INFORME No. DFOE-ED-9-2007 2 DE ABRIL, 2007 DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA ÁREA DE SERVICIOS ECONÓMICOS PARA EL DESARROLLO GESTIÓN DE LA DIRECCIÓN DE TECNOLOGÍA DE INFORMACIÓN DEL BANCO POPULAR Y DE DESARROLLO COMUNAL EN EL DESARROLLO DE PROYECTOS DE TECNOLOGIA DE INFORMACIÓN Y EL CONTROL INTERNO ASOCIADO 2007 HTTP://WWW.CGR.GO.CR Correo Electrónico: Tel. (506) 501-8000 Fax. (506) 501-8100 Apdo. 1179-1000, San José, Costa Rica [email protected] INFORME No. DFOE-ED-9-2007 RESUMEN EJECUTIVO El análisis de la gestión de la Dirección de Tecnologías de Información del BPDC alrededor del desarrollo de una muestra de proyecto en tecnologías de información y el estudio del control interno conexo, abarcó desde enero de 2002 hasta diciembre del 2006, y evidenció debilidades que merecen la atención de la Administración de ese Banco con la finalidad de corregir actuaciones y sobre todo en procura del uso eficiente de los recursos públicos. En ese sentido se evidenció, respecto de la gestión que ha venido desarrollando el BPDC en lo que se refiere a las actividades de planificación, ejecución y control de proyectos en materia de tecnología de información, que esa gestión ha sido lenta y en algunos casos, no ha dado los resultados que se esperaban obtener, con la prontitud que se requería. El estudio de una muestra de proyectos en ese campo evidenciaron debilidades tales como el incumplimiento de varios aspectos de la metodología de administración de proyectos, establecida por esos fines, como por ejemplo la no elaboración de los estudios preliminares y de factibilidad y la no utilización de algunas herramientas de control establecidas en esa metodología (bitácoras e informes), deficiencias en la formulación de los estudios de factibilidad (caso Proyecto Core System), debilidades en el proceso de formulación y definición de los requerimientos funcionales del sistema (Proyecto Core System y Proyecto de Presupuesto). Específicamente en cuanto al proyecto de modernización del Core Bancario del BPDC se determinó que pese a que han transcurrido por lo menos 12 años desde que se iniciaron los primeros esfuerzos por adquirir un nuevo Core, lo cierto es que a la fecha de este estudio, todavía no se ha podido alcanzar ese importante objetivo estratégico, pese a que el Banco ha invertido millonarias sumas de dinero por esos conceptos. Al respecto, las labores realizadas por el Banco desde 1998 hasta aproximadamente el 2000, en la obtención de ese Core Bancario representaron pérdidas para el Banco por U.S $8,5 millones, asuntos que fueron, en su oportunidad, objeto de análisis por la AI del BPDC, también se efectuó un proceso administrativo por parte de la Administración de esa entidad bancaria y posteriormente, fue atendido en el Ministerio Público, por tanto estos asuntos no fueron objeto de análisis por este órgano contralor en este estudio. No obstante, en la revisión de las nuevas gestiones realizadas por el BPDC, desde el año 2002 a la fecha, para contar con el citado Core Bancario, se determinaron también situaciones que han provocado atrasos en ese nuevo proyecto y según los cronogramas actualizados se contará con ese sistema hasta finales del 2009, con el consecuente incremento de los respectivos costos administrativos. Desde el 2003 a setiembre del 2006, el BPDC ha aplicado un total de aproximadamente un ¢1.4 mil millones. Adicionalmente se determinaron algunas situaciones relacionadas con el control interno y las mejores prácticas en tecnologías de información, que pueden mejorar el funcionamiento de la DTI. Entre estas destacan, la necesidad de actualizar el Plan de Contingencia en materia de tecnologías de información, de forma tal que se minimice el riesgo de pérdida de información bancaria y de los clientes del Banco; la importancia de identificar los principales riesgos que tiene ese Banco si se sigue utilizando el edificio donde se ubica actualmente el Centro de Cómputo y la DTI y la carencia de un sistema de contabilidad de costos que le permita conocer detalladamente cuántos han sido los recursos humanos y materiales, invertidos por el BPDC para el desarrollo de un determinado proyecto en TI. En virtud de todo lo anterior se giraron las disposiciones pertinentes para que se corrijan las deficiencias en cuanto a la formulación de estudios preliminares y de factibilidad, se cumpla estrictamente la metodología de administración de proyectos, se establezcan los controles necesarios para asegurar el fiel cumplimiento de los aspectos pendientes del proyecto Core System, se elabore un Plan de Contingencia en materia de TI que contemple todas las plataformas tecnológicas con que cuenta el Banco, se defina una estrategia que le permita a esa entidad bancaria que, en un corto plazo se mitiguen los riesgos identificados en el Edificio Alejandro Rodríguez donde está ubicado el Centro de Cómputo y la unidad de TI; así como que se establezca un sistema formal de contabilidad de costos para los proyectos en TI. A la Auditoría Interna se le gira la disposición de realizar un estudio para efectos de determinar si las actuaciones de los funcionarios que han estado a cargo de la conceptualización, ejecución, desarrollo y control del proyecto Core System, desde el año 2002 a la fecha, tipifican como hechos generados de responsabilidad administrativa. HTTP://WWW.CGR.GO.CR Correo Electrónico: Tel. (506) 501-8000 Fax. (506) 501-8100 Apdo. 1179-1000, San José, Costa Rica [email protected] CONTENIDO Página No. RESUMEN EJECUTIVO 1. INTRODUCCIÓN. .................................................................................................................... 1 1.1. ORIGEN DEL ESTUDIO. ........................................................................................... 1 1.2. ALCANCE DEL ESTUDIO......................................................................................... 1 1.3. GENERALIDADES DE LA DIRECCIÓN DE TECNOLOGÍAS DE INFORMACIÓN DEL BPDC. ..................................................................................................................... 2 1.4. PRESENTACIÓN DE RESULTADOS A LA ADMINISTRACIÓN DEL BPDC. .............................................................................................................................. 3 2. RESULTADOS DEL ESTUDIO. .......................................................................................... 3 2.1. RESULTADOS DEL ESTUDIO DE LA GESTIÓN DESPLEGADA POR LA DTI, SEGÚN EL ANÁLISIS DE UNA MUESTRA DE PROYECTOS EN TECNOLOGÍAS DE INFORMACIÓN. .................................................................................................... 3 2.1.1 IMPORTANCIA DE CONTAR UN SISTEMA DE CONTABILIDAD DE COSTOS PARA LOS DIFERENTES PROYECTOS QUE DESARROLLA LA DTI..................................................................................... 3 2.1.2 SOBRE EL CUMPLIMIENTO DE LA METODOLOGÍA PARA LA ADMINISTRACIÓN DE PROYECTOS, VIGENTE DESDE EL AÑO 1998. ...................................................................................................................... 4 2.1.3. .... RESULTADOS ESPECÍFICOS EN CUANTO AL PROYECTO DE ADQUISICIÓN DE UN NUEVO CORE BANCARIO PARA EL BPDC. .................................................................................................................... 6 2.1.4. .... RESULTADOS ESPECÍFICOS DEL PROYECTO ADQUISICIÓN, IMPLEMENTACIÓN Y ADAPTACIÓN DEL SISTEMA PARA LA ADMINISTRACIÓN Y CONTROL DE LAS INVERSIONES TRANSITORIAS Y PERMANENTES. ....................................................... 17 2.1.5 RESULTADOS ESPECÍFICOS EN CUANTO AL PROYECTO DE COMPRA E IMPLANTACIÓN DE UN SISTEMA INTEGRADO DE PRESUPUESTO. ............................................................................................. 22 2.2. SOBRE EL EDIFICIO DONDE SE ENCUENTRA UBICADO EL CENTRO DE CÓMPUTO Y LA DTI. ........................................................................................ 24 2.3. NECESIDAD DE CONTAR CON UN PLAN DE CONTINGENCIA EN MATERIA HTTP://WWW.CGR.GO.CR Correo Electrónico: Tel. (506) 501-8000 Fax. (506) 501-8100 Apdo. 1179-1000, San José, Costa Rica [email protected] 2 DE TECNOLOGIAS DE INFORMACIÓN ACTUALIZADO Y EN OPERACIÓN. .............................................................................................................. 26 2.4. SOBRE EL COMITÉ GERENCIAL INFORMÁTICO CORPORATIVO Y EL COMITÉ CORPORATIVO DE TECNOLOGÍA. ................................................. 29 2.5. IMPORTANCIA DE CONTAR CON UN SISTEMA DE VALORACIÓN DEL DESEMPEÑO ESPECÍFICO PARA LOS FUNCIONARIOS DE LA DTI Y DE UN PROCESO DE INDUCCIÓN PARTICULAR PARA PERSONAL NUEVO QUE INGRESE A ESA DIRECCIÓN. .................................................. 31 2.6. OTROS ASPECTOS DE CONTROL INTERNO. ............................................. 32 2.6.1. .... OBSERVACIONES A LA NORMATIVA INTERNA DEL BPDC EN MATERIA DE ADMINISTRACIÓN DE PROYECTOS EN TI. ............ 32 2.6.2 SOBRE LA ACTUALIZACIÓN DEL MANUAL DE POLÍTICAS INTERNAS DE TI Y DEL DOCUMENTO “ACTIVIDADES DE ASEGURAMIENTO DE LA CALIDAD” ............................................................................................. 33 2.6.3. ............ EXPEDIENTES SIN FOLEAR, CON DOCUMENTACIÓN SIN ORDEN CRONOLÓGICO Y SIN ÍNDICE DE CONTENIDO. ............ 34 3. CONCLUSIONES. ................................................................................................................. 34 4. DISPOSICIONES. .................................................................................................................. 35 4.1. AL GERENTE GENERAL CORPORATIVO. ..................................................... 35 4.2. AL DIRECTOR DE TECNOLOGÍAS DE INFORMACIÓN............................. 36 4.3. A LA AUDITORÍA INTERNA. ................................................................................ 