1. introducción. - Contraloría General de la República

Anuncio
DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA
ÁREA DE SERVICIOS SOCIALES
INFORME NO. DFOE-SOC-IF- 30-2009
13 DE AGOSTO, 2009
DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA
ÁREA DE SERVICIOS DE SOCIALES
INFORME SOBRE LA EVALUACIÓN DE LA CALIDAD DE LA INFORMACIÓN
OPERADA POR SISTEMAS DE INFORMACIÓN AUTOMATIZADOS Y LA EJECUCIÓN
DEL PLAN DE IMPLEMENTACIÓN DE LA NORMATIVA SOBRE TECNOLOGÍAS DE
INFORMACIÓN EN LA CAJA COSTARRICENSE DE SEGURO SOCIAL
2009
T:(506) 2501-8000
F: (506) 2501-8100
C: Contraloría.General@cgr.go.cr
Apdo.1179-1000. San José
DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA
ÁREA DE SERVICIOS SOCIALES
CONTENIDO
1.
INTRODUCCIÓN. .............................................................................................................................. 1
1.1.
origen del estudio. ......................................................................................................... 1
1.2.
Objetivo del estudio. ...................................................................................................... 1
1.3.
Alcance del estudio. ...................................................................................................... 1
1.4.
Consideraciones generales. .......................................................................................... 2
1.5.
Comunicación verbal de los resultados. ....................................................................... 4
2.
RESULTADOS. .................................................................................................................................. 4
2.1.
Necesidad de armonizar el marco normativo de la función de gestión de las TIC. ..... 4
2.1.1. Sobre la labor de desarrollar sistemas asignada tanto a la DTIC como a los CGI. .... 5
2.1.2. Funciones de asesoría asignadas al Comité Gerencial de Tecnologías de Información
que corresponden a la Junta Directiva. .................................................................................... 7
2.1.3. Indefinición respecto al accionar del Consejo Institucional de Centros de Gestión
Informática. ................................................................................................................................ 9
2.1.4. Acreditación de Centros de Gestión Informática. ......................................................... 9
2.2.
Necesidad de integrar la gestión de TI. ...................................................................... 10
2.2.1. Carencia de una supervisión a la labor de los CGI por parte de la DTIC. ................. 11
2.2.2
Mejora al Catálogo de Aplicaciones (CAPI). ............................................................... 12
2.2.3. Ausencia de un inventario de recursos. ...................................................................... 13
2.3.
De la divulgación de las normas, políticas y otras regulaciones. ............................... 14
2.4.
De la dotación de personal.......................................................................................... 16
2.5.
Plan de Implementación de las Normas. .................................................................... 17
3.
CONCLUSIÓN. ................................................................................................................................. 20
4.
DISPOSICIONES. ............................................................................................................................ 21
4.1.
A la Junta Directiva...................................................................................................... 21
4.2.
Al Presidente Ejecutivo. .............................................................................................. 22
4.3
A la Dirección de Tecnologías de Información y Comunicaciones. ........................... 23
T:(506) 2501-8000
F: (506) 2501-8100
C: Contraloría.General@cgr.go.cr
Apdo.1179-1000. San José
DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA
ÁREA DE SERVICIOS SOCIALES
INFORME NO. DFOE-SOC-30-2009
13 DE AGOSTO, 2009
RESUMEN EJECUTIVO
La Caja Costarricense de Seguro Social (CCSS), ha tomado conciencia de la importancia que
para su desempeño revisten las tecnologías de información y comunicaciones (TIC). En los últimos
años ha realizado ajustes organizacionales en procura de darle a la gestión de TIC el lugar que le
corresponde y, como parte de ello, también ha procurado modernizar la plataforma tecnológica con la
adquisición de nuevos equipos. En relación con lo anterior, para administrar la gestión de TIC posee
una Dirección de Tecnologías de Información y Comunicaciones y una gran cantidad de unidades
denominadas Centros de Gestión Informática, dispersas por toda la institución, lo cual le otorga a la
labor de integración de sistemas un reto significativo.
En el estudio realizado se observó que se han emitido manuales y normas con el propósito de
regular el ejercicio de la gestión de las tecnologías de información en la institución. El análisis de ese
marco normativo señala la existencia de vacíos en las competencias del Consejo Gerencial de
Tecnologías de Información, en la asignación de la responsabilidad sobre el desarrollo de sistemas de
información y la toma de decisiones al respecto. También se encontró omisión de contenido en
cuanto al significado y utilidad de la acreditación de los Centros de Gestión Informática y la
canalización de los acuerdos que se generen del Consejo Institucional de Centros de Gestión
Informática. Al respecto se llama la atención para que las autoridades institucionales subsanen esos
aspectos de la normativa de la institución, pues pueden tener consecuencias que afecten el desarrollo
de la gestión de TIC y de la institución en general.
Como consecuencia de esa falta de claridad, se observó que existen sistemas de información
que presentan problemas serios de integridad y de actualización, que generan información de baja
calidad. Ejemplo de ello es la existencia del Sistema Centralizado de Recaudación (SICERE) y el
Sistema Integrado de Pensiones (SIP), en que el último se alimenta con información del primero. Sin
embargo, como ambos sistemas no se encuentran integrados, los datos registrados en el SICERE se
trasladan al SIP mediante archivos (que contienen los registros del último mes), creándose duplicidad
de información. Estos archivos, que se trasladan, contienen la información de los aportes de los
trabajadores y patronos y las modificaciones realizadas en meses anteriores no se incluyen en las
actualizaciones mensuales. Esa situación hace que, finalmente las bases de datos del SIP no
coincidan con las del SICERE, siendo esto un resultado de la carencia de integración de ambos
sistemas.
Situación similar se presenta con otros sistemas que tienen diferentes centros médicos, los
cuales atienden la misma necesidad pero con sistemas que son muy diferentes, como los sistemas de
información Medisys, Sihomex y el Sistema Informático de Coronado. Aunque en este caso, algunos
de estos sistemas fueron elaborados por terceros, el problema sigue siendo el mismo, la carencia de
definición sobre la responsabilidad respecto a los sistemas, lo que finalmente se traduce en
duplicación de esfuerzos, problemas de integración y uso ineficiente de los recursos.
En el estudio se determinaron debilidades en la labor de integración de la gestión de
tecnologías de información, reflejada en la escasez de supervisión a los Centros de Gestión
Informática, la desactualización del Catálogo de Aplicaciones y la falta de un inventario de recursos
informáticos institucionales. En el informe de esta Contraloría General, número N°DFOE-SA-40/2005
del 7 de diciembre de 2005, en el apartado 2.7 inciso d) se crítica la inexistencia de un inventario
institucional de activos informáticos que facilite la toma de decisiones y la planeación de las
tecnologías de información en la CCSS. De manera que esta es una debilidad sobre la cual ya se ha
señalado a la institución la necesidad de un esfuerzo adicional, pero que a la fecha muestra un
escaso progreso.
T:(506) 2501-8000
F: (506) 2501-8100
C: Contraloría.General@cgr.go.cr
Apdo.1179-1000. San José
DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA
ÁREA DE SERVICIOS SOCIALES
INFORME NO. DFOE-SOC-IF-30-2009
13 DE AGOSTO,2009
INFORME SOBRE LA EVALUACIÓN DE LA CALIDAD DE LA INFORMACIÓN
OPERADA POR SISTEMAS DE INFORMACIÓN AUTOMATIZADOS Y LA EJECUCIÓN
DEL PLAN DE IMPLEMENTACIÓN DE LA NORMATIVA SOBRE TECNOLOGÍAS DE
INFORMACIÓN EN LA CAJA COSTARRICENSE DE SEGURO SOCIAL
1.
INTRODUCCIÓN.
1.1.
Origen del estudio.
El estudio se realizó en cumplimiento del Plan Anual Operativo de la División
de Fiscalización Operativa y Evaluativa de la Contraloría General de la República para el
año 2009.
1.2.
Objetivo del estudio.
El presente trabajo se desarrolló en la Caja Costarricense de Seguro Social
(en adelante CCSS) con el propósito de determinar la suficiencia de las acciones
ejecutadas por esa institución para el cumplimiento del plan de implementación de las
“Normas técnicas para la gestión y el control de las tecnologías de información”, No. N-22007-CO-DFOE, y de conformidad con ello promover una mejora significativa en la
institución en cuanto a la gestión de las tecnologías de información (en adelante TI) y en
los servicios que se prestan a sus usuarios tanto internos como externos,.
Además, con el fin de determinar si la información considerada relevante para
la institución, que es operada por sistemas automatizados, y que se encuentra
almacenada en las bases de datos institucionales, es confiable y suficiente para la toma
de decisiones del nivel superior. También, de resultar procedente, promover acciones
tendientes a mejora la calidad de esa información.
1.3.
Alcance del estudio.
El estudio comprendió el análisis de las acciones llevadas a cabo por la Caja,
en relación con la ejecución del mencionado plan de implementación de la normativa
sobre tecnologías de información y la verificación selectiva de los aspectos determinantes
de la calidad de la información procesada en los sistemas institucionales y que se utiliza
para la toma de decisiones y las operaciones normales de la institución.
En cuanto a la verificación de la calidad de la información de las bases de
datos, se tomó en cuenta que tanto esta Contraloría General, como la Auditoría Interna
de la CCSS, han realizado estudios previos sobre ese tema y se ha observado una
T:(506) 2501-8000
F: (506) 2501-8100
C: Contraloría.General@cgr.go.cr
Apdo.1179-1000. San José
DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA
ÁREA DE SERVICIOS SOCIALES
2
tendencia a la reiteración de las mismas deficiencias. En el caso particular de la CCSS,
se revisaron 20 informes de la Auditoria Interna, que contienen aspectos relativos a la
calidad de la información y fueron emitidos entre los años 2007 y 2008. Por lo que se
consideró que aportaría un mayor valor agregado y que sería conveniente orientar esta
auditoría hacia la determinación de las causas de los problemas de calidad de la
información, planteándose como estrategia partir de los resultados obtenidos en los
estudios de la Auditoría Interna, relacionados con dicha temática, los cuales se pueden
agrupar grosso modo en: gestión de TI, procedimientos de seguridad, funcionamiento de
los Centros de Gestión Informática, integración y diseño de sistemas, asignación de
personal técnico y capacitación de personal. (Ver Anexos 1,2 y 3)
El examen se realizó de conformidad con lo establecido en las Normas
técnicas para la gestión y el control de las tecnologías de información, el Manual de
normas generales de control interno para la Contraloría General de la República y las
entidades y órganos sujetos a su fiscalización, el Manual General de Fiscalización
Integral en lo aplicable y la Ley General de Control Interno, N° 8292, entre otras normas
legales y técnicas vigentes.
