAMIENTO DE NUESTRO CANTÓN"

Correo electrónico: dan [email protected]


t/, I' d e " La organización debe mantener una continuidad razonable de sus procesos y su interrupción no debe afectar significativamente a sus usuarios. Como parte de ese esfuerzo debe documentar y poner en práctica, en forma efectiva y oportuna, las acciones preventivas y correctivas necesarias con base en los planes de mediano y largo plazo de la organización, la evaluación e impacto de los riesgos y la clasificación de sus recursos de TI según su criticidad."

Asimismo, las Regulaciones Técnicas Generales y de Acatamiento Obligatorio en el Sistema Nacional de Archivos para la Gestión de Documentos Producidos por Medios Automáticos, definen, en su acápite II en Materia de Conservación, lo detallado a continuación:

"1) Proveer de espacio físico con las condiciones ambientales idóneas y el mobiliario adecuado para conservar los documentos en soporte electrónico. Para los depósitos de almacenamiento de documentos en este soporte se deben evitar los cambios bruscos de temperatura y humedad. La temperatura debe estar entre 16 °C a 20 °C y una humedad relativa entre 30 % a 40%.

4) Conservar los soportes en lugares libres de polvo y suciedad 1.1 6) No almacenar los documentos cerca de campos magnéticos, para evitar alteración o pérdida de datos 1..1 8) Disponer de un programa de revisión y limpieza frecuente de estos soportes, con el objeto de minimizare! riesgo de daños por su uso constante."

La falta de planificación y proyección institucional en torno al acelerado avance tecnológico y sus riesgos asociados, las limitaciones físicas relacionadas con el estado actual del inmueble como patrimonio cultural, y el poco enfoque e impulso hacia el mejoramiento y evolución de la plataforma tecnológica institucional, se presentan como los aspectos que han originado la deficiencia planteada.

Dadas estas circunstancias, la Municipalidad podría percibir sus efectos en sanciones debido a un incumplimiento normativo, accesos no autorizados, daños físicos accidentales o intencionales perpetrados contra la infraestructura tecnológica, denegación de servicios, pérdida o corrupción de la información, o pérdidas económicas.

2.2.7. Deficiencias en la gestión de cuentas de acceso para las herramientas Vision2020 y SIPP

En revisión del "Reporte Seguridad VS2020 200619" recibido por correo electrónico del 20 de junio 2019 por parte de la Jefatura de Archivo Central, se validó que existen 45 cuentas de usuario activas que superan los seis meses de inactividad, sin que éstas presenten un estado de bloqueo.

Adicionalmente, según pregunta efectuada al área de Recursos Humanos por correo electrónico el 10 de Julio 2019, con respuesta el 17 de Julio 2019, se consultó el estado de los empleados figurados en el listado de usuarios activos (proveniente del reporte previamente citado), siendo que, se identificó que la cuenta de Ericka Zamora Leandro


Página 15 de 22

1 ODOS COMPROMETIDOS CON El MEJORAMIENTO DE NUESTRO CANTÓN"



ti', 40 o'

corresponde a un exfuncionario, y la cuenta asociada a Cristian Marín Rojas responde a una persona ajena a la institución.

Conforme a revisión en página web de la herramienta SIPP, se validó que la Contadora Municipal mantiene activos dos perfiles de usuario bajo los roles INSTIT _JERARCA e INSTITUCIONES, siendo que, según lo señalado, solamente desempeña labores de Digitadora Suplente. Ante esto, se procedió a elevar consulta a la Contraloría General de la República por medio de correo electrónico del día 22 de Julio 2019, con el fin de conocer los roles específicos asignados a cada colaborador, para lo cual se conoció que dicha cuenta posee rol tanto de Digitador como de Validador, representando un conflicto de segregación.