38 HTTP://WWW.CGR.GO.CR Correo Electrónico: Tel. (506) 501-8000 Fax. (506) 501-8100 Apdo. 1179-1000, San José, Costa Rica [email protected] INFORME No. DFOE-ED-9-2007 DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA ÁREA DE SERVICIOS ECONÓMICOS PARA EL DESARROLLO GESTIÓN DE LA DIRECCIÓN DE TECNOLOGÍA DE INFORMACIÓN DEL BANCO POPULAR Y DE DESARROLLO COMUNAL EN EL DESARROLLO DE PROYECTOS DE TECNOLOGIA DE INFORMACIÓN Y EL CONTROL INTERNO ASOCIADO 1. INTRODUCCIÓN. 1.1. ORIGEN DEL ESTUDIO. El estudio se realizó en cumplimiento del Plan Anual de Trabajo de la División de Fiscalización Operativa y Evaluativa 1.2. ALCANCE DEL ESTUDIO. El estudio efectuado tuvo como alcance principal la revisión de algunos de los proyectos en materia de tecnología de información desarrollados por el el Banco Popular y de Desarrollo Comunal (BPDC de ahora en adelante), considerando, entre otros asuntos, el cumplimiento de la Metodología para la Administración de Proyectos de esa entidad bancaria; así como los objetivos para los que dichos proyectos fueron concebidos. Se aclara que este análisis no contempló el análisis de los aspectos específicamente técnicos asociados a cada uno de esos proyectos, sino que se limitó a la valoración de la eficiencia y eficacia con que algunas de las actividades programadas para la realización de los referidos proyectos, fueron llevadas a cabo. Además, contempló una evaluación general del sistema de control interno existente en la Dirección de Tecnologías de Información (DTI de ahora en adelante). El período de análisis abarcó de enero de 2002 a diciembre de 2006, ampliándose en aquellos casos en que se consideró necesario. El estudio se realizó de conformidad con el Manual de normas generales de control interno para la Contraloría General de la República y las entidades y órganos sujetos a su fiscalización, así como del Manual sobre normas técnicas de control interno relativas a los sistemas de información HTTP://WWW.CGR.GO.CR Correo Electrónico: Tel. (506) 501-8000 Fax. (506) 501-8100 Apdo. 1179-1000, San José, Costa Rica [email protected] 2 computadorizados. Asimismo, se consideró lo establecido por la SUGEF, según correspondía. También como referencia sobre algunos asuntos de naturaleza especializada, se recurrió a normas técnicas de aceptación general, tales como el modelo de Objetivos de Control para la Información y Tecnologías Relacionadas (COBIT: Control objectives for information and related technology), emitido por la Asociación de Auditoría y Control de Sistemas de Información (ISACA: Information Systems Audit and Control Association), normas que han sido adoptadas por el BPDC “…como una metodología que ayudará a controlar, de una forma más adecuada toda la actividad de Tecnología de Información del Banco…” 1. 1.3. GENERALIDADES DE LA DIRECCIÓN DE TECNOLOGÍAS DE INFORMACIÓN DEL BPDC. Conforme la estructura orgánica actual del BPDC, la DTI depende directamente de la Gerencia General Corporativa y sus principales funciones son apoyar al Banco en el logro de los objetivos de negocios, incorporando la tecnología correspondiente de conformidad con el Plan Estratégico Corporativo; mantener actualizada y en operación la infraestructura tecnológica del Banco; mantener, adquirir e implementar los sistemas de información con que cuenta el Banco; administrar la seguridad sobre la infraestructura y los sistemas de información del Banco; asesorar los procesos de contratación relacionados con TI, entre otras muchas. Propiamente y según se señala en el Plan Estratégico Tecnología de Información Conglomerado Banco Popular y de Desarrollo Comunal 2006-20092, estructuralmente la DTI está conformada por tres principales Procesos (Desarrollo, Control Operativo y Operación de Producción), los cuales a su vez se subdividen en un total de 11 Subprocesos, estructura que, en conjunto, de acuerdo con el referido Plan “…está orientada a las cuatro grandes áreas de tecnología definidas por las mejores prácticas de control a saber: Planeación y Organización, Adquisición e Implementación, Entrega y Soporte y Monitoreo y Evaluación.”. Existe asimismo, una serie de comités y comisiones a nivel corporativo, institucional y de la DTI propiamente, que tienen la función de coadyuvar en el cumplimiento de los objetivos en materia de tecnología de información, planteados por el Banco Popular y sus subsidiarias. Los comités son el Comité Gerencial Informático Corporativo, presidido por el Gerente General Corporativo, el Comité Corporativo de Tecnología, integrado por el Director de Tecnologías del Banco y los encargados de tecnología de información de cada una de empresas subsidiarias del Banco y el Comité de Tecnología, integrado por el Director de Tecnologías y los jefes de los tres principales Procesos de esa Dirección. Respecto de las comisiones, están la Comisión de Planeamiento Estratégico integrada desde sus orígenes por directivos de la Junta Directiva Nacional (actualmente son tres propietarios y tres suplentes) y la Comisión que analiza y autoriza cambios a los sistemas de información existentes en el Banco, integrada por diferentes miembros de los Procesos y Subprocesos de la DTI. 1 2 Ver oficio No. GG-781-2002 y acta de la sesión No. 04-2002 del 1 de julio de 2002 del Comité Gerencial Informático del BPDC. Aprobado por la Junta Directiva Nacional del BPDC, con acuerdo No. 530 de la sesión No. 4409 del 17 de julio del 2006. HTTP://WWW.CGR.GO.CR Correo Electrónico: Tel. (506) 501-8000 Fax. (506) 501-8100 Apdo. 1179-1000, San José, Costa Rica [email protected] 3 1.4. PRESENTACIÓN DE RESULTADOS A LA ADMINISTRACIÓN DEL BPDC. Los resultados, conclusiones y disposiciones del presente estudio fueron expuestos ante el Gerente General Corporativo del BPDC, Lic. Gerardo Porras Sanabria, el 8 de febrero del año 2007, el Lic. Manuel Ramírez Alfaro, Director de Tecnologías de Información y del Lic. Edgar Bolaños Jara, en representación de la Auditoría Interna de ese Banco. 2. RESULTADOS DEL ESTUDIO. 2.1. RESULTADOS DEL ESTUDIO DE LA GESTIÓN DESPLEGADA POR LA DTI, SEGÚN EL ANÁLISIS DE UNA MUESTRA DE PROYECTOS EN TECNOLOGÍAS DE INFORMACIÓN. En ese aparte se detallan los resultados del análisis de la gestión desarrollada por la DTI, en las actividades de planeamiento, ejecución, control y verificación de una muestra de proyectos en tecnologías de información, que el BPDC ha venido llevando a cabo aproximadamente desde el año 2001, el cual incluyó la verificación del cumplimiento de la Metodología para la Administración de Proyectos de ese Banco3, el estudio de la eficiencia y eficacia con que se administraron dichos proyectos y la existencia de medidas de control interno aplicables. Los proyectos estudiados fueron a saber, Proyecto de adquisición de un nuevo Core Bancario4, el cual inició en el año 2002 y a la fecha de finalización de estudio está en desarrollo; Proyecto de adquisición, implementación y adaptación del sistema para la administración y control de las inversiones transitorias y permanentes, que inició en mayo del 2003 y finalizó en octubre de ese mismo año y Proyecto de compra e implantación de un sistema integrado de presupuesto (SIPRE), que inició en octubre del 2001 y finalizó en marzo del 2006. 2.1.1. IMPORTANCIA DE CONTAR UN SISTEMA DE CONTABILIDAD DE COSTOS PARA LOS DIFERENTES PROYECTOS QUE DESARROLLA LA DTI. Una de las principales herramientas administrativas con que debe contar toda organización que desarrolla proyectos, es precisamente, un sistema contable que le permita conocer detalladamente los costos y los gastos en que incurre en la ejecución de los proyectos, con el propósito de que los niveles gerenciales puedan tomar decisiones de una manera rápida y eficaz. No obstante lo anterior, el estudio realizado permitió evidenciar que la DTI carece de un sistema de contabilidad de costos que le permita conocer detalladamente cuántos han sido los recursos humanos y materiales, invertidos por el BPDC para el desarrollo de un determinado proyecto en TI, siendo que en el 3 4 La referida metodología se denominó originalmente “Metodología para la administración y control de proyectos informáticos” y fue aprobada por el Comité Gerencial Informático el 12 de agosto de 1998. Posteriormente, en junio del 2005, fue actualizada y por ende modificada y su nombre se cambió a “Metodología para Administración de Proyectos”. Actualmente se encuentra en un nuevo proceso de revisión y aprobación. Conjunto de sistemas de información de las áreas sustantivas de una entidad bancaria. Se le conoce también como “Solución Integrada Bancaria (SIB)” o “Core Bancario”. Específicamente en el BPDC al proyecto de adquisición de un nuevo Core Bancario se le conoce como Proyecto Core Systems. HTTP://WWW.CGR.GO.CR Correo Electrónico: Tel. (506) 501-8000 Fax. (506) 501-8100 Apdo. 1179-1000, San José, Costa Rica [email protected] 4 caso de los proyectos contratados por outsorcing, el único costo posible que se le asocia es el denominado costo directo, estipulado directamente en el contrato firmado y que se va desembolsando conforme lo pactado, pero lo que se refiere a costos indirectos (energía, papelería, recurso humano, capacitación, entre otros), no es posible asociarlos a cada proyecto. La carencia de un sistema de información contable como el indicado no le permite al Banco tomar las decisiones administrativas y técnicas pertinentes, en aquellos casos en que se considere que los recursos que se destinen a un proyecto en particular, estén sobrepasando de los límites establecidos para él, como por ejemplo que se estén cargando horas extras en forma excesiva a un proyecto, o que una actividad particular del proyecto, esté absorbiendo más recursos de los previstos Esta situación es reconocida por la Administración del Banco, quienes al momento de la finalización del trabajo de campo de este estudio, nos facilitaron, el borrador del documento denominado “Metodología para la Administración de Costos en Proyectos” cuyo objetivo es establecer un proceso, un procedimiento y una serie de lineamientos para facilitar la administración efectivas de los costos que afectan a los proyectos, no obstante, debe considerase que dicho documento es un borrador al cual le falta el proceso de validación y aprobación correspondiente. La norma PO10 de COBIT referente a la administración de proyectos señala que toda organización debe adoptar y aplicar sólidas técnicas de administración de proyectos para cada proyecto emprendido, para lo que deberá tomar en cuenta, entre otros aspectos, la elaboración de presupuestos de costos y horas hombre; además la norma Ds7 señala que se debe asegurar un conocimiento correcto de los costos atribuibles a los servicios de TI, para lo que se deberá contar con un sistema de contabilidad de costos que asegure que éstos sean registrados, calculados y asignados a los niveles de detalle requeridos. 