El estudio abarcó el período comprendido entre el 1° de setiembre de 2008 y
el 31 de marzo de 2009, ampliándose en aquellos casos en que se consideró necesario.
1.4.
Consideraciones generales.
La Caja Costarricense de Seguro Social es la entidad estatal que tiene por
mandato constitucional la responsabilidad de administrar y gobernar los seguros sociales
en Costa Rica. Este mandato fue retomado por la Ley Nº 17 del 22 de octubre de 1943
“Ley Constitutiva de la Caja Costarricense de Seguro Social” y sus reformas, que dispone
que esa entidad aseguradora, es la institución autónoma a la que le corresponde el
gobierno y la administración de los seguros sociales obligatorios, los fondos y las reservas
de estos seguros, los cuales no podrán ser transferidos ni empleados en finalidades
distintas de las que motivaron su creación.
Los seguros sociales a cargo de la CCSS son: Invalidez, vejez y muerte y
Enfermedad y maternidad (Seguro de Salud). Según reza el Reglamento del Seguro de
Salud, aprobado en la sesión de Junta Directiva número 8061 del 30 de mayo del año
2006, “La afiliación al Seguro de Salud es obligatoria para todos los trabajadores
asalariados, los trabajadores independientes y para los pensionados de los regímenes
nacionales de pensión, en el territorio nacional”. Por lo tanto, la base de contribuyentes al
sistema de seguro social, es, prácticamente, toda la fuerza laboral del país.
De conformidad con lo que ordena el artículo 177 de la Constitución
Política, el Seguro de Salud es universal y cubre a todos los habitantes del país.
Mediante la Ley No. 5349, “Universalización del seguro de enfermedad y
maternidad”, del 24 de setiembre de 1973, se le traspasan a la CCSS las instituciones
médico asistenciales a cargo del Ministerio de Salubridad Pública, las Juntas de
Protección Social y los Patronatos.
T:(506) 2501-8000
F: (506) 2501-8100
C: Contraloría.General@cgr.go.cr
Apdo.1179-1000. San José
DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA
ÁREA DE SERVICIOS SOCIALES
3
De manera que la CCSS es una institución que tiene a cargo una labor
compleja y amplia, que involucra a toda la recaudación y administración de la cuotas de
las cargas sociales (patronales y de los trabajadores) y su contraparte es la obligación de
prestar servicios de salud a todos los habitantes del país y el pago de pensiones o
jubilaciones.
Una institución de la magnitud, complejidad y cobertura que tiene la CCSS,
requiere de un uso muy intensivo de los recursos informáticos para auxiliarse en la
prestación de los servicios.
La dependencia funcional que tiene asignada la labor de liderar el proceso
de informatización de las operaciones institucionales es la Dirección de Tecnologías de
Información y Comunicaciones (DTIC). Esta unidad se encuentra en un proceso de
consolidación, luego de que en los últimos cuatro años, ha sido objeto de frecuentes
cambios, especialmente en cuanto a su ubicación en la estructura organizacional de la
institución y en la conceptualización de su papel en el quehacer institucional. Por
ejemplo, esta unidad dependía de la Gerencia de Modernización y Desarrollo, pero por un
lapso aproximado de un año, fue elevada al rango de subgerencia y a tener dependencia
directa de la Presidencia Ejecutiva. Posteriormente fue trasladada a la Gerencia
Financiera, en donde estuvo por cerca de otro año. Finalmente, en el año 2008, se creó la
Gerencia de Infraestructura y Tecnología y tiene como una de sus unidades a la DTIC.
Estos cambios indican que ha habido una intención de darle a la DTIC una
ubicación acorde con su responsabilidad institucional, pero aún se encuentra en un
proceso de consolidación.
Sin embargo, es importante indicar que a lo largo y ancho de la institución
existen unidades que se ocupan de aspectos relativos a las tecnologías de información y
comunicaciones, que se denominan Centros de Gestión Informática (en adelante CGI), los
cuales dependen formalmente de la jefatura de la dependencia, establecimiento o centro
en donde se ubican.
Además, se creó una Comisión de Tecnologías que asesora a la Junta
Directiva en el conocimiento y toma de decisiones en materia de tecnologías de
información y comunicaciones.
Por otro lado, se cuenta también con un Comité Gerencial de Tecnologías
de Información, constituido por la Presidencia Ejecutiva, todos los Gerentes de División y
la Subgerente de la DTIC.
Finalmente, se tiene un Consejo Institucional de Centros de Gestión
Informática, constituido por representantes de los diferentes tipos de Centros de Gestión
Informática existentes en la institución y funcionarios de la DTIC , como instancia para
facilitar la coordinación interna.
De lo anterior se tiene que la CCSS es una institución con una organización
muy grande y dispersa, con una población meta de magnitud nacional, que puede obtener
muchos beneficios de una gestión eficiente de los recursos informáticos, tanto para su
operación interna como para la prestación de los servicios que brinda. Para alcanzar ese
T:(506) 2501-8000
F: (506) 2501-8100
C: Contraloría.General@cgr.go.cr
Apdo.1179-1000. San José
DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA
ÁREA DE SERVICIOS SOCIALES
4
desempeño la institución cuenta con una organización compleja, la cual se encuentra en
un proceso de consolidación. (Ver Anexo 4)
1.5.
Comunicación verbal de los resultados.
En reunión celebrada el 4 de agosto de 2009, en el Despacho del
Presidente Ejecutivo (o en la Sala de Sesiones de la Junta Directiva) de la CCSS,
ubicado(a) en las oficinas centrales de esa entidad, funcionarios de esta Contraloría
General comunicaron verbalmente los resultados del presente informe y las
correspondientes disposiciones a los señores Dr. Eduardo Doryan Garrón, Presidente
Ejecutivo, Ing. Laura Morales Ureña, Subgerente de la Dirección de Tecnologías de
Información y Comunicación, Ing. Manuel Rodríguez Arce, Asistente DTIC, Lic. Carlos
Vargas Cubero, Subauditor Interno, Lic. Eithel Corea Baltodano, Jefe del Área
Tecnologías de Información y Comunicaciones de la Auditoría Interna de la CCSS, y el
Lic. Wven Porras Núñez, asesor de la Presidencia Ejecutiva. En dicha reunión se entregó
al Presidente Ejecutivo dos ejemplares del borrador del informe, uno en forma escrita,
mediante el oficio No. 8134 (FOE-SOC-0670) del 04 de agosto de 2009, y el otro en disco
compacto, para que fuera objeto de valoración y posterior remisión de las observaciones
pertinentes.
Las observaciones al borrador del presente informe fueron recibidas el 11
de agosto mediante el oficio No. P.E. 32.353-09 de esa misma fecha , suscrito por el Dr.
Eduardo Doryan Garrón, Presidente Ejecutivo de la CCSS , las cuales fueron valoradas
por este órgano contralor y consideradas en lo correspondiente, según se detalla en el
cuerpo de este informe. En el caso particular de la ampliación del plazo de 60 días
calendario, señalado en la disposición 4.2. a) inciso ii del borrador de informe citado, a 90
días calendario, se aclara que dicha ampliación de 30 días se concede en el entendido
que el nuevo plazo estaría también en función de lo comentado en el punto 2.4. del
presente informe, referente a las necesidades de recursos humanos de la DTIC para el
cabal cumplimiento de sus funciones. De conformidad con lo anterior, la decisión de
realizar un estudio de necesidades de recurso humano en los Centros de Gestión
Informática, con miras a dotar esas unidades de los recursos necesarios para cumplir con
las funciones que tienen asignadas en su respectiva normativa, queda a la entera
responsabilidad de esa Administración.
2.
RESULTADOS.
2.1.
Necesidad de armonizar el marco normativo de la función de
gestión de las TIC.
La función de gestión de las tecnologías de información y comunicaciones en
la CCSS se encuentra normada, principalmente, por dos manuales, a saber: Manual de
Organización de la Dirección de Tecnologías de Información y Comunicaciones, aprobado
por la Junta Directiva, en la sesión número 8130, el 8 de febrero 2007 y el Manual de
Organización para los Centros de Gestión Informática, aprobado por la Junta Directiva, en
la sesión número 8222, el 31 de enero 2008.
T:(506) 2501-8000
F: (506) 2501-8100
C: Contraloría.General@cgr.go.cr
Apdo.1179-1000. San José
DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA
ÁREA DE SERVICIOS SOCIALES
5
La claridad de la asignación de las funciones y tareas y de la forma en que se
ejerce la autoridad y la responsabilidad a lo largo de la estructura organizativa de un ente
es un aspecto no solo importante sino también indispensable para que su funcionamiento
sea eficaz y eficiente.
Esta asignación de responsabilidades puede tener un impacto en el logro de
estándares de calidad, en la medida en que se especifica quien es el que establece que
es lo que se debe hacer, quien debe hacerlo y como se ejerce el control. Si alguno de
estos elementos no está o es incompleto abre la puerta a la ocurrencia de desviaciones
que ponen en peligro los objetivos de calidad trazados.
Por ese motivo, fue necesario realizar una verificación del marco normativo
establecido en la CCSS para regular la gestión informática.
La revisión de los manuales de organización de la Dirección de Tecnologías
de Información y Comunicaciones y de los Centros de Gestión Informática muestran la
existencia de situaciones poco claras, inconsistencias e imprecisiones que originan
situaciones confusas en la gestión de las tecnologías de información, las cuales se
comentan a continuación:
2.1.1. Sobre la labor de desarrollar sistemas asignada tanto a la DTIC
como a los CGI.
De todos es sabido que la CCSS es una institución compleja, diversa y
de gran magnitud. De conformidad con ello, para disponer de información para la toma de
decisiones en la institución se requiere contar con la posibilidad de integrar los sistemas
que se tienen en los diferentes establecimientos o dependencias institucionales. Una
forma de posibilitar la integración de los sistemas de información es estableciendo
criterios claros y asignando adecuadamente la responsabilidad y la autoridad.
De acuerdo con lo establecido en el Manual de Organización de la
Dirección de Tecnologías de Información y Comunicaciones, el Área de Ingeniería de
Sistemas es responsable del desarrollo de los sistemas de información institucionales.
También indica que esta “Área de Trabajo debe asesorar, colaborar y apoyar
técnicamente para que los Centros de Gestión Informática, a los cuales el Comité
Gerencial de Tecnologías de Información y Comunicaciones le asigne, como estrategia
operacional, el desarrollo de sistemas de ámbito global del sistema de salud, de
pensiones, financiero, administrativo, bienes y servicios, entre otros, cumplan en forma
efectiva con la solicitud específica.”.