Al respecto, las Normas Técnicas para la Gestión y el Control de las Tecnologías de Información (N-2-2007-CO-DFOE), en su sección 1.4.5 Control de acceso, señalan lo siguiente:

"La organización debe proteger la información de accesos no autorizados. Para dicho propósito debe:

f Implementar el uso y control de medios de autenticación (identificación de usuario, contraseñas y otros medios) que permitan identificar y responsabilizar a quienes utilizan los recursos de TI. Ello debe acompañarse de un procedimiento que contemple la requisición, aprobación, establecimiento, suspensión y desactivación de tales medios de autenticación, así como para su revisión y actualización periódica y atención de usos irregulares."

En adición, las Normas de Control Interno para el Sector Público (N-2-2009-CO-DFOE), determinan que:

"2.5.1 Delegación de funciones El jerarca y los titulares subordinados, según sus competencias, deben asegurarse de que la delegación de funciones se realice de conformidad con el bloque de legalidad, y de que conlleve la exigencia de la responsabilidad correspondiente y la asignación de la autoridad necesaria para que los funcionarios respectivos puedan tomar las decisiones y emprender las acciones pertinentes."

"25.3 Separación de funciones incompatibles y del procesamiento de transacciones El jerarca y los titulares subordinados, según sus competencias, deben asegurarse de que las funciones incompatibles, se separen y distribuyan entre los diferentes puestos; así también, que las fases de autorización, aprobación, ejecución y registro de una transacción, y la custodia de activos, estén distribuidas entre las unidades de la institución, de modo tal que una sola persona o unidad no tenga el control por la totalidad de ese conjunto de labores. Cuando por situaciones excepcionales, por disponibilidad de recursos, la separación y distribución de funciones no sea posible debe fundamentarse la causa del impedimento. En todo caso, deben implantarse los controles alternativos que aseguren razonablemente el adecuado desempeño de los responsables."

Complementario a ello, las Directrices Generales a los Sujetos Pasivos de da Contraloría General de la República para el Adecuado Registro o Incorporación y Validación de Información en el Sistema de Información sobre Presupuestos Públicos (SIPP), añaden:


Página 16 de 22




, 12", e A y n,

"Y—Designación de los encargados del registro o incorporación y validación de información en el SIPP. El superior jerarca de cada Administración deberá designar a un funcionario y su sustituto, para que registre o incorpore en el SIPP la información correspondiente. Asimismo, deberá designar a otro funcionario y su sustituto para que se encargue de validar la información que se registró o se incorporó en el SIPP, con el propósito de garantizar su veracidad y exactitud respecto de la información que se utiliza internamente en cada Administración."

"6°—Definición de procedimientos internos. El superior jerarca de cada Administración deberá establecer los procedimientos internos para el registro o la incorporación y la validación de los datos requeridos por el SIPP, que contemplen, entre otros aspectos, las responsabilidades de las unidades y funcionarios que intervengan en ellos, con el fin de garantizar que la información a incluir en el Sistema sea exacta, confiable y oportuna."

El escenario encontrado tiene como causas la ausencia de políticas de gestión sobre la plataforma tecnológica institucional, el desconocimiento de la relevancia en el tema, y la ausencia de una práctica común de seguimiento sobre la seguridad informática.

Esta deficiencia podría propiciar la presencia de accesos no autorizados, pérdida o hurto de información, conflicto de intereses, incumplimiento normativo, y un uso ineficiente de recursos.

2.2.8. Directrices y disposiciones emitidas en reuniones carentes de formalización documental

Conforme a lo expresado por la Jefatura de Informática en entrevista, la incursión en el tema de firma digital dentro de la Corporación Municipal se ha limitado a una reunión, carente de minuta, con funcionarios de rango de jefatura, donde se expresó las circunstancias en las que podría ser usada, siendo que, en oficio DAD 02283-2019 la Dirección Administrativa Financiera menciona a la Auditoría Interna que la autorización y aplicación de este método se da en trámites que se requieran a entidades externas.