2.1.2. SOBRE EL CUMPLIMIENTO DE LA METODOLOGÍA PARA LA ADMINISTRACIÓN DE PROYECTOS, VIGENTE DESDE EL AÑO 1998. En cuanto al cumplimiento de la Metodología para la Administración de Proyectos, vigente al momento de la conceptualización y desarrollo de los tres proyectos estudiados por la Contraloría General, si bien en términos generales los proyectos fueron desarrollados con apego a la referida metodología, hubo algunos incumplimientos que se exponen seguidamente: a) La metodología vigente establecía la obligación de elaborar un estudio preliminar y con base en los resultados de ese estudio hacer el respectivo estudio de factibilidad, obligación que estaba de acorde con lo dictado por el Manual sobre normas técnicas de control interno relativas a los sistemas de información computadorizados (301.01 y 301.02). Sin embargo, en el caso de los proyectos de Administración de Inversiones y de SIPRE, no se localizaron los documentos que respaldaran que se hubiera hecho el estudio preliminar ni el estudio de factibilidad. En el caso del Proyecto Core System, dichos documentos si fueron elaborados, aunque HTTP://WWW.CGR.GO.CR Correo Electrónico: Tel. (506) 501-8000 Fax. (506) 501-8100 Apdo. 1179-1000, San José, Costa Rica [email protected] 5 específicamente sobre el estudio de factibilidad, se tienen algunas observaciones que se comentan en el aparte 2.1.2.3 de este documento. En atención a nuestra consulta, se nos informó5 que los referidos estudios no fueron requeridos para el inicio de los proyectos, sino que lo que se elaboró fueron unos informes que contienen, en forma general, los objetivos de los proyectos, los requerimientos, el costo estimado, así como la justificación y recomendación para realizarlo. No obstante, de la revisión de esos informes esta Contraloría verificó que los mismos no constituyen los respectivos estudios preliminares o de de factibilidad; así como tampoco que con esos informes se cumplieran los objetivos que buscan alcanzar dicho tipos de estudio, referidos a poder identificar los alcances del nuevo desarrollo y el entorno del sistema, emitir un juicio técnico preliminar en relación con los problemas, beneficios, oportunidades y necesidades del usuario; así como evaluar el potencial del sistema propuesto en función de los planes estratégicos -institucional e informático vigentes. Contar con ese tipo de estudios, también permite a la Administración establecer si el proyecto pretendido mejorará la operatividad del negocio específico, si se requieren eliminar, mejorar o crear procedimientos, si el personal precisa de mejoras en sus tareas, valorar si la infraestructura física actual es apropiada o requiere ajustes, además de considerar si el desarrollo del sistema va a afectar la estructura de recursos humanos existente. Además permiten determinar cómo se va a desarrollar el proyecto, realizando un análisis de posibilidades para su desarrollo, ya sea por outsourcing o insourcing, identificando las razones por las que se elige un procedimiento u otro y por último, determinar los recursos económicos y financieros necesarios para el desarrollo de las diferentes actividades, tomando en cuenta tanto el tiempo como el costo para la obtención de esos recursos. Debemos señalar la metodología vigente actualmente (a partir de abril del 2005) lo que indica es que la etapa de conceptualización de un proyecto se inicia con la formulación de un “Informe de Negocios” (cuando la propuesta proviene de alguna de las dependencias adscritas a la Subgerencia General de Operaciones) o de un “Informe de propuesta” (cuando la propuesta viene de alguna de las dependencias adscritas a la Gerencia General o de la Subgerencia General de Operaciones o a la misma DTI), documentos que por sus características equivalen a un estudio preliminar. De igual manera se indica que, se deberán elaborar los estudios de factibilidad para los proyectos en materia de TI, es decir, que se mantiene la obligación de elaborar dichos tipos de estudio, por lo que el Banco debe sujetarse a esa normativa para el desarrollo de todos sus proyectos. b) La referida metodología para administración de proyectos, tanto la aplicable a los proyectos estudiados como la vigente actualmente, define una serie de herramientas que se deben utilizar para el proceso de seguimiento y control de los proyectos en tecnologías de información. El análisis efectuado evidenció que en los proyectos estudiados, algunas de esas herramientas no fueron utilizadas y otras presentan deficiencias en su confección. 5 Ver oficios Nros. PCO-280-2006 y PCO-293-2006, del 13 y 29 de noviembre del 2006. HTTP://WWW.CGR.GO.CR Correo Electrónico: Tel. (506) 501-8000 Fax. (506) 501-8100 Apdo. 1179-1000, San José, Costa Rica [email protected] 6 Ejemplo de lo anterior son las bitácoras6 de los proyectos, las cuales, en los casos estudiados, no se localizaron en los respectivos expedientes. En ese sentido, se informó7 por parte del Banco que aproximadamente a partir de julio del 2004, se dejó de utilizar ese documento como herramienta obligatoria a nivel de proyectos, ya que se contaba con otra serie de mecanismos de control y seguimiento, tales como minutas, seguimiento de acuerdos e informes de avance semanal. No obstante, lo señalado por esa entidad bancaria, lo cierto es que la metodología establecida por el Banco Popular, tanto la vigente como la anterior, exigen la elaboración del documento en mención, por lo que si se considera innecesario su utilización, deberán plantearse las modificaciones del caso a lo establecido en esa metodología. Adicional a las bitácoras están los informes (de avance o de cualquier otra naturaleza), los cuales, en el caso del Proyecto de Administración de inversiones, si bien la empresa contratista, presentó informes de avance del proyecto en forma periódica, se determinó que los mismos no fueron remitidos a un destinatario específico, ni se consignó la aprobación de funcionarios del BPDC de esos documentos. Asimismo, un último informe sobre ese proyecto elaborado por la Administradora del mismo por parte del BPDC, tampoco tiene un destinatario específico aunque se encuentra aprobado tanto por el Director como por el líder funcional del proyecto, ambos funcionarios del Banco. En el caso del proyecto SIPRE igual situación se presentó con algunos de los informes elaborados, en los que no quedó evidencia del destinatario o de la entrega formal para su revisión y aprobación, además de que en algunos casos, los mismos no consignaba la firma de quien los confeccionó. Aunque en la metodología existente en el Banco Popular no se tienen establecidos los formalismos que deben contener los diferentes informes (con excepción de los de avance), es importante que en todo caso, siempre quede constancia de a quién va dirigido el informe, y por supuesto quién lo emite y lo firma; así como de la aprobación del mismo en caso que corresponda, todo con el fin de documentar suficientemente y ejercer una adecuada rendición de cuentas, aspecto que también deberá ser incorporado en esa metodología. 2.1.3. RESULTADOS ESPECÍFICOS EN CUANTO AL PROYECTO DE ADQUISICIÓN DE UN NUEVO CORE BANCARIO PARA EL BPDC. 2.1.3.1. ASPECTOS RELACIONADOS CON LA DURACIÓN DEL PROCESO DE ADQUISICION DE UN NUEVO CORE BANCARIO. El principal proyecto que el BPDC ha visualizado en materia de tecnologías de información desde hace ya algunos años, se refiere a la adquisición de un nuevo Core Bancario,el cual, de conformidad con el Plan General del Proyecto8, tiene como objetivo principal “Adquirir el conjunto de sistemas del ‘Core’ Bancario, personalizarlos y ponerlos en operación, así como adquirir el Hardware y Software necesario para la puesta en marcha de dichos sistemas, con el fin de que el Banco Popular cuente con sistemas modernos desarrollados con 6 7 8 Recopilación cronológica de los hechos más importantes, anotaciones, ideas y consideraciones futuras que se sucedan en un proyecto. Oficio No. PCO-293-2006 del 29 de noviembre del 2006. Versión No. 1.0 de noviembre del 2002. HTTP://WWW.CGR.GO.CR Correo Electrónico: Tel. (506) 501-8000 Fax. (506) 501-8100 Apdo. 1179-1000, San José, Costa Rica [email protected] 7 herramientas de alta tecnología, que permitan apoyo para el servicio al cliente y toma de decisiones rápidas y oportunas, visualizando al cliente en una forma integral y manejando las diferentes actividades de la Contabilidad de forma integrada”. a) Desde por lo menos el año 1994, diferentes administraciones del BPDC han reconocido la necesidad de un cambio en las plataformas tecnológicas del Banco y particularmente de los sistemas y/o aplicaciones que se respaldan en ellas y que dan soporte a sus operaciones bancarias y administrativas, por lo que se han venido desarrollando esfuerzos, desde ese entonces, para lograr la sustitución del Core Bancario con que cuenta actualmente el Banco, en virtud de que “…está concentrado en los productos, no en el cliente. Carece de flexibilidad, se basa en tecnología antigua y es difícil de integrar con otros tipos de sofware”9. Uno de los principales esfuerzos llevados a cabo por el BPDC fue precisamente la adquisición de una solución integrada bancaria denominada “Alltel