Queda claro, entonces que el desarrollo de los sistemas de información
institucionales le corresponde al Área de Ingeniería de Sistemas, de la DTIC, pero
también se contempla la posibilidad de que los Centros de Gestión Informática puedan
desarrollar “sistemas de ámbito global”. En relación con lo anterior, dicho Manual no
define que es un “sistema de información institucional” o que es un “sistema de ámbito
global”, quien tiene la responsabilidad y autoridad para definir esas categorizaciones, ni
los criterios técnicos con fundamento en los que se debe establecer la categoría a la cual
T:(506) 2501-8000
F: (506) 2501-8100
C: Contraloría.General@cgr.go.cr
Apdo.1179-1000. San José
DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA
ÁREA DE SERVICIOS SOCIALES
6
pertenece determinado sistema. Con respecto a dichos criterios técnicos, cabe acotar
que éstos son determinantes para lograr la optimización de los recursos en la CCSS, en el
tanto que evitan la duplicidad en los esfuerzos institucionales necesarios para el
desarrollo de los sistemas —tales como recursos humanos, capacitación, costos, etc.—.
Por eso, se le consultó a la DTIC si existía una definición oficial sobre
qué es un sistema de información institucional, qué es un sistema de ámbito global y
cuáles son las demás clasificaciones de sistemas de información que se utiliza en la
CCSS, respondiendo mediante el oficio No. TI-0722-2009, del 10 de junio de 2009, que no
se cuenta con una definición oficial de lo que se considera un sistema de información
institucional, no obstante indica que son las unidades usuarias las que definen el ámbito
de aplicación de la herramienta.
Al no existir una definición o categorización de los sistemas de
información y al quedar a criterio de cada unidad la determinación de qué acción tomar,
se puede presentar una amplia diversidad de criterios que dificultarían el logro de los
objetivos institucionales de integración de los sistemas y de optimización del uso de los
recursos técnicos y humanos.
En cuanto a quien es el responsable de definir quien se hace cargo de
la elaboración de un sistema de información, con el oficio No. TI-0722-2009 citado, la
DTIC indica es el Comité Gerencial de Tecnologías de Información y las Gerencias
respectivas en conjunto con la DTIC. Sin embargo, en los registros del Comité Gerencial
de Tecnologías de Información no consta que se haya presentado a discusión la
elaboración de algún sistema de información específico.
De acuerdo con lo observado no se tiene claro quien asigna la
elaboración de los sistemas de información, ni quien asigna las responsabilidades al
respecto. Esta situación refleja una deficiencia en el sistema de control interno en cuanto
a la definición clara de funciones, autoridad y responsabilidad.
Al respecto, es importante recordar que en materia de control el artículo 13
de la Ley General de Control Interno, Ley N°8292, indica que serán deberes del jerarca y
de los titulares subordinados:
“d) Establecer claramente las relaciones de jerarquía, asignar la
autoridad y responsabilidad de los funcionarios y proporcionar los
canales adecuados de comunicación, para que los procesos se lleven a
cabo; todo de conformidad con el ordenamiento jurídico y técnico
aplicable.”.
Como consecuencia de esa falta de claridad, se observó que existen
sistemas de información que presentan problemas serios de integridad y de actualización,
que traen como consecuencia información de baja calidad. Ejemplo de ello es la
existencia del Sistema Centralizado de Recaudación (SICERE) y el Sistema Integrado de
Pensiones (SIP), en que el último se alimenta con información del primero. Sin embargo,
como ambos sistemas no se encuentran integrados, los datos registrados en el SICERE
se trasladan al SIP mediante archivos (que contienen los registros del último mes),
creándose duplicidad de información. Estos archivos, que se trasladan, contienen la
T:(506) 2501-8000
F: (506) 2501-8100
C: Contraloría.General@cgr.go.cr
Apdo.1179-1000. San José
DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA
ÁREA DE SERVICIOS SOCIALES
7
información de los aportes de los trabajadores y las modificaciones realizadas en meses
anteriores no se incluyen en las actualizaciones mensuales. Esa situación hace que,
finalmente las bases de datos del SIP no coincidan con las del SICERE, siendo esto un
resultado de la carencia de integración de ambos sistemas.
Una situación similar se presenta con otros sistemas que se tienen en
diferentes centros médicos, los cuales atienden la misma necesidad pero con sistemas
que son muy diferentes, como los sistemas de información Medisys, Sihomex y el Sistema
Informático de Coronado. Aunque en este caso, algunos de estos sistemas fueron
elaborados por terceros, el problema sigue siendo el mismo, la carencia de definición
sobre la responsabilidad respecto a los sistemas, lo que finalmente se traduce en
duplicación de esfuerzos, problemas de integración y uso ineficiente de los recursos.
De los anteriores hechos se resume que la causa principal está en que
los sistemas de información de interés y trascendencia institucional no están siendo
administrados con los mismos criterios e intereses, que busquen un desarrollo integrado y
unificado, como lo establece el Manual de Organización de la DTIC Sección 6.8.5 página
127. Tampoco existe un control centralizado por la DTIC que maximice el uso de los
recursos, como lo establece el Manual de Organización de la DTIC, sección 6.8.1. Página
49.
2.1.2. Funciones de asesoría asignadas al Comité Gerencial de
Tecnologías de Información que corresponden a la Junta Directiva.
Como se ha indicado la CCSS es una entidad que por sus funciones y la
extensión de su cobertura es una organización compleja. En razón de esa complejidad, el
establecimiento de la estructura organizativa tiene una relevancia muy importante para
mantener las líneas de autoridad y responsabilidad, sin que se presenten conflictos de
competencias.
El Manual de Organización de la Dirección de Tecnologías de
Información y Comunicaciones es el cuerpo reglamentario que establece el marco de
referencia del accionar de la gestión de las tecnologías de información.
En ese manual se define al Comité Gerencial de Tecnologías de
Información como una instancia técnica entre el máximo jerarca y la Dirección de
Tecnologías de Información y Comunicaciones, otorgándole el papel de asesor en materia
de tecnologías de información y comunicaciones. El Comité está conformado por el
Presidente Ejecutivo (quien lo preside), los Gerentes de División y el Director de
Tecnologías de Información y Comunicaciones.
En la sección del manual titulada Comité Gerencial de Tecnologías de
Información, se describen las funciones de este Comité, las cuales de manera resumida
son las siguientes:


Asesorar a la Junta Directiva en la toma de decisiones en el ámbito de las
tecnologías de información y las comunicaciones.
Elaborar las especificaciones requeridas para los estudios preliminares y de
T:(506) 2501-8000
F: (506) 2501-8100
C: Contraloría.General@cgr.go.cr
Apdo.1179-1000. San José
DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA
ÁREA DE SERVICIOS SOCIALES
8





factibilidad.
Proponer las políticas globales en el ámbito de tecnologías de información y
comunicaciones, de acuerdo con las necesidades institucionales y los cambios
tecnológicos.
Aprobar los planes estratégicos y operativos de la función de tecnologías de
información y comunicaciones.
Priorizar y decidir con respecto a los proyectos y desarrollos de Tecnologías de
Información que se presentarán a la Junta Directiva.
Coordinar actividades con la Dirección de Tecnologías de Información y
Comunicaciones.
Impulsar la integración de las tecnologías de información y comunicaciones, con
base en decisiones colegiadas y consensuadas, para lograr la unificación de
criterios y de necesidades institucionales y maximizar los recursos institucionales.
De lo indicado se observa que el Comité Gerencial de Tecnologías de
Información es, básicamente, una instancia asesora, cuya labor es la de enriquecer la
toma de decisiones de los funcionarios responsables, en este caso del Presidente
Ejecutivo y de la Junta Directiva.
Sin embargo, la lectura del manual permitió observar que en varios de los
apartados en donde se describen las funciones de la Dirección de Tecnologías de
Información y Comunicaciones y de sus áreas y subáreas se indica que el Comité
Gerencial de Tecnologías de Información aprobará la normativa que le servirá de
fundamento a la DTIC para “formular, actualizar y evaluar la regulación, la normativa
técnica, los protocolos y estándares relacionados con su ámbito de acción”. Incluso en la
sección relativa al Consejo Institucional de Centros de Gestión Informática, el manual
indica que el Comité emitirá también políticas. En la sección de los factores claves del
éxito, el manual de organización indica que el “Comité Gerencial de Tecnologías de
Información y Comunicaciones, debe aprobar la regulación, la normativa técnica, las
políticas y estrategias globales, que promueven y orienten la modernización y el
desarrollo de esta importante área de actividad.”. La aprobación de normativa y políticas,
no es una actividad compatible con la función de asesoría que, fundamentalmente, le
corresponde al mencionado Comité Gerencial. Sobre todo porque en materia de
tecnologías de información y comunicaciones se involucra el accionar de toda la
institución, o sea es de gran amplitud de cobertura, desde el punto de vista
organizacional.
Esta situación es inconveniente porque genera una confusión institucional
respecto al ejercicio de la autoridad y la distribución de la responsabilidad, pues el Comité
Gerencial de Tecnologías de Información estaría asumiendo funciones que le
corresponden, respectivamente, a la Junta Directiva y a la Presidencia Ejecutiva.
Al respecto, es importante recordar que el artículo 13 de la Ley General de
Control Interno, Ley N°8292, citado anteriormente, establece la necesidad de que el
jerarca asigne de manera clara la autoridad y la responsabilidad de los funcionarios.
T:(506) 2501-8000
F: (506) 2501-8100
C: Contraloría.General@cgr.go.cr
Apdo.1179-1000. San José
DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA
ÁREA DE SERVICIOS SOCIALES
9
2.1.3. Indefinición respecto al accionar del Consejo Institucional de
Centros de Gestión Informática.
En el Manual de Organización de la Dirección de Tecnologías de
Información y Comunicaciones se incluye una sección denominada Consejo Institucional
de Centros de Gestión Informática. En esa sección se indica que el Consejo es un órgano
colegiado, coordinado por el Director de Tecnologías de Información y Comunicaciones,
integrado por los responsables de los Centros de Gestión Informática y los jefes de área
de la Dirección mencionada, responsables de participar activamente en la actualización y
desarrollo de las tecnologías de información y las comunicaciones.