De igual manera, la gestión de facturas electrónicas dentro de la Municipalidad se ha basado en las directivas emanadas en reunión con la Dirección Administrativa Financiera, carente de minuta u oficio de especificación y formalización, donde se definió crear una dirección de correo electrónico para recepción, según se indicó en punto 4 de nota DAD 02283-2019 y entrevistas con el Proveedor Municipal y la Jefatura de Informática

En lo que interesa, las Normas de Control Interno para el Sector Público, definen lo siguiente:

"1.4 Responsabilidad del jerarca y los titulares subordinados sobre el SCI La responsabilidad por el establecimiento, mantenimiento, funcionamiento, perfeccionamiento y evaluación del SCI es inherente al jerarca y a los titulares subordinados, en el ámbito de sus competencias. En el cumplimiento de esa responsabilidad las autoridades citadas deben dar especial énfasis a áreas consideradas relevantes con base en criterios tales como su materialidad, el riesgo asociado y su impacto en la consecución de los fines institucionales, incluyendo lo relativo a la desconcentración de competencias y la contratación de servicios de apoyo. Como parte de ello, deben contemplar, entre otros asuntos, los siguientes:

Auditoría Procesos de informática (aplicaciones secundarias)

Página 17 de 22

"TODOS COMPROMETIDOS CON El. MEJORAMIENTO DE NUESTRO CANTÓN"



g7, O' II Lift-de4~

c. La emisión de instrucciones a fin de que las políticas, normas y procedimientos para el cumplimiento del SCI, estén debidamente documentados, oficializados y actualizados, y sean divulgados y puestos a disposición para su consulta."

"4.2 Requisitos de las actividades de control Las actividades de control deben reunir los siguientes requisitos:

Documentación. Las actividades de control deben documentarse mediante su incorporación en los manuales de procedimientos, en las descripciones de puestos y procesos, o en documentos de naturaleza similar. Esa documentación debe estar disponible, en forma ordenada conforme a criterios previamente establecidos, para su uso, consulta y evaluación.

Divulgación. Las actividades de control deben ser de conocimiento general, y comunicarse a los funcionarios que deben aplicarlas en el desempeño de sus cargos. Dicha comunicación debe darse preferiblemente por escrito, en términos claros y específicos."

Este hallazgo se origina al ser una práctica común desarrollada debido a la cultura organizacional de la Municipalidad, aunado al limitado enfoque brindado a la formalización documentada de los distintos procesos y las decisiones sobre gobernabilidad institucional emitidas en sesiones conjuntas.

La situación expuesta puede conllevar a la poca claridad de las acciones a desarrollar, imposibilidad para sentar responsabilidades, una ejecución ineficiente de tareas, actividades ambiguas o inconsistentes en el tiempo, e incluso una distribución limitada del conocimiento y accionar del entorno integral de la institución.

3. CONCLUSIÓN GENERAL

Este Despacho considera que, al 13 de Agosto 2019, los hallazgos encontrados durante este estudio en la gestión y utilización de las aplicaciones secundarias presentes en la operativa institucional, no permiten tener una seguridad razonable sobre la conservación de los criterios de información (confiabilidad, integridad, confidencialidad, efectividad y cumplimiento) que se requieren sobre los recursos municipales. Por lo tanto, la opinión general es que la institución requiere mejorar el nivel de madurez existente en torno a la administración de las herramientas incorporadas al desarrollo de sus procesos y servicios, así como la dirección tecnológica asumida en aras del mejoramiento en la eficiencia y oportunidad de sus operaciones.

4. RECOMENDACIONES

De conformidad con las competencias asignadas en el artículo 12 de la Ley General de Control Interno, N° 8292, se emiten las siguientes recomendaciones, las cuales deberán estar debidamente cumplidas en los plazos conferidos para tales efectos y que cuentan a partir de la fecha de recibo de este informe.


Página 18 de 22

-TODOS COMPROMETIDOS CON EL MEJORAMIENTO DE NUESTRO CANTÓN -



4. RECOMENDACIONES

De conformidad con las competencias asignadas en el artículo 12 de la Ley General de Control Interno, N° 8292, se emiten las siguientes recomendaciones, las cuales deberán estar debidamente cumplidas en los plazos conferidos para tales efectos y que cuentan a partir de la fecha de recibo de este informe.