Systematics”, que se originó, según indagaciones hechas por esta Oficina, a partir de una propuesta de modernización de la plataforma tecnológica del Banco, presentada por la Administración de ese entonces, a la Junta Directiva Nacional, en el año 1994 y que, luego de varias contrataciones tramitadas durante los años 1995 y 1996, el Banco adquirió por la suma de casi U.S $ 4,0 millones. No obstante el elevado costo económico que el BPDC tuvo que enfrentar por la referida solución informática “Alltel Systematics”, la misma no se logró ejecutar con éxito, ya que al final del proceso, únicamente se logró poner en operación de un total de dieciocho módulos adquiridos, tres correspondientes al Sistema de Cuentas Corrientes. De acuerdo con estimaciones realizadas por la Administración del BPDC, el costo total final de ese proyecto ascendió a $8.350.480.4110, sin tomar en cuenta el costo que representó para el Banco la falta de oportunidad en la renovación de su Core Bancario, es decir la repercusión que eso tuvo en los servicios que dicha entidad financiera brindaba a sus clientes. Se debe señalar respecto a este tema, que la Auditoría Interna del BPDC, elaboró varios informes11 dando como resultado de esas investigaciones, la determinación de varias irregularidades en los procesos de planificación y contratación, que a criterio de esa Auditoría, afectaron el proceso de implementación de la referida “solución informática”, hechos que fueron posteriormente objeto de investigación por parte de un Órgano Director 9 10 11 Tomado del Plan General Proyecto Core Systems, versión 1.0 de noviembre de 2002. Incluye costos de licencias, mantenimiento anual de los módulos adquiridos, contratos de instalación, consultorías, viáticos y módulos adquiridos, contratos de instalación, consultorías, viáticos y hospedajes, salarios ordinarios y extraordinarios de los funcionarios participantes, capacitación, traducciones, llamadas telefónicas al exterior, etc. No obstante, mediante acuerdo de Junta Directiva Nacional, se acordó reconocer únicamente como pérdidas las sumas desembolsadas y relacionadas con los módulos no implementados, por lo que se consideró como pérdida para la entidad por la suma de $3.156.253,27. Ver informes Nros AG-0095, AG-098 y AG- 099 de fechas 06, 11 y 12 de marzo, todos de 1998. HTTP://WWW.CGR.GO.CR Correo Electrónico: Tel. (506) 501-8000 Fax. (506) 501-8100 Apdo. 1179-1000, San José, Costa Rica [email protected] 8 Administrativo del BPDC y del Ministerio Público12, por tanto lo actuado en estos períodos no fue objeto de análisis por este órgano contralor. b) En razón de lo anterior, el BPDC contrató mediante Licitación por Registro No. 4-2000, los servicios profesionales en “Planificación Estratégica de Tecnología de Información” a la empresa consultora KPMG, la que realizó (primer semestre del 2001) una nueva evaluación de los principales sistemas utilizados por el Banco y concluyó13, sobre las aplicaciones que integran el Core Bancario actual del Banco, entre otras cosas, que los sistemas que lo conforman son rígidos y no permiten una fácil adaptación de los nuevos servicios y tendencias del mercado, por lo que la principal recomendación de la firma consultora fue que el Banco asignara prioridad a la actualización de la plataforma de aplicaciones, tanto para el Core Bancario como para el “Back Office”. Es a partir de este nuevo estudio que el Banco decide volver a intentar adquirir un nuevo Core Bancario, ya que la necesidad sigue latente, por lo que la Junta Directiva Nacional acordó aprobar un nuevo Plan Estratégico de Tecnología de Información14 y autorizar a la Administración del Banco adoptar las medidas necesarias para poner en práctica la ejecución del Plan (sobre este tema se ampliará en el aparte siguiente de este informe). Ese nuevo proyecto denominado Core Systems, pretende la implementación de nuevos sistemas de información para las Áreas de Captación, Colocación, Contabilidad, Clientes y Canales Alternos, sistemas a los que posteriormente se agregaron otros adicionales (Gestión de Cobro, Control de Garantías, Cajas y Plataforma, entre otros)15. Para el desarrollo del citado proyecto la Administración del BPDC creó, desde el año 2002, una estructura organizacional propia para el proyecto Core Systems (octubre de 2002) encabezada por un Director y un Subdirector de Proyecto, quienes a su vez reportaban a la Gerencia General Corporativa y se relacionan con el Comité Gerencial Informático Corporativo del Banco. Además asignó conforme el desarrollo del mismo, cada vez más recursos humanos, financieros y materiales, el equipo de trabajo del proyecto ha estado integrado por un equipo interdisciplinario de profesionales, conformado por administradores de proyecto, líderes de negocio y técnicos, y según información 12 13 14 15 Según resolución del Juzgado Penal del Primer Circuito Judicial de San José, de fecha 29 de noviembre del 2005, se desestima la causa No. 98-006464-0042-PE en perjuicio del BPDC y en el orden administrativo, la Resolución Final sobre el caso Alltell Systematics fue aprobada por la Junta Directiva Nacional (sesión extraordinaria privada No. 3819 del 27/2/01), exonerando a algunos de los imputados y responsabilizando a otros que ya no fungían como funcionarios del Banco en ese momento. Véase informes Nros. 1 y 2, denominados “Análisis y Diagnóstico de la Situación Actual y Recomendación de Acciones a Corto Plazo”, de fecha 31 de mayo de 2001, emitido por la firma KPMG. La firma consultora KPMG elaboró un Plan Estratégico Informático para el BPDC, el cual incluía una cartera de proyectos tecnológicos que, a juicio de esa firma, eran importantes para el Banco y entre los que estaban el Proyecto de Cambio del Core Bancario. Dicho Plan fue aprobado por la Junta Directiva Nacional en sesión No. 3495 del 4 de enero del 2002. Ver informes Nros. CORE-262-2003 y CORE-296-2003 del 7 de noviembre y 9 de diciembre, ambos de 2003, respectivamente. HTTP://WWW.CGR.GO.CR Correo Electrónico: Tel. (506) 501-8000 Fax. (506) 501-8100 Apdo. 1179-1000, San José, Costa Rica [email protected] 9 suministrada por la Dirección de Desarrollo Humano y Organizacional del BPDC 16, a partir del mes de enero del 2003 y hasta el mes de noviembre del 2006 trabajaron en el citado proyecto un total de treinta y dos funcionarios. Al mes de noviembre del 2006, se encontraban trabajando en el proyecto un total de catorce personas. Sin embargo, la Administración de ese Proyecto fue objeto de críticas, tanto por parte de la Auditoría Interna17 como del Área de Aseguramiento de la Calidad de la DTI18, quienes señalaron importantes deficiencias en la gestión del Proyecto, tales como debilidades en el seguimiento de las actividades, problemas en la definición de funciones y autoridad, deficiencias en el Plan de Proyecto, deficiencias en la definición y validación de requerimientos técnicos y funcionales del proyecto, debilidades en el estudio de factibilidad y atrasos en los plazos de cumplimiento de actividades programadas, entre otras. Según información suministrada por la Auditoría Interna del Banco, la mayoría de las recomendaciones dadas en los diferentes informes, han sido puestas en ejecución, aunque algunas se encuentran en proceso de cumplimiento. Propiamente, con respecto a la etapa de ejecución del Proyecto Core System, se tiene que las actividades comenzaron desde enero del 2003, conforme el cronograma inicial19 de ese proyecto, no fue sino hasta el mes de enero del 2005 que se instruyeron las gestiones para el inicio de la Licitación Pública No. 038-2005 para la “Adquisición, personalización, implementación, postimplementación y mantenimiento de una solución integrada bancaria (SIB)”, aunque el citado cronograma establecía como fecha probable de inicio del proceso de contratación, el mes setiembre del 2003, es decir se presentó un desfase de más de un año, explicado en alguna medida por los diferentes atrasos que se tuvieron en la formulación y definición de los requerimientos funcionales y técnicos del proyecto, tema sobre el que también se ampliará más adelante. Posteriormente, en marzo del 2006, dicha licitación fue declarada infructuosa, debido a que la única oferta recibida, excedía la disponibilidad presupuestaria y no se contaba con los recursos económicos suficientes. Dado los resultados de la licitación mencionada, surgió la necesidad de replantear algunas de las actividades requeridas para lograr seguir con el proyecto, dando como corolario, entre otras cosas, la revisión de los requerimientos técnicos y funcionales del proyecto y el inicio de un nuevo proceso de contratación (Licitación Pública No. 052-2006), el cual al momento de finalización de este estudio, se encuentra en la etapa de análisis de las ofertas recibidas. Todo lo expuesto hasta ahora evidencia que, pese a que las diferentes Administraciones del BPDC, desde por lo menos el año 1994, han 16 17 18 19 Véase nota No. DDHO-1794-2006 del 3 de noviembre de 2006, suscrita por MRH. Sandra Ma. Valerín Martínez. Ver, entre otros, los informes Nros. AG-0228 del 3 de mayo del 2002, SUBA-159-2003 del 24 de abril del 2003, AG-479-2003 del 20 de noviembre del 2003, ATI-26-2004 del 10 de febrero del 2004, AG-120-2004 del 26 de marzo del 2004, AG-295-2004 del 30 de junio del 2004, SUBA-6342004 del 22 de diciembre del 2004, AG-193-2005 del 9 de mayo del 2005, AG-423-2005 del 10 de agosto del 2005 y AG-496-2006 del 25 de julio del 2006. Véase informe sin número de marzo del 2004, realizado por el Área de Aseguramiento de la Calidad de la DTI del BPDC. Cronograma adjunto a oficio No. CORE-007-2002 del 28 de octubre de 2002. HTTP://WWW.CGR.GO.CR Correo Electrónico: Tel. (506) 501-8000 Fax. (506) 501-8100 Apdo. 1179-1000, San José, Costa Rica [email protected] 10 sido concientes de la necesidad que tiene ese ente de modernizar su Core Bancario, lo cierto, es que a la fecha de hoy, aún no ha sido posible cumplir con ese objetivo