Esta es una instancia de gran importancia pues es la que permite que,
a nivel operativo, se resuelvan los temas que afectan directamente la ejecución del trabajo
y que, en materia de tecnologías de información y comunicaciones, se logre la integración
y coordinación de esfuerzos. Máxime que, los Centros de Gestión Informática, tienen una
dependencia directa con sus respectivas gerencias, por lo que están sujetos, en materia
de su trabajo a la autoridad de línea, pero también tienen la obligación de acatar lo que en
materia técnica resuelva la DTIC.
Siendo que el Consejo Institucional de Centros de Gestión Informática,
como órgano deliberativo en materia técnica, toma acuerdos que se pretende sean
acatados por todos, no queda claro en la normativa a quien deben de someterse los
resultados de las discusiones que se desarrollan en el seno de ese Consejo. Tampoco se
indica, en el caso que surjan puntos de vista antagónicos, cual es la instancia que tendrá
a cargo la determinación del criterio que va a privar.
La situación comentada, de indefinición normativa, podría generar una
percepción de que la labor desempeñada en ese órgano no aporta a la solución de los
problemas reales que se enfrentan en la realización del trabajo, lo que podría resultar en
desmotivación, crisis de autoridad y, en que no se logre la finalidad perseguida con la
creación de esa instancia.
2.1.4. Acreditación de Centros de Gestión Informática.
En el Manual de Organización de Centros de Gestión de Informática,
en la sección de “factores claves de éxito” se menciona que:
T:(506) 2501-8000

El Comité Gerencial de Tecnologías de Información y
Comunicaciones, acreditará los diversos Centros de Gestión
Informática, con base en la recomendación técnica de la
Dirección de Tecnologías de Información y Comunicaciones.

La Dirección de Tecnologías de Información y Comunicaciones,
elaborará un Modelo de Acreditación para los Centros de
Gestión Informática, para lo cual definirá los criterios técnicos
requeridos y coordinará con la Dirección de Desarrollo
Organizacional para complementar los modelos de acreditación
F: (506) 2501-8100
C: Contraloría.General@cgr.go.cr
Apdo.1179-1000. San José
DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA
ÁREA DE SERVICIOS SOCIALES
10
con aspectos organizacionales.
En relación con lo anterior, es menester señalar que, como resultado
de la revisión del mencionado documento, no se localizó una explicación de la razón para
la acreditación de los Centros de Gestión Informática y tampoco una indicación del
objetivo perseguido con ese proceso.
Asimismo, cabe mencionar que en el Manual de Organización de
Centros de Gestión de Informática se establecen dos modelos organizacionales: un
modelo tipo A del Centro de Gestión Informática Gerencial y un modelo Tipo B Centro de
Gestión Informática Regional y Local. De manera que no se justifica un proceso de
acreditación en este caso pues la norma es determinante en cuanto a que un Centro de
Gestión Informática clasifica en un modelo determinado dependiendo de su adscripción y
no de sus características.
En el estudio realizado se observó que la Dirección de Tecnologías de
Información y Comunicaciones, presentó ante el Comité Gerencial de Tecnologías de
Información, en la sesión 26-2008, celebrada el 5 de agosto del 2008, una propuesta de
acreditación de Centros de Gestión Informática, indicando que eso permitiría clasificar los
CGI en alguno de los modelos A y B, ya señalados. La propuesta no fue aprobada por
esa instancia.
Lo anterior indica la existencia de omisiones o inconsistencias en la
normativa, que regula la organización de la función de gestión de las tecnologías de
información, lo cual resulta inconveniente pues genera confusión dentro de la institución,
situación que obstaculiza el adecuado ejercicio de la autoridad y que a la postre se podría
reflejar en incumplimiento de funciones, sistemas de baja calidad y deficiencia en los
servicios que se prestan.
2.2.
Necesidad de integrar la gestión de TI.
La CCSS tiene una organización compleja que, como se ha dicho, implica
un gran número de dependencias, gran dispersión geográfica e incluso la existencia de
desconcentración de hospitales y clínicas.
Para el adecuado manejo de la institución se requiere integrar todas las
dependencias, desde el punto de vista de la función informática, a pesar de su ubicación
y naturaleza.
El Manual de Organización de la Dirección de Tecnologías de Información y
Comunicaciones, creó el Comité Gerencial de Tecnologías de Información y le asignó la
responsabilidad de:
T:(506) 2501-8000
F: (506) 2501-8100
C: Contraloría.General@cgr.go.cr
Apdo.1179-1000. San José
DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA
ÁREA DE SERVICIOS SOCIALES
11

Impulsar la integración de las tecnologías de información y comunicaciones,
con base en decisiones colegiadas y consensuadas, para lograr la
unificación de criterios y de necesidades institucionales y maximizar los
recursos institucionales.

Propiciar la adecuada coordinación de los esfuerzos institucionales en
tecnologías de información y comunicaciones, con base en los
requerimientos institucionales, con la finalidad de evitar la duplicidad
funcional y la subutilización de los recursos.
Al respecto, también se le asigna a la Dirección de Tecnologías de
Información y Comunicaciones la labor de ejercer autoridad técnica y funcional, mediante
una amplia participación, retroalimentación y trabajo en equipo con las unidades de
trabajo interactuantes, a nivel institucional. (Sección o punto 6.12 del Manual de
Organización de la DTIC.)
En la motivación del Manual de Organización de los Centros de Gestión
Informática se indica que “Para lograr un desarrollo efectivo de las tecnologías de la
información en la Institución, es fundamental que se realice un trabajo en equipo, con
visión integral y enfoque sistémico, se coordinen acciones y actividades, se promueva la
sinergia organizacional, y se respete la regulación y la normativa técnica institucional
establecida.”.
En relación con lo anterior se determinaron las siguientes situaciones:
2.2.1. Carencia de una supervisión a la labor de los CGI por parte de la
DTIC.
Con el propósito de garantizar la integración de los sistemas de
información y el apego a las normas y procedimientos establecidos se le asigna a la
Dirección de Tecnologías de Información y Comunicaciones, mediante el Área de
Seguridad y Calidad Informática, la función de “asesorar y evaluar a los centros de gestión
informática del nivel central, regional y local, de acuerdo con la regulación y normativa
técnica, los protocolos, los estándares, las políticas y las estrategias vigentes en su
ámbito de competencia, con la finalidad de lograr el desarrollo efectivo y verificar el
cumplimiento efectivo (sic) de los lineamientos establecidos.”. (Sección 6.8.2 página 57
del Manual DTIC.)
Esta labor resulta de gran importancia, pues por ese medio se
pueden determinar oportunidades de fortalecimiento de la estructura informática
institucional, en materia normativa, de capacitación, de infraestructura y en el desempeño
de la organización como un todo.
Al indagar sobre la labor de evaluación y supervisión realizada, por
parte de la DTIC a Centros de Gestión Informática, se obtuvo copia de cinco informes
realizados, a inicios del año 2008, en unos pocos CGI, los cuales responden a
verificaciones específicas, asociadas a estudios de la Auditoría Interna, como
colaboraciones o atención de recomendaciones.
T:(506) 2501-8000
F: (506) 2501-8100
C: Contraloría.General@cgr.go.cr
Apdo.1179-1000. San José
DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA
ÁREA DE SERVICIOS SOCIALES
12
En cuanto a la labor realizada por el Área de Seguridad y Calidad
Informática, se observó que ha estado, mayormente, enfocada a la capacitación del
personal de los Centros de Gestión Informática y a la revisión de los Planes de
Continuidad en las Direcciones Regionales durante el año 2008 y 2009, mediante giras
que realizó el personal de sus Subáreas de Aseguramiento de la Calidad y Continuidad de
la Gestión.
La explicación dada por el Área de Seguridad y Calidad Informática,
de la carencia de supervisión a los CGI, es la falta de personal y de herramientas técnicas
para esa labor. Al respecto, esta Contraloría General también determinó la falta de
planes, de mediano plazo, diseñados para enfrentar esa situación y dar cabal
cumplimiento a la función de supervisión asignada.
En la gestión de las tecnologías de información en la CCSS, los
Centros de Gestión Informática representan un elemento fundamental para el logro de los
objetivos institucionales, por lo que la situación observada resulta preocupante,
representando un seria deficiencia en el sistema de control interno que se contrapone a lo
establecido en las normas 5.1 y 5.2 de las Normas Técnicas para la gestión y el control de
las tecnologías de información.
2.2.2
Mejora al Catálogo de Aplicaciones (CAPI).
La Dirección de Tecnologías de Información y Comunicaciones cuenta con
un área denominada “Ingeniería de Sistemas” la cual, entre otras labores, tiene a cargo el
desarrollo de sistemas de información que demande la institución. Sin embargo, la
capacidad para desarrollar sistemas de información también la tienen los Centros de
Gestión Informática, que se encuentran en los establecimientos y dependencias de la
institución. Adicionalmente, en el caso de los hospitales y clínicas desconcentrados
tienen, además la posibilidad de contratar con terceros el desarrollo de sistemas de
información.
Muchos de los establecimientos y dependencias tienen características
similares, porque atienden necesidades o realizan procedimientos equivalentes,
consecuentemente los sistemas de información requeridos guardan similitudes.
Esta situación abre la posibilidad de que se presenten problemas de
duplicación e incompatibilidad de sistemas, cuando por ejemplo son desarrollados
sistemas similares por equipos de trabajo diferentes, con pautas técnicas o esquemas
tecnológicos distintos.
La duplicación de sistemas implica el doble esfuerzo de desarrollo y de
costo institucional, a la vez que conlleva la dificultad de poder integrar la información o la
sustitución de un sistema funcional, ocasionando un deterioro en la calidad, un costo
innecesario y complicando la disponibilidad de la información, no solo a nivel operacional
sino que también a nivel gerencial.
Al respecto es importante mencionar que de acuerdo con el Manual de
T:(506) 2501-8000
F: (506) 2501-8100
C: Contraloría.General@cgr.go.cr
Apdo.1179-1000. San José
DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA
ÁREA DE SERVICIOS SOCIALES
13
Organización de la Dirección de Tecnologías de Información y Comunicaciones, el Área
de Ingeniería de Sistemas tiene asignada la función de mantener un registro de los
sistemas y las aplicaciones desarrolladas, con base en la normativa vigente para evitar la
duplicidad y maximizar los recursos institucionales.
La investigación realizada permitió determinar que en esa Área se lleva un
registro de los sistemas de información, denominado Catálogo de Aplicaciones
Institucionales (CAPI). Por su parte, el Manual de Organización de Centros de Gestión
Informática establece la obligación de que los encargados de dichos centros reporten a la
DTIC, la información de los sistemas en desarrollo para su registro. (Sección 6.7.1 página
34.)