Para el cumplimiento de las recomendaciones, deberán dictarse lineamientos claros y específicos y designar puntualmente los responsables de ponerlos en práctica, por lo que estas instrucciones deberán emitirse por escrito y comunicarse formalmente, así como definir los plazos razonables para su implementación, de manera que la administración activa pueda establecer las responsabilidades respectivas en caso del no cumplimiento de éstas.

Además, el órgano o funcionario a quién se gira la recomendación es el responsable de su cumplimiento, por lo cual deberá realizar las acciones pertinentes para verificar que los funcionarios subordinados a quienes se designen su instauración, cumplan con lo ordenado dentro del plazo que se les otorgó.

Esta Auditoría se reserva la posibilidad de verificar, mediante los medios que considere pertinentes, la efectiva implementación de las recomendaciones emitidas, así como de valorar la aplicación de los procedimientos administrativos que correspondan, en caso de incumplimiento injustificado de tales recomendaciones

4.1. A la Alcaldía Municipal

4.1.1. En un plazo no mayor a tres meses a partir del recibido de este informe, definir, elevar a aprobación, y efectuar la implementación inicial de un procedimiento interno, generado conjuntamente entre el área técnica e informática, que establezca las prácticas de utilización, administración de seguridad y la metodología de respaldos para la herramienta Vision2020. Lo manifestado se basa en hallazgo 2.2.1

4.1.2. Girar las instrucciones pertinentes para que, en un plazo máximo de dos meses a partir del recibido de este informe, se efectúe un análisis de las funcionalidades de la herramienta Vision2020 y sus módulos complementarios, en cuanto a la alineación que éstas tienen con los objetivos y metas institucionales en las diferentes áreas de la Corporación Municipal, emanando en una propuesta de aprovechamiento integral de la aplicación a lo largo de toda la entidad. La recomendación se fundamenta conforme a lo expuesto en hallazgo 2.2.1


Página 19 de 22



4.1.3. Promover, de manera inmediata a la recepción de este informe, un programa interno periódico de concientización y aprendizaje dentro de toda la Corporación Municipal, en el cual se abarquen las distintas herramientas informáticas existentes en la plataforma institucional, bajo un enfoque hacia una cultura organizacional de aprovechamiento de las tecnologías vigentes y emergentes. Esto se cimenta en lo expresado en hallazgos 2.2.1 y 2.2.3

4.1.4. Emitir, de manera inmediata a la recepción de este informe, las directrices necesarias para actualizar el reglamento interno respectivo, introduciendo los cambios pertinentes sobre el uso de la herramienta SICOP dentro de los procesos de adquisiciones y contrataciones, definiendo de manera clara los roles y responsabilidades del recurso humano involucrado, la parametrización requerida dentro de la aplicación, la asignación y utilización de dispositivos tecnológicos competentes, y las actividades de capacitación que se deben brindar a nuevos usuarios dentro de la Municipalidad. Esta recomendación se basa en lo indicado en el hallazgo 2.2.2

4.1.5. Girar, de manera inmediata a la recepción de este informe, las instrucciones pertinentes para realizar una campaña de capacitación a todos los funcionarios que estarán involucrados de manera directa o indirecta con el sistema SICOP, en la cual se expongan de manera clara las tareas que cada colaborador desempeñará en la herramienta en comparación con las labores previamente ejecutadas, y sus implicaciones en el flujo general. Lo anterior tiene sustento según hallazgo 2.2.2

4.1.6. Efectuar las acciones necesarias, de manera inmediata a la recepción de este informe, para actualizar, formalizar y distribuir la política y reglamento relacionados con la implementación y uso de la firma digital dentro de la Municipalidad. Lo anterior conforme a lo señalado en el hallazgo 2.2.3