estratégico, pese a los esfuerzos realizados en ese sentido, y a la considerable inversión para de esa entidad bancaria,, tanto en tiempo como en recursos financieros, ya que según información suministrada por el BPDC 20, solamente para el desarrollo del Proyecto Core System se han aplicado desde enero del 2003 y hasta setiembre del 2006, un total de ¢1.396.011.907,93 por concepto de salarios y las respectivas cargas sociales, materiales y suministros, viajes al exterior y alquiler de edificio donde se ubica el proyecto, principalmente; monto que si se suma al gasto incurrido por el Banco por el anterior Core Bancario de Alltell Systematics (U.S. $ 8,35 millones), refleja una inversión elevadísima, que todavía no se han convertido en beneficios reales para el BPDC. Además, según cronograma de actividades del proyecto en estudio, actualizado a agosto del 2006, la fecha de finalización de la etapa de implementación de la nueva solución, se trasladó hasta diciembre del 2009, lo que implica que hasta entre dos años se contará con un nuevo Core, con el consecuente incremento aún más del costo administrativo del proyecto, sin añadir el costo económico propio de la solución bancaria que se vaya a adquirir. Cabe señalar que conforme las mejores prácticas en administración de proyectos y según lo señala la misma Metodología de Administración de Proyectos del BPDC, el desarrollo de un proyecto tiene un marco de acción predeterminado por los alcances, tiempo, recursos; costo y calidad de la solución a entregar. La efectividad con que la Administración ejecute la organización, planificación y ejecución de las diferentes actividades, permitirán en gran medida alcanzar con éxito el objetivo propuesto para determinado proyecto. Asimismo, se considera que un proyecto es exitoso, en la medida en que sus objetivos hayan sido alcanzados en el tiempo previsto, dentro del costo estimado, con el nivel esperado de rendimiento y calidad, utilizando los recursos asignados de forma efectiva y eficiente y sea aceptado por el usuario, como resultado de haberse satisfecho su necesidad. Todo lo evidenciado respecto al manejo y administración que ha dado el BPDC al Proyecto Core System y su proyecto antecesor, demuestra, a nuestro criterio, que es urgente que los altos niveles directivos del Banco y los responsables de ese Proyecto, se aseguren, con el establecimiento de los mecanismos de control requeridos, que las actividades pendientes, según el planeamiento del proyecto, sean efectivamente cumplidas, dentro de los plazos definidos para ello y se tomen las decisiones técnicas y administrativas requeridas para cerciorarse, de la mejor manera posible, que el Core Bancario que se vaya a adquirir cumpla con todos los requerimientos técnicos y funcionales que el Banco requiere para realizar su negocio y se convierta en una verdadera herramienta de apoyo para el logro de los objetivos institucionales, todo dentro de sus posibilidades financieras y presupuestarias. 20 Ver oficio No. SAAC-318-2006 del 21 de diciembre del 2006, suscrito por el Subproceso de Análisis y Administración de Costos. HTTP://WWW.CGR.GO.CR Correo Electrónico: Tel. (506) 501-8000 Fax. (506) 501-8100 Apdo. 1179-1000, San José, Costa Rica [email protected] 11 2.1.3.2. SOBRE EL PROCESO DE ELABORACIÓN, APROBACIÓN Y ACTUALIZACIÓN DEL ESTUDIO DE FACTIBILIDAD Tal y como se comentó en el aparte No. 2.1.2 inciso a) de este informe, dos de los insumos más importantes dentro de un proceso de conceptualización de un proyecto en tecnologías de información, son el estudio preliminar y el estudio de factibilidad de un proyecto. No obstante, se determinó, específicamente sobre el proceso de elaboración, aprobación y actualización del estudio de factibilidad del proyecto Core System lo siguiente: a) De acuerdo con la declaración interpretativa de la norma No. 301.02 del Manual sobre normas técnicas de control interno relativas a los sistemas de información computadorizados, el estudio de factibilidad tiene como propósito determinar los alcances del proyecto de desarrollo del SIC, las áreas de aplicación, las alternativas de solución a los problemas existentes y la factibilidad técnica y económica para su desarrollo e implantación, por lo que el informe de factibilidad debe ofrecer un panorama claro de las opciones posibles y de la solución recomendada para satisfacer el problema o necesidad existente. De la lectura del estudio de factibilidad del Core System no se desprende que la administración del proyecto haya realizado un análisis comparativo de costos, beneficios y riesgos de los diferentes escenarios posibles para su desarrollo, que permitiera ofrecer un panorama más claro sobre cuál de las alternativas de solución propuestas era la más factible desde el punto de vista técnico, económico y financiero para el Banco, siendo más bien que, de acuerdo con el contenido y las conclusiones de dicho documento, se observó que el estudio estuvo muy orientado a determinar la factibilidad financiera de la adquisición de un nuevo Core Bancario, que es una de las alternativas expuestas (alternativa B), independientemente de la arquitectura tecnológica requerida para su operación, lo que a nuestro criterio, resulta contrario al objetivo que se persigue con la ejecución de este tipo de estudio según normativa aplicable a esta materia. Cabe indicar que la Auditoría Interna del BPDC había señalado en su oportunidad21 que la versión preliminar del estudio de factibilidad del proyecto Core System consideraba de forma general, en lo referente a los aspectos cualitativos, las diferentes opciones o alternativas que tiene la Institución para seleccionar el Core System más adecuado, pero no presentaba un análisis cuantitativo sobre las combinaciones más probables de características técnicas y el impacto que los productos ofrecidos podrían causar en la infraestructura del Macroproceso de Tecnología de Información (actual Dirección en Tecnologías de Información), en aspectos tales como lenguajes de programación en la versión actual y en futuras versiones, hardware respectivo, motor de base de datos y sistema operativo, así como otros utilitarios de soporte. Como respuesta a lo anterior, el Administrador del Proyecto de ese entonces, mediante nota No. CORE-110-2003 de fecha 16 de mayo del 2003, indicó: “Sobre la consideración de carácter general referente a dejar claro el costo de cada alternativa en cuanto al software y hardware, así como capacitación y otros conceptos relativos a la implementación, le informo que nos 21 Véase nota No. SUBA-159-2003 del 24 de abril de 2003. HTTP://WWW.CGR.GO.CR Correo Electrónico: Tel. (506) 501-8000 Fax. (506) 501-8100 Apdo. 1179-1000, San José, Costa Rica [email protected] 12 encontramos realizando las averiguaciones correspondientes para cada escenario, con el propósito de incorporar ésta información en la nueva versión del informe” A pesar de lo anterior, no se observó que se haya incorporado tales evaluaciones en la versión final del documento, aspectos que considera esta Contraloría General, hubieran dado al documento un carácter más técnico y le hubieran permitido al Banco conocer de manera más profunda, los diferentes escenarios con que se contaban en ese momento y no limitarse a una única posibilidad de adquirir un nuevo Core Bancario, independientemente de que ya se tuviera como principal norte a seguir esa opción. b) De conformidad con el cronograma inicial del proyecto Core System, para la elaboración del estudio de factibilidad, se programó un total de 25 días naturales, contados a partir del 1 de julio del 2003. .Según se determinó con base en el análisis de algunos informes emitidos por la Administración del Proyecto Core22, en realidad dicha actividad se inició a partir de enero del 2003 y el estudio de factibilidad definitivo fue aprobado por el Comité Gerencial Informático del BPDC hasta el mes de febrero del 200423, es decir que transcurrió aproximadamente un año y un mes desde que se inició con la elaboración de ese documento y el momento de su aprobación, aspecto que va en detrimento de la efectividad en la ejecución de las demás actividades planificadas para las restantes fases del proyecto. Al consultársele al Director del Proyecto, sobre las razones de la diferencia entre el plazo programado y el tiempo real transcurrido para la elaboración del estudio de factibilidad, señaló lo siguiente24: “El Estudio de Factibilidad fue elaborado en el plazo establecido en el cronograma original, lo que se demoró fue su aprobación. / A principios de Marzo se envía a diferentes áreas del Banco para su revisión (Tecnología de Información, Auditoría Interna y Riesgo) y a principios de abril se le envía a las áreas de Soporte Financiero y Análisis Administrativo, también con el fin de que presentaran sus observaciones. / Es hasta el mes de agosto del 2003 en que el Macroproceso de Riesgo y el Proceso de Análisis Administrativo envían sus observaciones. / Considerando las observaciones de las diferentes áreas, se elabora la segunda versión del documento Estudio de Factibilidad, y se entrega esta nueva versión a la Gerencia General mediante oficio CORE-255-2003 de fecha 31 de octubre 2003. / Esta nueva versión del Estudio de Factibilidad fue analizada en el Comité Gerencial Informático sesión ordinaria 03-2004 de fecha 19 de enero del 2004. / El propósito era obtener la aprobación del mismo, sin embargo, no fue posible dado que se presentaron observaciones verbales por parte de la Auditoría Interna. / Luego mediante el ATI-13-2004 de fecha 22 de enero del 2004 envían formalmente dichas observaciones. Las cuales fueron atendidas y en la sesión ordinaria del Comité Gerencial Informático del 16 de febrero del 2004, se logra finalmente la aprobación 22 Ver oficios Nos. CORE-004-2003 Y CORE-006-2003, de fechas 22 y 23 de enero del 2003. 23 Ver acta de la sesión No. 7 del 16 de febrero del 2004. Ver oficio No. POP-226-2006 del 29 de diciembre del 2006. 