En encuesta realizada a los encargados de Centros de Gestión Informática
se determinó que hay sistemas de información en desarrollo que no se encuentran
registrados en el CAPI, por lo que dicho registro se encuentra desactualizado.
Adicionalmente se determinó que el procedimiento para el registro de un
sistema de información en el CAPI, consta de dos etapas, una en la que se solicita el aval
para el desarrollo del sistema y una posterior de registro cuando el sistema se ha
completado y se solicita información adicional. Esta situación presenta una complicación
pues en ocasiones la información adicional no es remitida por el CGI y,
consecuentemente, no se registra el sistema en el CAPI.
Hay que indicar que se recibió información respecto a la creación de un
nuevo instrumento para la realización de la labor de registro de los sistemas, el cual se
encuentra en una etapa inicial de diseño.
La situación comentada evidencia que la CCSS no cuenta con un
instrumento idóneo que permita centralizar el control del desarrollo de sistemas de
información, debido a que el registro que se tiene está desactualizado lo que no permite
optimizar el empleo de los recursos técnicos institucionales.
2.2.3.
Ausencia de un inventario de recursos.
En el proceso de buscar que los participantes en la gestión de tecnologías
de información actúen como una unidad, es de fundamental importancia determinar
cuáles son las necesidades y capacidades de las dependencias responsables.
Una herramienta que es de mucha utilidad para esa labor es un inventario
de recursos, mediante el cual se conozca, los equipos con que cuenta cada unidad y sus
características, los sistemas de información que tienen en uso, el personal que participa
en las labores de gestión de tecnologías, etc.
Esa información es muy importante para la planeación de las actividades y
proyectos institucionales, de manera que un plan elaborado sin un adecuado
conocimiento de las condiciones institucionales en tecnología de información, tiene poca o
ninguna relación con la realidad.
T:(506) 2501-8000
F: (506) 2501-8100
C: Contraloría.General@cgr.go.cr
Apdo.1179-1000. San José
DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA
ÁREA DE SERVICIOS SOCIALES
14
El Plan de Implementación de Normas Técnicas para la Gestión y el
Control de las Tecnologías de Información, aprobado en la sesión 27 del 25 de agosto
2008, por el Comité Gerencial de Tecnologías de Información y Comunicaciones, indica,
en la línea 66, que se va a elaborar un “Inventario de Recurso TI”, labor que inició el 2 de
junio de 2008 y que se espera finalizar 3 de diciembre de 2010.
El 20 de abril de 2009, mediante el oficio No. P.E. 15.956, el Dr. Eduardo
Doryan Garrón, Presidente Ejecutivo de la CCSS, remite a la Contraloría General de la
República, el reporte del avance en el cumplimiento del Plan de Implementación de las
“Normas Técnicas para la Gestión y el Control de las Tecnologías de Información”,
indicando que al 31 de marzo de 2009 el “Inventario de Recurso TI” estaba en un 46%.
Esto implica que las fases de planeación, conceptualización y clasificación se habían
concluido en un 100%.
Sin embargo, en el estudio realizado, la Dirección de Tecnologías de
Información y Comunicaciones suministró como evidencia del trabajo realizado, un
documento denominado “Proyecto Inventario Tecnologías de Información, Estudio
Preliminar y de Factibilidad TIC-DIR-GBS-0004”, de febrero de 2009, el cual llega a
justificar la necesidad de realizar el inventario de recursos pero no contiene elementos
que se puedan considerar conceptualización o planeación de la solución de la carencia
señalada.
La situación comentada, señala que a pesar de que la necesidad de la
elaboración de un inventario de recursos informáticos es apremiante para la CCSS, el
avance observado al respecto no ha sido el programado. Lo cual es preocupante para
esta Contraloría General en virtud de que ese proceso es un insumo base para enriquecer
y mejorar la planeación institucional en materia de tecnologías de información, por lo que
debe ser una labor prioritaria a resolver en el corto plazo.
Al respecto, también en las Normas Técnicas para la Gestión y el Control
de las Tecnologías de Información, en la norma 4.2 Administración y operación de la
plataforma tecnológica, en el inciso d) señala la necesidad de “Controlar la composición y
cambios de la plataforma y mantener un registro actualizado de sus componentes
(hardware y software), custodiar adecuadamente las licencias de software y realizar
verificaciones físicas periódicas.”
2.3.
De la divulgación de las normas, políticas y otras regulaciones.
La gestión de las tecnologías de información es un proceso que requiere
de claridad en cuanto a su regulación y su aplicación práctica. Para la maximización del
potencial institucional en el manejo de la información se requiere, además, que los
participantes en el proceso tengan un adecuado conocimiento de ese marco regulatorio,
con la finalidad de que puedan actuar en consonancia con los propósitos de la
organización. Este conocimiento es un determinante de la calidad de la información que la
institución pueda generar.
Recientemente, la CCSS ha estado aprobando regulaciones, políticas,
procedimientos, metodologías y guías para el ejercicio práctico de la gestión de
T:(506) 2501-8000
F: (506) 2501-8100
C: Contraloría.General@cgr.go.cr
Apdo.1179-1000. San José
DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA
ÁREA DE SERVICIOS SOCIALES
15
tecnologías de información. En el estudio se trató de verificar el proceso de divulgación de
los instrumentos normativos de las tecnologías de información, proceso que se encuentra
a cargo de la Dirección de Tecnologías de Información y Comunicaciones, y de las
diferentes áreas que constituyen esa dirección. En el Manual de Organización de la DTIC
se establece que cada una de las áreas debe:
“Generar cultura informática en su ámbito de acción, conforme con los
programas de capacitación, divulgación y concienciación, a efecto de facilitar
y promover el uso de la tecnología disponible y lograr un desarrollo
tecnológico institucional articulado.”.
El desarrollo de la cultura informática es un proceso en el cual se
requiere de la emisión de normativa que estandarice los desarrollos tecnológicos, pero
también es necesario que el conocimiento se difunda y de alguna manera se garantice el
correcto entendimiento de los fines perseguidos por esa normativa, por parte de los
funcionarios responsables de participar en la ejecución de las labores. Esta tarea reviste
mayor importancia en el caso de la CCSS, por tratarse de una institución con altos niveles
de dispersión geográfica y desconcentración en la prestación de sus servicios.
La DTIC utiliza el correo institucional para comunicarle a las unidades,
que participan en el proceso de gestión de tecnologías de información, la normativa que
se emite. Adicionalmente se utiliza el correo electrónico institucional y se pone a
disposición del personal la normativa mediante la Internet. Sin embargo, los procesos de
envío de la información no se documentan de manera adecuada. En el caso del correo
institucional no queda evidencia de su utilización pues es un proceso informal en el que se
deja el material en la Unidad de Comunicaciones y ésta la hace llegar a las dependencias
destinatarias, pero no se documenta su recepción ni por el correo interno ni por el
destinatario. Cuando se utiliza el correo electrónico tampoco queda un documento físico
o digital que evidencie la remisión de la información.
En encuesta realizada a una muestra de encargados de Centros de
Gestión Informática la mayoría de funcionarios (70%, 21 de un total de 30 funcionarios
que respondieron a la pregunta) indicaron que no recibieron inducción sobre nuevas
normas y políticas emitidas. Situación que resulta preocupante pues en materia de
gestión de tecnologías de información, el desconocimiento de las normas, políticas y
procedimientos en materia de TI por parte de los funcionarios de los CGI, viene a
aumentar el riesgo para la organización como un todo.
En adición a lo anterior se determinó que no existen planes de
divulgación que establezcan la manera en que la organización se va a asegurar que los
funcionarios pertinentes conozcan y puedan aplicar de manera efectiva las normas,
políticas y procedimientos. El único esfuerzo de divulgación de la normativa, del que se
tuvo información (más allá de la simple remisión de los documentos) fue realizado por el
Área de Seguridad y Calidad de la Información, que llevó a cabo una serie de giras para
difundir algunos de los aspectos normativos en materia de tecnologías de información
(TI). Sin embargo, tampoco se contó, en ese caso, con un esfuerzo debidamente
planificado para realizar esa labor de divulgación.
La situación comentada resulta preocupante pues se constituye en un
T:(506) 2501-8000
F: (506) 2501-8100
C: Contraloría.General@cgr.go.cr
Apdo.1179-1000. San José
DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA
ÁREA DE SERVICIOS SOCIALES
16
factor de riesgo institucional que puede perjudicar el desempeño de la CCSS en materia
de TI y, consecuentemente el desempeño de la organización como un todo. Es
importante señalar que el punto 1.1 de las Normas Técnicas para la gestión y control de
las tecnologías de información establece de manera clara la necesidad de garantizarse
que el personal comprenda la normativa a efecto de que coadyuve a logro de los objetivos
institucionales, cuando se establece lo siguiente:
“El jerarca debe traducir sus aspiraciones en materia de TI en prácticas
cotidianas de la organización, mediante un proceso continuo de promulgación
y divulgación de un marco estratégico constituido por políticas
organizacionales que el personal comprenda y con las que esté
comprometido.”.
2.4.
De la dotación de personal
En el estudio realizado se observó que la DTIC no ha podido realizar
algunas de las funciones que le competen, como la supervisión de los Centros de Gestión
Informática, en parte por la carencia de recurso humano. Hecho que fue reconocido por
la DTIC mediante en el oficio No. TIC-1225-2008 del 11 de setiembre de 2008, en el cual
solicita a la Gerencia de Infraestructura y Tecnologías más personal, argumentando lo
siguiente:
“ Esta solicitud es el resultado de un diagnóstico detallado, profundo y
consciente, elaborado por cada una de las jefaturas de esta Subgerencia,
quienes se dieron a la tarea de determinar de acuerdo con los procesos y
subprocesos definidos en el manual de organización, que funciones
estábamos dejando de atender por carencia de recursos humanos.
Como es de su conocimiento, las labores que ejecutamos en esta
Subgerencia están íntimamente ligadas al cumplimiento de los objetivos
estratégicos institucionales, lo que ocasiona que los atrasos y limitaciones
que por este tema enfrentemos en nuestros proyectos, tenga un impacto
negativo en la gestión del resto de la institución.”. (El destacado no
pertenece al original.)
Esta solicitud comprendía un total de 127 plazas; 63 plazas para el Área
1153 de Ingeniería de Sistemas, 28 plazas para el Área 1154 de Soporte Técnico y 19
plazas para el Área 1152 de Seguridad y Calidad Informática.