4.1.7. Proceder, en un plazo máximo de un mes a partir del recibido de este informe, a efectuar un análisis sobre la distribución de firmas digitales a funcionarios clave dentro de la institución, con el fin de proyectar su utilización hacia el uso ágil y eficiente de los recursos tecnológicos actuales y venideros. Lo manifestado se basa en hallazgo 2.2.3

4.1.8. Presentar, en un plazo máximo de dos meses a partir del recibido de este informe, un plan para el cumplimiento de lo instruido en la Directriz sobre el Desarrollo del Gobierno Digital del Bicentenario, para el corto, mediano y largo plazo, donde se plasmen con claridad las actividades, metas, plazos, recursos requeridos, y responsables por cada objetivo. La recomendación se fundamenta conforme a lo expuesto en hallazgo 2.2.5

4.1.9. Girar, de manera inmediata a la recepción de este informe, las instrucciones pertinentes para establecer un plan, formalmente documentado, de mejoramiento del centro de datos municipal, en el cual se plasmen las actividades de


Página 20 de 22



construcción, acondicionamiento y migración, asociadas al presupuesto que fue asignado a dicha tarea. Esto se cimenta en lo expresado en hallazgo 2.2.6

4.1.10. En un plazo no mayor a dos meses a partir del recibido de este informe, definir, elevar a aprobación, difundir, y proceder a la implementación inicial de una actualización sobre la política o procedimiento establecido para las labores de instalación, soporte, mantenimiento y supervisión sobre la infraestructura de telecomunicaciones, procurando adicionar las actividades relativas a la plataforma de servidores y recinto del centro de datos. Esta recomendación se basa en lo indicado en el hallazgo 2.2.6

4.1.11. Girar, de manera inmediata a la recepción de este informe, las instrucciones pertinentes para que toda reunión o sesión efectuada en el ámbito interno de la Municipalidad, que derive en directrices, disposiciones, resoluciones u órdenes directas, sea documentada formalmente, plasmando la información suficiente para una adecuada comprensión y ejecución de los acuerdos. Lo anterior tiene sustento según hallazgo 2.2.8

4.2. A la Dirección Administrativa Financiera

4.2.1. Emitir, en un plazo máximo de un mes a partir del recibido de este informe, una directriz formalmente documentada que especifique, de forma clara, la manera en la cual serán recibidas, revisadas, almacenadas y resguardadas las facturas electrónicas a nivel institucional. Lo manifestado se basa en hallazgo 2.2.4

4.2.2. Emitir, de manera inmediata a la recepción de este informe, una directriz formalmente documentada, que estipule el bloqueo de cuentas de usuario dentro de la herramienta Vision2020, cuando éstas muestren una inactividad igual o superior a dos meses calendario, para lo cual cada colaborador deberá gestionar su reactivación cuando requiera su utilización. La recomendación se fundamenta conforme a lo expuesto en hallazgo 2.2.7

4.2.3. En un plazo máximo de un mes a partir del recibido de este informe, proceder a la revisión, validación y normalización de los roles de acceso otorgados a la Contadora Municipal dentro de la herramienta SIPP, evitando conflictos en la segregación de funciones asignadas, actualizando consecuentemente el procedimiento interno relacionado. Esto se cimenta en lo expresado en hallazgo 2.2.7


Página 21 de 22



riaddif tirda.

6. FIRMAS DE ELABORACIÓN Y APROBACIÓN

Elaborado or: A obadosor:

III

\

Nombre: Lic. ,..el :renes Pottuguez Nombre: Li (aniel Arce Astorga, MATI Puesto: AuxiF: r de Auditoría al Puesto: Auditor Interno

Auditorio Procesos de Informática (aplicaciones secundarias) Página 22 de 22

» \ \ II LI SI RO(.\N u\


MUNICIPALIDAD DE GOICOECHEA · 2020. 12. 12. · MUNICIPALIDAD DE GOICOECHEA Cédula Jurídica...

Documents

Transcript of MUNICIPALIDAD DE GOICOECHEA · 2020. 12. 12. · MUNICIPALIDAD DE GOICOECHEA Cédula Jurídica...