24 HTTP://WWW.CGR.GO.CR Correo Electrónico: Tel. (506) 501-8000 Fax. (506) 501-8100 Apdo. 1179-1000, San José, Costa Rica [email protected] 13 del Estudio de Factibilidad, esto por mayoría y sin observaciones adicionales. Con lo cual se dio por concluida esta etapa del proyecto. / Por un lado los tiempos de respuesta de las áreas del Banco que no fueron los mejores, y por otro lado, la gran inestabilidad Gerencial vivida en dicho período, fueron desde mi óptica los principales factores que generaron los atrasos en la aprobación del Estudio de Factibilidad.”. Asimismo, indicó, en otro aparte de su nota, lo siguiente: “La elaboración del Estudio de Factibilidad se dio conforme lo planeado sin embargo, la aprobación de dicho estudio demoró bastantes meses, tal como se indicó anteriormente, esto principalmente por que no se contaba con las respuestas de las áreas a las cuales se les remitió para que presentaran observaciones en forma oportuna. / Sin embargo, esta etapa no era considerada como parte de la ruta crítica del proyecto, al encontrarse el mismos en desarrollo y no dependiendo su aprobación e inicio de este tipo de estudios, como es lo usual en este tipo de proyectos. / Es decir, para este caso el Estudio de Factibilidad no fue elaborado con el fin de definir si era o no factible desarrollar el proyecto, como es lo usual, dado que se trataba de un proyecto en marcha, aprobado en la cartera de proyectos del Plan Estratégico de Tecnología de Información del 2001, y contaba con plazas aprobadas, presupuesto aprobado, etc.” Respecto a los diferentes aspectos indicados por el MSc. Aguilar Mejía en su oficio tenemos que indicar lo siguiente:’ i) Difiere esta Contraloría General con la apreciación que tiene ese funcionario sobre que el estudio de factibilidad se realizó en el plazo estipulado originalmente, ya que como bien lo señala él, dicho documento fue objeto de varias observaciones y correcciones, que llevaron a que se tardara todo ese tiempo para su aprobación final; siendo lo adecuado que esas revisiones y ajustes debieron preveerse en el cronograma inicial elaborado, conforme lo dicta una sana administración. Debe recordarse en ese sentido, que cuando se planifica es necesario basarse en datos reales, razonamientos precisos y exactos, y no en especulaciones o cálculos arbitrarios, es decir que en esa importante fase de la administración de un proyecto, es necesario utilizar datos objetivos (estadísticas, estudios de mercado, estudios de prefactibilidad, cálculos probabilísticos, etcétera) ya que ello conlleva a que la planeación sea más confiable en tanto pueda ser cuantificada, expresada en tiempo, dinero, cantidades y especificaciones (porcentajes, unidades, volumen). ii) Con referencia a que la actividad de elaboración del estudio de factibilidad para el Proyecto Core System no se consideró como parte de la ruta crítica del proyecto, ya que la aprobación e inicio del mismo no dependía de la realización del estudio de factibilidad y que más bien el mismo ya estaba siendo desarrollado, difiere de igual forma esta Contraloría General sobre cómo se manejó por parte del Banco ese aspecto, porque como bien lo define la HTTP://WWW.CGR.GO.CR Correo Electrónico: Tel. (506) 501-8000 Fax. (506) 501-8100 Apdo. 1179-1000, San José, Costa Rica [email protected] 14 norma No. 301.02.01 ya citada un estudio de factibilidad tiene como fin “…determinar los alcances del proyecto de desarrollo del SIC, las áreas de aplicación, las alternativas de solución a los problemas existentes y la factibilidad técnica y económica para su desarrollo e implementación.”, por lo que resulta lógico pensar entonces que dicho estudio debe realizarse de previo a cualquier otra acción, para que con base en sus resultados, las autoridades correspondientes aprueben el proyecto y autoricen su ejecución y no al contrario, como se desprende de las transcripciones anteriores. Además, se señala, en la referida transcripción, que el Proyecto Core System formaba parte de un Plan Estratégico de Tecnología de Información del 2001, que la Junta Directiva Nacional ya había aprobado y que por ello el proyecto ya contaba con su venia para su desarrollo. Al respecto, según indagaciones de esta Contraloría General, la Junta Directiva Nacional, en su sesión No. 3945 del 4 de enero del 2002 tomó el siguiente acuerdo, respecto al Plan Estratégico Informático 2001, elaborado por la firma KPMG: “1. Acoger la recomendación de la Administración, en el sentido de aprobar el Plan Estratégico de Tecnología de Información, de acuerdo con los oficios GG-1640-2001 y GG-007-2002.../ 3. Se autoriza a la Administración para adoptar las medidas necesarias para poner en práctica la ejecución del Plan, quedando condicionado al cumplimiento de lo establecido en el inciso D del acuerdo N° 1085 de la sesión ordinaria N° 3911, celebrada por la Junta Directiva Nacional el 9 de octubre de 2001.”. Por su parte el inciso d) del citado acuerdo No. 1085 de la sesión No. 3911, del 9 de octubre del 2001, señala lo siguiente: “En materia de Informática, la ejecución de los recursos aprobados para los proyectos estará sujeta a la presentación de los estudios de factibilidad respectivos y del Plan Estratégico Informático.”. (La negrita no es del original) Queda claro para esta Contraloría General que si bien la Junta Directiva Nacional aprobó el Plan Estratégico Informático 2001 y autorizó a la Administración del Banco tomar las medidas necesarias para poner en práctica dicho Plan, lo cierto es que los proyectos que estaban incluídos en la cartera de proyectos definida en ese Plan Estratégico, debían, de previo a su ejecución, contar con los estudios de factibilidad requeridos y que dichos estudios debían cumplir con los lineamientos aprobado por esa misma Junta, en acuerdo tomado en la sesión No. 3785 del 14 de noviembre del 200025, por lo que los argumentos dados por el Msc Aguilar sobre este tópico no son de recibo. 25 El acuerdo tomado en la sesión No. 3785 del 14/11/2000, indica lo siguiente: “3. Aprobar los aspectos o requisitos mínimos que deben contemplarse en el desarrollo de nuevos proyectos por ser aprobados por la Junta Directiva Nacional o el nivel gerencial:/1. Que el proyecto responda al Plan Estratégico Institucional, con indicación de los fines y objetivos que se pretenden alcanzar y el plazo en que razonablemente se lograrán./2. Un apartado que indique la realización de un estudio técnico-económico o de factibilidad que respalde razonablemente su ejecución, así como las principales fortalezas y debilidades determinadas. Dicho estudio debe considerar, entre otros factores, los criterios que permitan medir los rendimientos o reducción de costos, los criterios que HTTP://WWW.CGR.GO.CR Correo Electrónico: Tel. (506) 501-8000 Fax. (506) 501-8100 Apdo. 1179-1000, San José, Costa Rica [email protected] 15 iii) El Proyecto Core System fue objeto de una reestructuración a partir de marzo del 2004, por lo que se realizaron una serie de cambios en la programación inicial de actividades y tiempos de ejecución para las diferentes fases del desarrollo del Proyecto. Como consecuencia de lo anterior, se programó una actividad de revisión y actualización del estudio de factibilidad, cuya finalidad era analizar de forma ordenada y sistemática la información cuantitativa y cualitativa, que proporciona el estudio de mercado y técnico para evaluar el comportamiento de los costos de adquisición de la nueva Solución Integrada Bancaria en relación con las estimaciones o proyecciones financieras del Banco en los siguientes 10 años, determinando de esta forma un escenario actualizado de la información mostrada en el estudio de factibilidad ya existente. Dicha actualización dio inicio en julio de 2005 y finalizó en junio de 2006, es decir, que se volvió a requerir de aproximadamente otro año para actualizar el documento. Según indicara la Administración del Proyecto, el proceso de actualización del estudio de factibilidad requirió no sólo la actualización de costos estimados sino que también se hicieron visitas a posibles proveedores para conocer cuáles eran las diferentes opciones de mercado que se ofrecían en cuanto Cores Bancarios se refiere, proceso todo que requirió tiempo y esfuerzos del personal a cargo. Si bien esta Contraloría no cuestiona la necesidad de la actualización del estudio de factibilidad, en virtud de los resultados de la primera licitación promovida por el Banco para este proyecto, si le causa extrañeza el tiempo que se requirió para cumplir con dicha actualización, prácticamente igual al que se necesitó para la elaboración del estudio de factibilidad original, lo que, desde un punto de vista de sana administración, no resulta práctico, ya que de lo que se trataba era de una actualización de un documento que ya se suponía estaba técnicamente sustentado y lo que se requería era una actualización de algunos de los elementos en él contemplados. 2.1.3.3. EN CUANTO AL PROCESO DE ANÁLISIS Y LEVANTAMIENTO DE REQUERIMIENTOS FUNCIONALES. El proceso de análisis y levantamiento de requerimientos es una actividad crítica para el desarrollo de cualquier proyecto de Tecnología de Información, ya que los resultados que se obtengan de este proceso serán fundamentales para la etapa de desarrollo o proceso de adquisición de un sistema de información o recurso tecnológico requerido26. 26 miden el riesgo envuelto en las diferentes alternativas posibles y los criterios que representan objetivos cualitativos del proyecto no reducibles a variables numéricas.”