La petición fue aprobada parcialmente, según comunicación realizada
por la Gerencia de Infraestructura y Tecnología en los siguientes términos:
“Dentro de la Política Salarial y de Empleo de la Caja Costarricense de Seguro
Social, para el año 2009, se aprobaron para la Gerencia de Infraestructura y
Tecnologías varias plazas, de las cuales tomando en cuenta las
necesidades de la Subgerencia (DTIC), se le asignaron 15 plazas a saber,
T:(506) 2501-8000
F: (506) 2501-8100
C: Contraloría.General@cgr.go.cr
Apdo.1179-1000. San José
DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA
ÁREA DE SERVICIOS SOCIALES
17
Operadores en TIC y Analistas en Sistemas 4 TIC.”. (El destacado y lo cerrado
entre paréntesis es nuestro.)
Resulta preocupante, a criterio de esta Contraloría General, que la DTIC
no cuente con el recurso humano necesario para realizar las funciones que tiene a cargo.
Sin embargo, también es preocupante que no se haya coordinado con la Dirección de
Recursos Humanos un estudio que de manera técnica establezca las necesidades de
personal de la DTIC.
Cabe indicar que en el Manual de Organización de la Dirección de
Tecnologías de Información y Comunicaciones, se incluye una sección, denominada
“Factores claves del éxito”, que indica, entre otros aspectos, que:
“La Dirección de Tecnologías de Información y Comunicaciones en
coordinación con las instancias competentes: Gerencia División
Administrativa, (Dirección de Recursos Humanos), Gerencia División
Financiera, (Dirección de Presupuesto) y Gerencia División de
Operaciones, (Dirección de Arquitectura e Ingeniería), debe elaborar,
en un plazo de tres meses, un plan de acción, para implantar la
estructura funcional y organizacional establecida y presentarlo al
Comité
Gerencial
de
Tecnologías
de
Información
y
Comunicaciones.”. (Ver página 157 del Manual. El destacado es
nuestro.)
De acuerdo con esto, uno de los factores de éxito es la coordinación con
la Dirección de Recursos Humanos, evidentemente para la determinación del personal
requerido para que la DTIC pueda llevar a cabo las labores encomendadas. Sin embargo
no se obtuvo evidencia que indique que dicha coordinación se haya ejecutado.
2.5.
Plan de Implementación de las Normas.
El 7 de junio de 2007, la Contralora General de la República, emitió la
Resolución R-CO-26-2007, mediante la cual se emitieron las “Normas técnicas para la
gestión y el control de las tecnologías de información”. El artículo 6 de la resolución indica
que la Administración deberá planificar las actividades necesarias para lograr una
implementación efectiva y controlada de lo establecido en dicha normativa.
La CCSS, presentó el Plan de Implementación de las Normas avalado
por su Comité Gerencial de Tecnologías de Información el 25 de agosto de 2008. Este
plan consta de 7 temas, compuestos por 333 tareas, las cuales se espera cumplir como
fecha final el 7 de octubre de 2014.
Con el propósito de evaluar el avance logrado en la ejecución del Plan de
Implementación, se le solicitó a la Presidencia Ejecutiva de la CCSS la presentación de un
informe al respecto, tomando como fecha de corte el 31 de marzo de 2009. El informe fue
presentado mediante el oficio No. P.E. 15.956-09 del 20 de abril de 2009 y en éste se
indica que el avance general de las todas las labores contempladas en dicho plan, a esa
fecha de corte, es de un 51%, y para las actividades que estaba programado finalizar
T:(506) 2501-8000
F: (506) 2501-8100
C: Contraloría.General@cgr.go.cr
Apdo.1179-1000. San José
DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA
ÁREA DE SERVICIOS SOCIALES
18
antes de la fecha de corte el avance global equivale a un 97%.
Para efecto de verificar el avance de las tareas contenidas en el Plan de
Implementación se seleccionaron dos temas (que en total comprenden 18 tareas): la
Gestión de la Calidad y Seguridad Informática y la Planificación y Organización de las
TIC.
El resultado del análisis de las tareas seleccionas fue el siguiente:
a.
Gestión de la calidad y seguridad informática.
Este tema consta de 14 tareas de las cuales la mayoría corresponde a
emisión de guías y procedimientos de trabajo y adquisición de herramientas de software.
Según indica la Administración el avance al 31 de marzo de 2009, era de un 99%. En el
estudio se analizaron las 14 tareas del tema de la gestión de la calidad y seguridad
informática, cuatro de las catorce tareas presentan algunas inconformidades respecto a
su grado de avance, lo cual se comenta a continuación.
La evaluación de la tarea denominada “Construcción de Riesgos nivel
estratégico” se reporta como concluida o sea con un 100% de cumplimiento, sin embargo,
el estudio indica que a la fecha de corte aún se encontraba en etapa de aprobación, pues
la Junta Directiva no había otorgado aprobación al mapa de riesgos elaborados por la
institución. Además no se encontró evidencia de que hubieran realizado las actividades de
divulgación y actualización.
En lo que respecta a la tarea denominada “Inventario institucional de recursos
TI”, que consta a su vez de las tareas de planeación, conceptualización y clasificación, se
reporta un cumplimiento del 100%. La evidencia indica que estas tareas se encuentran
todavía en ejecución y que lo realizado es un estudio de prefactibilidad, lo cual no
corresponde a ninguna de las labores mencionadas.
La tarea denominada “Plan de divulgación marco de seguridad”, se indica que
se encuentra en un 100% de avance, en lo que respecta a la construcción y aprobación.
Sin embargo, no se obtuvo evidencia de que existiera un plan debidamente aprobado. Se
obtuvo evidencia de la existencia de una propuesta de plan de divulgación de las políticas
institucionales de seguridad, pero no se encontró evidencia de su oficialización. Además,
la propuesta de plan de divulgación revisada carece de datos esenciales como los
responsables y el cronograma de actividades.
En el caso de la tarea denominada “Manual de elaboración planes de
continuidad de la gestión”, se indica que se cumplió el 100% de lo propuesto. Al respecto
es importante indicar que el manual actualmente en uso fue aprobado por el Comité
Gerencial de Tecnologías de Información, en la sesión 23, realizada el 30 de octubre de
2007, de manera que al momento de hacer el plan de implementación que nos ocupa, la
única labor pendiente era la de divulgación de ese manual. No se obtuvo evidencia del
proceso de divulgación llevado a cabo, sin embargo, a la fecha del presente estudio el
Área de Seguridad y Calidad Informática se encontraba en la labor de verificación de los
planes de continuidad de la gestión elaborados por las diferentes dependencias de la
institución y del avance logrado al respecto.
T:(506) 2501-8000
F: (506) 2501-8100
C: Contraloría.General@cgr.go.cr
Apdo.1179-1000. San José
DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA
ÁREA DE SERVICIOS SOCIALES
19
De lo comentado se observa que las tareas verificadas del Plan de
Implementación, en su mayoría presentan un avance aceptable pero en los casos
comentados el porcentaje de avance reportado no coincide con lo observado en la
realidad.
Las restantes tareas (10) se han venido cumpliendo, sin embargo, es
importante indicar que en algunos de los casos los plazos establecidos en el plan de
implementación resultan excesivos. Por ejemplo, las tareas de: “Herramienta control y
Divulgación de Políticas”, finaliza el 31 de mayo de 2012; “Procedimientos para desecho y
reciclaje de equipo”, finaliza hasta el 6 de octubre de 2011 y “Adquisición de herramienta
de encriptación de datos”, finaliza el 15 de diciembre de 2011, lo que es inconveniente si
se observa que algunas de las tareas son fundamentales para el adecuado desempeño
de las labores de gestión de las tecnologías de información institucionales.
b.
Planificación y organización de las TIC.
Este tema se segregó en 4 tareas, de las cuales se analizaron las
denominadas “Implementación Evaluación del PETI” y “Modelo de arquitectura de
información e infraestructura tecnológica”.
En cuanto a la Implementación de la Evaluación del PETI se observó que se
han realizado dos evaluaciones al avance del Plan Estratégico de Tecnologías de
Información, una en abril y otra en noviembre de 2008. Este resultado corresponde al
100% de lo establecido en el Plan de Implementación de las Normas Técnicas, según se
confirmó.
En lo que corresponde al Modelo de arquitectura de información e
infraestructura tecnológica, según el Plan de Implementación, lo realizarían mediante
varias tareas de las cuales a la fecha de corte debieron estar concluidas: la elaboración
de un modelo de arquitectura de sistemas y un procedimiento para la implementación y
gestión de infraestructura tecnológica. Esas labores se desarrollarían entre el 18 de
agosto de 2008 y el 7 de noviembre de 2008.
Mediante el oficio P.E. 15.956-09, mencionado anteriormente, se reporta que
el avance logrado por la CCSS en la ejecución de esa tarea, al 31 de marzo de 2009, es
del 100% de realización de las labores correspondientes.
En el estudio realizado, al solicitar la información relativa al avance de ese
plan de implementación se constató que se han realizado progresos en cuanto a este
punto, como es el desarrollo de los siguientes documentos: Estrategia de Arquitectura de
Integración de Aplicaciones, Esquema de Integración y formularios de proyectos. Además
se cuenta con un documento denominado Modelo de Datos Institucional.
Respecto a los documentos suministrados, ninguno corresponde al Modelo de
Arquitectura de Información, que según el Cobit, en el apartado “P02”, está constituido por
el Diccionario Corporativo de Datos, las Reglas de Sintaxis de datos de la organización,
Esquema de Clasificación de Datos y Niveles de Seguridad. Los documentos aportados
corresponden a procesos que generan algunos de los insumos necesarios para la
T:(506) 2501-8000
F: (506) 2501-8100
C: Contraloría.General@cgr.go.cr
Apdo.1179-1000. San José
DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA
ÁREA DE SERVICIOS SOCIALES
20
elaboración del Diccionario Corporativo de Datos de la CCSS. En el caso del Modelo de
Datos Institucional, que nos fue suministrado, corresponde a un documento elaborado
hace muchos años, el cual se encuentra obsoleto. El Esquema de Integración, solo hace
referencia a los sistemas de información de la Dirección de Tecnologías de Información y
Comunicaciones, ignorando la existencias de otros sistemas de información en las otras
Divisiones de la CCSS.
Por lo anterior, resulta evidente que el avance logrado, en cuanto al desarrollo
del Modelo de arquitectura de información e infraestructura tecnológica, es muy escaso,
por lo que afirmar un 100% de logro es incorrecto, pues esa tarea se encuentra en una
etapa inicial.