. En el caso del BPDC, el “Manual de procedimiento para la formulación, aprobación e implantación de proyectos institucionales del BPDC”, de fecha agosto 2003, establece que el Patrocinador y el Director del proyecto, con apoyo del Administrador del proyecto, deben efectuar un taller al que convocan a los diferentes especialistas (informáticos, técnicos, programadores, entre otros) que el proyecto involucra, para recopilar requerimientos y determinar el alcance del mismo. Este taller es fundamental para obtener todos los detalles, criterios y observaciones de los diferentes especialistas que participan en el proyecto. HTTP://WWW.CGR.GO.CR Correo Electrónico: Tel. (506) 501-8000 Fax. (506) 501-8100 Apdo. 1179-1000, San José, Costa Rica [email protected] 16 De conformidad con el cronograma inicial del Proyecto, la Administración de ese entonces, programó un total de 138 días hábiles para la ejecución de la etapa de análisis e identificación de requerimientos27, la cual, de acuerdo con información que tuvo acceso esta Contraloría General, inició en febrero del 2003. Según se desprende de la documentación analizada28, luego de la ejecución de una serie de tareas, la Administración del Proyecto concluye la elaboración de la versión 2.0 de los requerimientos funcionales correspondientes a las áreas de Captación, Colocación, Contabilidad y Clientes. Dicho documento fue entregado a varias unidades del Banco las cuales tenían participación en el Proyecto, el día 30 de octubre del 2003, con el propósito de recibir la retroalimentación respectiva de esa etapa del proyecto. Posteriormente, a inicios del mes de abril del 2004, el director del Proyecto en ese entonces, con motivo de su salida del mismo, le entregó al actual director, la versión No. 3 de los referidos requerimientos funcionales, en virtud de su salida del proyecto29. Lo anterior evidencia que desde que se inició el proceso de estudio de levantamiento de requerimientos funcionales (febrero del 2003), hasta que se obtiene la versión No. 3 de los mismos (marzo del 2004), transcurrió más de un año, tiempo que supera con creces el originalmente programado de 138 días hábiles, sin que a esa fecha se haya podido obtener una versión final de los citados requerimientos y se determinaran razones de peso importantes para justificar ese atraso, lo que evidencia poca eficacia en el cumplimiento de esa importantísima labor. Aunado a lo anterior, se tiene que a partir de la reorganización del proyecto, proceso que da inicio en el mes de marzo del 2004, se estructura un nuevo cronograma de actividades, en el cual se programa nuevamente un total de 110 días hábiles adicionales para el análisis y determinación de requerimientos funcionales, actividad que se inició el 17 de mayo del 2004 y finalizó el 26 de noviembre del 2004, para un tiempo real de 140 días, según se desprende del cronograma proporcionado por personal de ese proyecto. En relación con ese nuevo plazo, el director del proyecto, mediante nota No. CORE-339-2006 de fecha 23 de noviembre del 2006, indicó: “El 2 de abril del 2004, mediante oficio CORE-098-2004, el Msc. Carlos Aguilar le hizo entrega al Lic. Gustavo Avilés, en ese momento Subdirector del Proyecto, de un CD con la versión 3.0 de los requerimientos funcionales del Core System. Sin embargo, esta versión de requerimientos requería un proceso adicional de revisión y corrección...” 27 28 29 Dicha etapa comprendía las siguientes actividades: Estudio Core System Actual, Elaboración del Plan de visitas a otros Bancos, Estudio del modelo del nuevo Core System y estudio y revisión de los requerimientos. Véase por ejemplo el Acta No. 02-2004 del 12 de enero del 2004, celebrada por el Comité Gerencial Informático y el oficio No. CORE-249-2003 de fecha 31 de octubre del 2003, suscrito por el director del proyecto en ese entonces, Msc. Carlos Aguilar Mejía. Ver oficio No. CORE-098-2004, del 2 de abril del 2004. HTTP://WWW.CGR.GO.CR Correo Electrónico: Tel. (506) 501-8000 Fax. (506) 501-8100 Apdo. 1179-1000, San José, Costa Rica [email protected] 17 Señala adicionalmente que, para el establecimiento de un nuevo plazo para el proceso de análisis y levantamiento de requerimientos se tomó en consideración los resultados de una evaluación de calidad, realizada por el Subproceso de Aseguramiento de Calidad del Banco, documento de fecha marzo del 2004, en el que se exponen una serie de debilidades en relación con la calidad de los requerimientos e inobservancia de una metodología para la ejecución de esta actividad. Como resultado de esa evaluación, la unidad de Aseguramiento de la Calidad recomienda “...se revisen el 100% de los requerimientos de la segunda versión, tanto en cuanto a contenido como en la forma en que han sido redactados, con la finalidad de que estos sean replanteados en su totalidad, se recomienda tomar en consideración la Guía de redacción de requerimientos establecida por el Subproceso de Aseguramiento de Calidad”. Se demuestra nuevamente que el proceso de levantamiento de requerimientos funcionales, en su etapa inicial fue llevada a cabo con poca eficacia y eficiencia, ya que se requirió mucho más tiempo del originalmente planificado para su finalización, además de que los resultados presentados en ese momento fueron de una baja calidad, según se estima por el Subproceso de Aseguramiento de la Calidad de la DTI, lo que evidentemente generó atrasos en la ejecución de las demás actividades programadas para el proyecto y su incremento en costos en términos de los recursos humanos y financieros utilizados para lograr finalmente obtener los resultados requeridos. 2.1.4. RESULTADOS ESPECÍFICOS DEL PROYECTO ADQUISICIÓN, IMPLEMENTACIÓN Y ADAPTACIÓN DEL SISTEMA PARA LA ADMINISTRACIÓN Y CONTROL DE LAS INVERSIONES TRANSITORIAS Y PERMANENTES. El objetivo general del proyecto30 era desarrollar e implementar un sistema que permita la administración y control de todas las inversiones propias que conforman la cartera del BPDC, en forma ágil y eficiente con el fin de obtener información y datos confiables y soportando los más diversos instrumentos de inversión existentes en el mercado local e internacional. Para ello el sistema debía contar con diferentes módulos funcionamiento, tales como el de administración de inversiones, el de seguridad, el de vector de precios y el de contabilidad. Según información suministrada por la DTI el proyecto en cuestión se desarrolló propiamente desde mayo del 2003 y finalizó en octubre de ese año, con el inicio de la puesta en marcha. El cierre formal del proyecto fue el 5 de diciembre del 2003, iniciando a partir del día siguiente con el período de garantía del aplicativo que se extendió hasta el 12 de diciembre del 2004. El estudio realizado por esta Contraloría General sobre el citado proyecto obtuvo los siguientes resultados: 2.1.4.1. SOBRE LA INTERFAZ CONTABLE. Tal y como lo señala el cartel de licitación promovido para la adquisición de este sistema, éste debía contar, entre otros, con un módulo de contabilidad que permitiera manejar el catálogo de cuentas de la SUGEF, la generación automática de los movimientos del módulo de administración de 30 Según el cartel de la Licitación Restringida No. 034-2002. HTTP://WWW.CGR.GO.CR Correo Electrónico: Tel. (506) 501-8000 Fax. (506) 501-8100 Apdo. 1179-1000, San José, Costa Rica [email protected] 18 inversiones y generar un archivo “ascii” de los asientos contables para poder trasladarlos al Proceso de Contabilidad del Banco. El informe final del proyecto, emitido en agosto del 2004, indica que se logró satisfacer todos los objetivos propuestos y el alcance definido, no obstante señala también que era conveniente dar continuidad al proceso de integración contable con el objetivo de que en el Subproceso de Contabilidad se pudiera llevar un registro diario de los movimientos que se generan en el Proceso de Tesorería, con respecto a la administración de las inversiones del Banco, debido a que, a la fecha de elaboración del citado informe, la interfaz contable no se encontraba implantada en el Subproceso de Contabilidad, es decir, que pese a que el sistema ya había sido recibido por el Banco y permitía la generación del archivo contable “ascii” (que contenía los movimientos diarios de inversiones), la interfaz necesaria con el sistema de contabilidad no estaba en funcionamiento. Sobre el particular, en repuesta a nuestra consulta, se nos informó que algunos de los cambios en la normativa contable (entrada en vigencia de las NIC’s) repercutieron en los cálculos contables que realizaba el Sistema de Inversiones, ya que se debía ajustar el sistema en lo que se refiere a primas y descuentos y otros procesos internos y que todos esos cambios así como las pruebas y ajustes que el Proceso de Contabilidad tuvo que realizar para cumplir con la nueva normativa, consumieron casi la totalidad del período de garantía del sistema. 31 Señaló además, que cuando los encargados en el Proceso de Contabilidad retomaron el tema de la interfase contable, se percataron que producto de los citados cambios de normativa, se debía hacer una serie de ajustes al archivo “ascci” que el Sistema de Inversiones estaba generando, y al haber expirado el período de garantía dado por la empresa adjudicada, no se podía realizar ningún cambio hasta tanto no existiera un contrato de mantenimiento que lo permitiera. Asimismo indicó que la interfaz contable de los registros diarios a noviembre del 2006, estaba implementada en ese Proceso de Contabilidad en un 50% y que mediante el contrato de mantenimiento del sistema, la interfaz contable sería puesta en producción totalmente, a partir del 1º de diciembre del 200632. Por su parte, el Coordinador del Subproceso de Contabilidad, , señaló33 que la participación de ese Subproceso en el desarrollo del proyecto se dio a partir del mes de agosto del 2004 en la fase de conexión del sistema con el AS/400, para generar automáticamente los asientos contables relacionados con inversiones, básicamente sobre la estructura del archivo a remitir por Tesorería para cargar la información contable, así como en la elaboración de pruebas con el fin de verificar que las cuentas contables que se afectaran estuvieran de acuerdo con el plan de cuentas de la SUGEF, y que el monto fuera el correcto, 31 32 33 Ver oficio No. PTES-2312-06 del 08 de noviembre del 2006. Mediante correo electrónico del 