Con respecto al Plan de Implementación de las Normas propuesto por la
CCSS, como un todo, la presencia de atrasos en la ejecución de las tareas resulta
preocupante, en cuanto al logro de las metas propuestas en el plazo establecido. Esta
situación resulta inconveniente, pues uno de los objetivos de la Resolución R-CO-26-2007
es el mejoramiento de la gestión de esas tecnologías mediante el uso de los controles
básicos establecidos en las normas que se pretende implementar, por lo que el atraso en
la ejecución del plan representa una vulnerabilidad y exposición al riesgo en materia de
tecnologías.
3.
CONCLUSIÓN.
La Caja Costarricense de Seguro Social es una institución con características muy
propias, como su gran magnitud, su dispersión geográfica y sus recientes procesos de
desconcentración. En este momento enfrenta el reto de brindar servicios en el ámbito de
la salud, con la debida oportunidad, de calidad y a ciudadanos cada vez más exigentes,
que pertenecen a una sociedad muy bien informada y con mayores aspiraciones, en
cuanto a los servicios que recibe. Es por eso que el desempeño institucional en materia
de tecnologías de información se ha convertido en un aspecto muy importante a tener en
cuenta, para agilizar y optimizar el manejo administrativo y la prestación de los servicios
que por ley le corresponde brindar.
En el estudio realizado, se observa que las intenciones de mejora en torno al tema
de las tecnologías de información y comunicación son evidentes, sin embargo, no se
aprecia que se progrese ni con la rapidez ni con la calidad necesarias. La gestión de
tecnologías de información debe verse como una labor de equipo, en la que si bien
participan gran cantidad de dependencias y unidades, su orientación y actuación debe ser
muy clara, integral, coordinada y uniforme, a fin de que la institución no realice esfuerzos
dispersos que no contribuyen efectivamente al logro de los objetivos institucionales.
Con las posibilidades que proporcionan los avances tecnológicos en la actualidad, a
partir del desarrollo que se tiene en materia de redes, internet y telemática, los límites
institucionales se desvanecen, para dar paso a procesos en los cuales se requiere
repensar y rediseñar a fin de materializar dichas potencialidades. Las tecnologías de
información y comunicaciones, son hoy día un pilar fundamental sobre el cual las
instituciones construyen toda la plataforma institucional que les permite alcanzar con la
celeridad y oportunidad los estándares de servicios que son su razón de ser, por lo que su
T:(506) 2501-8000
F: (506) 2501-8100
C: Contraloría.General@cgr.go.cr
Apdo.1179-1000. San José
DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA
ÁREA DE SERVICIOS SOCIALES
21
adecuada administración le permitirá a la organización la eficiencia y eficacia en la
prestación de los servicios que el país realmente requiere.
Las debilidades señaladas en este informe, relativas a la necesidad de armonizar
el marco normativo e integrar la función de gestión de las TIC, así como la falta de una
planificación estratégica y operativa debidamente elaborada para orientar el proceso de
desarrollo de sistemas y para realizar un proceso efectivo de divulgación de la normativa
que regula el accionar institucional de las TI, la falta de dotación del personal necesario
para lograr una adecuada operación de esa vertiente institucional y al plan de
implementación de las normas técnicas para la gestión y control de las tecnologías de
información, están incidiendo negativamente en la gestión global que realiza la CCSS de
cara a una sociedad que demanda excelencia en la prestación de los servicios de salud.
La falta de normas claras que regulen la participación de los diferentes involucrados
en los sistemas de información, la falta de cohesión entre esos participantes y la carencia
de una clara visión de futuro, son elementos que están afectando de manera profunda la
calidad de la información de la CCSS, y consecuentemente la calidad de los servicios que
ésta presta a la sociedad costarricense.
4.
DISPOSICIONES.
De conformidad con las competencias asignadas en los artículos 183 y 184 de la
Constitución Política, los artículos 12 y 21 de la Ley Orgánica de la Contraloría General de
la República, No. 7428, y el artículo 12 inciso c) de la Ley General de Control Interno, No.
8292, y con el propósito de que la gestión de tecnologías de información y comunicación
en la Caja Costarricense de Seguro Social avance hacia su consolidación y en un afán de
que se mejore el servicio que la institución brinda a la población del país, se emiten las
siguientes disposiciones, las cuales son de acatamiento obligatorio y deberán ser
cumplidas dentro del plazo y en los términos conferidos para ello, por lo que su
incumplimiento no justificado constituye causal de responsabilidad.
Este órgano contralor se reserva la posibilidad de verificar, mediante los medios
que considere pertinentes, la efectiva implementación de las disposiciones emitidas, así
como de valorar la aplicación de los procedimientos administrativos que correspondan, en
caso de incumplimiento injustificado de tales disposiciones.
4.1.
A la Junta Directiva.
a) Girar las instrucciones necesarias a quien corresponda, en el plazo máximo
de quince (15) días hábiles, contados a partir de la fecha de recibo de este informe, con el
propósito de que de inmediato se realice una revisión integral de los manuales de
organización de la Dirección de Tecnologías de Información y Comunicaciones y de los
Centros de Gestión Informática con el fin de efectuarles los ajustes pertinentes para
armonizar ambos instrumentos normativos de manera que se establezca con claridad lo
siguiente:
i.
T:(506) 2501-8000
La instancia responsable de decidir cuando un sistema de información
F: (506) 2501-8100
C: Contraloría.General@cgr.go.cr
Apdo.1179-1000. San José
DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA
ÁREA DE SERVICIOS SOCIALES
22
debe ser desarrollado por la Dirección de Tecnologías de Información y
Comunicaciones y cuando esa labor puede ser delegada a un Centro de
Gestión Informática, así como los criterios técnicos asociados a los
sistemas por desarrollar que esa instancia debe tomar en cuenta para
esa toma de decisiones . (Ver comentario 2.1.1. de este informe.)
ii.
El papel, autoridad y responsabilidad del Comité Gerencial de
Tecnologías de Información. (Ver comentario 2.1.2. de este informe.)
iii.
La instancia a la cual deben comunicarse los acuerdos que tome el
Consejo Institucional de Centros de Gestión Informática, y la que
resolverá cuando se presenten diferencias de criterio significativas entre
los participantes de dicho Consejo Institucional. (Ver comentario 2.1.3.
de este informe.)
iv.
La necesidad y propósito de llevar a cabo la acreditación de los Centros
de Gestión Informática, las pautas necesarias para realizar esa
acreditación y los plazos para lograr esa tarea. (Ver comentario 2.1.4. de
este informe.)
b) Para efectuar las labores de revisión y ajustes mencionadas, se concede
un plazo que vence el 30 de noviembre del año en curso, fecha en la cual se deberá
informar detalladamente a esta Contraloría General sobre los resultados de esas labores.
.
4.2.
AL PRESIDENTE EJECUTIVO.
a) Ordenar a quienes corresponda la realización de un estudio de las
necesidades de recursos humanos de la Dirección de Tecnologías de Información y
Comunicaciones, y con base en los resultados de ese estudio diseñar e implementar un
plan de fortalecimiento suficientemente detallado, con actividades, plazos, responsables,
etc., para dotar a esa dirección, en el menor plazo posible, del personal que tenga la
capacidad técnica necesaria para realizar a cabalidad todas las labores que le han sido
asignadas.
i. Las órdenes a que se refiere esta disposición deberán ser giradas por
ese Despacho en el plazo máximo de quince (15) días hábiles, contados a partir de la
fecha de recibo de este informe, y se deberá remitir a este órgano contralor, al término de
ese plazo, una copia de los documentos que contengan las órdenes giradas.
ii. Para la realización del estudio aquí dispuesto se concede un plazo
máximo de 90 días calendario, contados también a partir de la fecha de recibo del
presente informe.
iii.
Para efectuar el diseño del plan mencionado y dar inicio a su
implementación, se otorga un plazo máximo de 150 días calendario, contados en la
misma forma indicada en los incisos i. y ii. anteriores, al término de los cuales se deberá
remitir, respectivamente, a este órgano contralor, copia del informe que contiene los
resultados del estudio y el plan de fortalecimiento de recursos humanos de la DTIC. (Ver
comentario 2.4. de este informe.)
b) Girar las instrucciones necesarias a quien corresponda con el propósito de
T:(506) 2501-8000
F: (506) 2501-8100
C: Contraloría.General@cgr.go.cr
Apdo.1179-1000. San José
DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA
ÁREA DE SERVICIOS SOCIALES
23
que de inmediato se proceda a realizar una revisión minuciosa de las actividades incluidas
en el plan de implementación de las Normas Técnicas para la Gestión y el Control de las
Tecnologías de Información, a fin de obtener una visión clara de las labores por realizar,
incorporar en el plan aquellas actividades necesarias para la implementación de las
normas y que éste no contenga, determinar las acciones correctivas que deben
efectuarse en el corto plazo para cumplir dicho plan y, asimismo, establecer la asignación
de recursos indispensables para garantizar el logro de los objetivos planteados en ese
instrumento de planificación. Además, como parte de dicha labor, deberán revisarse los
plazos concedidos para las diferentes tareas así como las prioridades establecidas para
su realización, con la finalidad de, en la medida de lo posible, agilizar los procesos de
integración.
i.
Las instrucciones a que se refiere esta disposición deberán ser
giradas por ese Despacho en el plazo máximo de quince (15) días hábiles, contados a
partir de la fecha de recibo de este informe y se deberá remitir a este órgano contralor, al
término de ese plazo, una copia de los documentos que contengan tales instrucciones.
ii. Para efectuar las labores de revisión y ajustes mencionadas, se
concede un plazo que vence el 30 de noviembre del año en curso, y en un plazo de diez
(10) días hábiles, contados a partir de esta última fecha, se deberá remitir a esta
Contraloría General, el cronograma ajustado del plan de implementación de las normas
con la indicación de las actividades, plazos, productos esperados y responsables, para
cada una de las tareas. (Ver comentario 2.5. de este informe.)
4.3
A LA DIRECCIÓN DE TECNOLOGÍAS DE INFORMACIÓN Y
COMUNICACIONES.
a) Establecer, a más tardar el 30 de noviembre de 2009, la estrategia y el
plan de acción detallados necesarios para lograr en año 2011 el cabal cumplimiento de la
función de supervisión a los Centros de Gestión Informática, lo cual debe incluir la
determinación de cual va a ser la instancia institucional a la que se le informarán los
resultados de esas supervisiones a fin de que se logre cumplir en su totalidad la normativa
interna y reducir los riesgos institucionales.
i. De los documentos que definen dicha estrategia y plan de acción
deberá remitirse copia a esta Contraloría General a más tardar el 14 de diciembre de
2009. (Ver comentario 2.2.1. de este informe.)
b) Girar instrucciones a quien corresponda con el fin de que se diseñen e
implementen los mecanismos necesarios para que se mantengan debidamente
actualizados el registro de aplicaciones informáticas institucionales y el inventario de
recursos de TI, a fin de que sirvan como insumo para la toma de decisiones y la
elaboración de los planes institucionales relativos de la gestión de tecnologías de
información, y faciliten la integración de las diferentes instancias que participan en la
función de TI, así como la centralización de la información relativa a los sistemas de
información.
i. Las instrucciones a que se refiere esta disposición deberán ser
giradas por ese Despacho en el plazo máximo de quince (15) días hábiles, contados a
T:(506) 2501-8000
F: (506) 2501-8100
C: Contraloría.General@cgr.go.cr
Apdo.1179-1000. San José
DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA
ÁREA DE SERVICIOS SOCIALES
24
partir de la fecha de recibo de este informe y se deberá remitir a este órgano contralor, al
término de ese plazo, una copia de los documentos que contengan tales instrucciones.
ii. Para efectuar las labores de diseño de los mecanismos citados y
dar inicio a su implementación, se concede un plazo que vence el 30 de setiembre del año
en curso, fecha en la cual se deberá remitir a esta Contraloría General un detalle de los
mecanismos diseñados y su respectivo plan de implementación. (Ver comentarios 2.2.2.
y 2.2.3. de este informe.)
c) Formular, a más tardar el 30 de noviembre de 2009, una estrategia y un
plan de acción detallados para llevar a cabo una efectiva divulgación del marco normativo
que regula la actividad de TI, que garantice por un lado que el personal esté informado
oportunamente de la emisión de las normas, políticas u otras regulaciones, y por otra
parte su comprensión para facilitar el cumplimiento de las mismas.
i. Deberá remitirse copia a este órgano contralor de los documentos
institucionales que definan dicha estrategia y plan de acción, a más tardar el 14 de
diciembre de 2009. (Ver comentario 2.3. de este informe).
La información que se solicita en este informe, así como cualquier otro trámite
para acreditar el cumplimiento de las disposiciones antes consignadas, deberán dirigirse,
dentro de los plazos fijados en el presente apartado 4, al Área de Seguimiento de
Disposiciones de este órgano contralor. Además, en un plazo no mayor de cinco días
hábiles contados a partir de la fecha en que el presente informe sea entregado a cada
entidad, se deberá proceder a designar y a comunicarle al Área de Seguimiento de
Disposiciones, el nombre del funcionario que fungirá como contacto o enlace oficial, con
autoridad para informar sobre el avance y cumplimiento de las disposiciones
correspondientes. En caso de incumplimiento injustificado, será considerado como falta
grave y podría dar lugar a la aplicación de las sanciones previstas en el artículo 69 de la
Ley Orgánica de la Contraloría General de la República, con garantía del debido proceso.
De conformidad con lo establecido por el artículo 342 y siguientes de la Ley
General de la Administración Pública, contra el presente acto caben los recursos de
revocatoria y apelación, que deberán ser interpuestos dentro del tercer día a partir de la
fecha de recibo de la presente comunicación, correspondiéndole a esta Área de
Fiscalización la resolución de la revocatoria y a la Contralora General de la República, la
apelación. Asimismo, contra este acto cabe el recurso extraordinario de revisión ante la
Contralora General de la República, el cual debe formularse en los términos y plazos que
señalan los artículos 353 y 354 de la indicada Ley General de la Administración Pública.
T:(506) 2501-8000
F: (506) 2501-8100
C: Contraloría.General@cgr.go.cr
Apdo.1179-1000. San José
DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA
ÁREA DE SERVICIOS SOCIALES
25
T:(506) 2501-8000
F: (506) 2501-8100
C: Contraloría.General@cgr.go.cr
Apdo.1179-1000. San José
DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA
ÁREA DE SERVICIOS SOCIALES
26
ANEXO 2
ESTUDIOS EMITIDOS POR LA UNIDAD DE AUDITORIA INTERNA
ANALIZADOS DURANTE EL ESTUDIO.
Informe N°
Fecha
Tema del estudio
AGL-370-R2007
30/11/2007
Informe referente a la evaluación de la información contenida en el Sistema
Integrado de Pensiones (SIP).
AI-100-A2007
14/02/2007
Seguimiento al Informe DFOE-SA-29-2006 sobre la Evaluación de los controles
específicos de los Sistemas de Información Financiera SICO Y ADS que
apoyan la generación de los Estados Financieros en la CCSS
AI-202-R2007
19/04/2007
Informe referente al desempeño actual del Sistema Centralizado de
Recaudación (SICERE) y su plataforma tecnológica.
AI-251-R2007
28/05/2007
Seguimiento de condicionamientos del oficio 13900 del 2 de octubre 2006
sobre el Contrato de Servicios de Recaudación de cuotas Obrero-Patronales
entre la CCSS y el BCR.
AI-260-R2007
12/06/2007
Informe Referente a la revisión de la Estructura Organizacional y Estado de
Proyectos de la Dirección de Tecnologías de Información y Comunicaciones.
AI-261-A2007
14/06/2007
Estudio sobre la integridad de datos del Sistema Plataforma Institucional de
Cajas de la sucursal de San Joaquín de Flores
AI-267-R2007
27/06/2007
Informe referente a la evaluación sobre los procedimientos de contratación
administrativa e implementación de sistemas de información en salud en el
Hospital San Juan de Dios.
AI-388-R2007
11/12/2007
Informe referente al proceso de implementación de soluciones informáticas
para la automatización de servicios de salud en la caja costarricense de seguro
social. Gerencia División Médica (donación software Medisys)
ATIC-007-R2008
22/01/2008
Informe referente a la infraestructura de telecomunicaciones existente en el
Hospital San Juan de Dios.
ATIC-051-A2008
15/04/2008
Evaluación referente a la gestión de la seguridad física de las tecnologías de
información administradas por la Clínica Dr. Carlos Durán Cartín.
ATIC-052-R2008
17/04/2008
Informe referente a la gestión gerencial de tecnologías de información y
comunicaciones del Centro de Gestión Informática del Hospital Nacional de
Niños.
ATIC-056-R2008
21/04/2008
Estudio especial referente al proyecto de renovación de la plataforma
institucional de procesamiento de servicios, aplicaciones y base de datos,
Dirección de Tecnologías de Información y Comunicaciones.
T:(506) 2501-8000
F: (506) 2501-8100
C: Contraloría.General@cgr.go.cr
Apdo.1179-1000. San José
DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA
ÁREA DE SERVICIOS SOCIALES
27
ATIC-057-R2008
ATIC-073-A2008
24/04/2008
14/05/2008
Informe referente a la donación de los productos de software medisys®
realizada por la Fundación CR-USA.
Informe Referente a la Gestión de Riesgos de la Dirección de Tecnologías de
Información y Comunicaciones.
ATIC-086-R2007
29/05/2008
Informe sobre las acciones realizadas para la adquisición de tecnologías
utilizadas en las videoconferencias y telemedicina del programa de tele salud
proyecto de fortalecimiento y modernización del sector salud.
ATIC-130-A2008
30/06/2008
Informe referente a la situación actual de las políticas de seguridad informática
en la Caja Costarricense de Seguro Social
ATIC-167-R2008
08/09/2008
Gestión del Proyecto: Sistema de Identificación, Agendas y Citas (SIAC)
Dirección de Tecnologías de Información y Comunicaciones.
ATIC-195-R2008
08/10/2008
Informe Referente a la Implementación de las Políticas y Normas relativas al
Plan de Continuidad de la Gestión de Tecnologías de Información en la CCSS
ATIC-201-A2008
ATIC-243-R2008
16/10/2008
18/12/2008
T:(506) 2501-8000
Estudio Referente a la Gestión de las incidencias y existencia de bitácoras del
Sistema Centralizado de Recaudación (SICERE)
Informe sobre la implementación del proceso de remuneración Sistema
Integrado De Recursos Humanos (SIRH)
F: (506) 2501-8100
C: Contraloría.General@cgr.go.cr
Apdo.1179-1000. San José
DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA
ÁREA DE SERVICIOS SOCIALES
28
ANEXO 3
DEFICIENCIAS DETERMINADAS EN LOS INFORMES DE AUDITORIA
INTERNA ANALIZADOS DURANTE EL ESTUDIO
Deficiencias relacionadas con:
PLANIFICACION DE LOS SISTEMAS
PROCEDIMIENTOS DE SEGURIDAD
FUNCIONAMIENTO DE LOS CENTROS DE GESTIÓN
INFORMATICA
APLICACIÓN DE NORMATIVA SOBRE INFRAESTRUCTURA
INTEGRACIÓN DE SISTEMAS DE INFORMACIÓN
METODOLOGIA PARA DISEÑO BASES DE DATOS
ASIGNACIÓN DE PERSONAL TÉCNICO PARA IMPLEMENTAR
PROYECTOS
ORGANIZACIÓN (FUNCIONES Y ESTRUCTURA)
USUARIOS, CAPACITACIÓN Y CONCIENTIZACIÓN
TOTAL GENERAL
T:(506) 2501-8000
F: (506) 2501-8100
C: Contraloría.General@cgr.go.cr
Frecuencia
27
22
11
11
10
8
3
2
1
95
Apdo.1179-1000. San José
DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA
ÁREA DE SERVICIOS SOCIALES
29
GRÁFICO # 1
Distribución de frecuencia de hallazgos
según los Informes Auditoría Interna
Según Tipo de Deficiencia
2007 y 2008
3
2
1
8
27
10
11
22
11
PLANIFICACION DE LOS SISTEMAS
PROCEDIMIENTOS DE SEGURIDAD
FUNCIONAMIENTO DE LOS CENTROS DE GESTIÓN INFORMATICA
APLICACIÓN DE NORMATIVA SOBRE INFRAESTRUCTURA
INTEGRACIÓN DE SISTEMAS DE INFORMACIÓN
METODOLOGIA PARA DISEÑO BASES DE DATOS
ASIGNACIÓN DE PERSONAL TÉCNICO PARA IMPLEMENTAR PROYECTOS
ORGANIZACIÓN (FUNCIONES Y ESTRUCTURA)
USUARIOS, CAPACITACIÓN Y CONCIENTIZACIÓN
T:(506) 2501-8000
F: (506) 2501-8100
C: Contraloría.General@cgr.go.cr
Apdo.1179-1000. San José
DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA
ÁREA DE SERVICIOS SOCIALES
30
T:(506) 2501-8000
F: (506) 2501-8100
C: Contraloría.General@cgr.go.cr
Apdo.1179-1000. San José
Descargar