29/12/06 del Lic. Marvin Camacho R., se indicó que efectivamente ya la interfaz contable está automatizada. Ver oficio No. SCON-1773 del 22-11-06. HTTP://WWW.CGR.GO.CR Correo Electrónico: Tel. (506) 501-8000 Fax. (506) 501-8100 Apdo. 1179-1000, San José, Costa Rica [email protected] 19 es decir, que la participación del Subproceso de Contabilidad se da en momentos en que ya se había recibido el sistema y se estaba en la etapa de garantía. Señaló además que las pruebas realizadas en diciembre del 2004 dieron como resultado que el Sistema de Inversiones, generó el asiento contable con algunos problemas de estructura por lo que durante el año 2005 se realizaron pruebas consiguiéndose automatizar un 50% de los registros contables de inversiones. También indicó que algunas de esas situaciones tenían que solventarse mediante un contrato de mantenimiento con la empresa proveedora, que se firmó en el año 2006, el cual se realizó para que se efectuaran las modificaciones necesarias y cumplir con la entrada en vigencia del proyecto SICVECA (Sistema para la Captura, Verificación y Carga de Datos) y para efectuar las correcciones en el sistema tanto en aspectos que no se habían logrado interfazar como en los cambios surgidos en la normativa contable; y de esta manera concluir la automatización de los registros contables el 1 de diciembre del 2006. De todo lo antes expuesto se concluye que, a pesar de que el Sistema de Inversiones entró en funcionamiento y que el mismo fue aceptado satisfactoriamente por el área usuaria en diciembre del 2003, la intervención del Subproceso de Contabilidad en el análisis de la estructura del archivo generado por el Sistema de Inversiones para cargar la información contable, así como en la elaboración de pruebas, no se dio sino hasta en agosto del 2004, es decir, ocho meses después de que el proyecto fue concluido formalmente. El no contar con el interfaz contable debidamente implementado desde que se recibió el sistema, aunque a criterio de los usuarios de los sistemas de los Procesos de Tesorería y Contabilidad, no ha traído consecuencias negativas en las actividades ordinarias de esos Procesos, bien pudo aumentar el riesgo operativo, al estarse contabilizando las inversiones en forma manual, tal y como los coordinadores de ambos procesos reconocieron, pese a las medidas tomadas para minimizarlo, tales como realizar conciliaciones mensuales y auxiliares respectivos. Además, lo sucedido denota una debilidad importante en la oportuna coordinación que debió prevalecer entre las Procesos involucrados en el proyecto, lo que a nuestro criterio, evidentemente influyó para que la interfaz contable no funcionara al mismo tiempo o no haya podido ser implementada por completo, una vez terminado el proyecto, demorándose casi dos años para dar resultados efectivos. Por consiguiente, el Banco debería, para futuros desarrollos de proyectos, promover una mejor coordinación entre las áreas promotoras de esos proyectos y la unidad del Banco que corresponda, ya sea Contabilidad u otra área de manera que situaciones como las comentadas en este espacio, puedan ser subsanadas oportunamente, para así aprovechar al máximo las bondades que los sistemas informatizados proveen al usuario para el mejor desempeño de las labores encomendadas, conforme los objetivos institucionales. HTTP://WWW.CGR.GO.CR Correo Electrónico: Tel. (506) 501-8000 Fax. (506) 501-8100 Apdo. 1179-1000, San José, Costa Rica [email protected] 20 2.1.4.2. DEMORAS DURANTE EL PROCESO DE CONTRATACIÓN DEL SISTEMA DE INVERSIONES. El proceso de contratación administrativa promovido por el BPDC para la contratación de la empresa que desarrollara e implementara el Proyecto de Inversiones, inició con la emisión de la solicitud de compra No. 276 del 12 de febrero del 2002, por parte del Proceso de Tesorería. Una vez publicado el cartel respectivo, se recibieron las ofertas de las dos empresas que participaron en el concurso, el día 17 de mayo del 2002, las cuales, según el procedimiento establecido a lo interno del Banco, fueron remitidas al Proceso de Tesorería para el respectivo estudio técnico. Dicho Proceso emitió el criterio solicitado el día 22 de mayo del 2005, con oficio No. 4430TES-02, es decir cinco días después. Desde que se recibió el criterio técnico por parte de ese Proceso hasta que se emitió el informe de adjudicación No. 170-2002 del 26 de agosto del 2002, transcurrieron un total de 96 días naturales, es decir, poco más de tres meses, plazo que llama la atención, máxime si contamos con que ya se tenía un criterio técnico. Al analizar la razón del plazo transcurrido, tenemos que la unidad denominada Proceso de Contratación Administrativa (PCA) recibió el día 24 de mayo del 2002 un oficio por parte de una de las empresas concursantes, con algunas observaciones sobre la oferta de la otra empresa ofertante, sin embargo, dicho oficio no fue, a criterio de esta oficina, remitido oportunamente por parte del PCA, al Proceso de Tesorería para su análisis, ya que ese documento no fue enviado sino hasta el día 4 de julio del 200234, es decir, pasado un mes y medio desde su recepción, sin explicación, al menos en el expediente de contratación administrativa, del porque de ese plazo. El Proceso de Tesorería, una vez recibido el anterior oficio, brindó su respuesta el 13 de agosto de ese mismo año, casi un mes después, indicando que en cuanto a lo expuesto en la nota recibida de la empresa concursante, los temas expuestos se consideraban eran de exclusivo análisis por parte del PCA. Posteriormente el PCA le remite otro oficio el 20 de agosto del 2002, en la que hizo algunas observaciones sobre la respuesta recibida. Finalmente, el Coordinador del Proceso de Tesorería emitió su respuesta el día 22 de ese mismo mes y año, y sin más observaciones se elaboró el informe de adjudicación. Como se desprende de lo antes comentado, la falta de oportunidad por parte del PCA para hacer del conocimiento del Proceso de Tesorería información de uno de los oferentes, aunque se haya recibido en fecha posterior a la emisión del criterio técnico, así como el tiempo de respuesta del Proceso de Tesorería influyeron en el período total que gastó el Banco para determinar, finalmente, la empresa ganadora del concurso licitatorio, lo que a nuestro criterio, evidencia descuido por parte de ambos Procesos, que al final se traduce en un encarecimiento del proceso licitatorio como tal y una pérdida de tiempo injustificada. 34 Ver oficio No. SGAC-1456-2002 del 4 de julio del 2002. HTTP://WWW.CGR.GO.CR Correo Electrónico: Tel. (506) 501-8000 Fax. (506) 501-8100 Apdo. 1179-1000, San José, Costa Rica [email protected] 21 Otra demora importante que se pudo observar dentro de este procedimiento de contratación lo fue la firma del contrato entre el BPDC y la empresa ganadora de la licitación. Respecto a ese tema, tenemos que de acuerdo con los roles que estaban establecidos en ese momento, la Asesoría en Contratación Administrativa, a petición de la Unidad de Contratos del PCA, elaboró el contrato para que fuera refrendado por la Consultoría Jurídica (CJ) del BPDC35. El documento en cuestión fue remitido a la referida Consultoría el 2 de diciembre del 200236. No obstante, a partir de ese momento, debido a diferencias de criterio entre la Asesoría en Contratación Administrativa y el Proceso de Consultoría Jurídica del BPDC, en relación con una de las cartas de referencia de la empresa que no fue ganadora del proceso licitatorio, se cursaron varios oficios entre estas dos instancias sin resultados positivos, lo que provocó la intervención de la Subgerencia de Operaciones, y la Dirección del Macroproceso de Soporte Administrativo, lo cual consta en el expediente de la contratación. Según se desprende de los documentos soporte de esta contratación, para el mes de diciembre del 2002, la Junta Directiva del Banco había tomado el acuerdo de modificar el Reglamento de Contratación Administrativa para que los contratos nuevos fueran refrendados por la Unidad Interna de Refrendos, conformada por la Asesoría en Contratación Administrativa. Complementariamente, la Subgerencia de Operaciones en oficio No. SO-708-2002 del 11 de diciembre del 2002 indicó que: "A partir de esta fecha, para los casos de refrendo en trámite, el Proceso de Consultoría Jurídica deberá concluir los refrendos que ya se le habían solicitado, así como aquellos donde ya se elaboró el contrato por parte de la Asesoría en Contratación Administrativa de previo a regir este cambio en la normativa interna, lo anterior como resguardo al principio de control interno". No obstante lo dispuesto por la Subgerencia de Operaciones, el Proceso de Consultoría Jurídica declinó firmar el contrato entre la empresa adjuticataria y el Banco, a pesar que éste se refería a un procedimiento concursal ya concluido, donde sólo quedaba por refrendar el contrato. Todo lo anterior trajo como consecuencia que el contrato no se refrendara hasta el 24 de marzo del 2003 por la Asesoría en Contratación Administrativa y fuera firmado por las partes hasta el 03 de abril del 2003; procedimiento que tardó alrededor de 6 meses, desde el momento en que adjudicó la licitación y la fecha en que se logró finalmente firmar el contrato, período atribuible completamente a la Administración del Banco. Si tomamos en cuenta que todo ese proceso implicó 6 meses y lo comparamos con el tiempo que tardó la empresa adjudicada en desarrollar el sistema, exactamente 6 meses, podemos concluir que un trámite expedito de refrendo, hubiera traído como consecuencia, no sólo la obtención del sistema desarrollado con mayor antelación, sino hasta un eventual ahorro en los costos del mismo, dado que el mismo se contrató en dólares estadounidenses. 35 36 Actualmente los contratos son elaborados por el Area de Contratos del PCA y refrendados por la Asesoría en Contratación Administrativa. Ver oficio No. ACA-375-202 del 02 de diciembre del 2002. HTTP://WWW.CGR.GO.CR Correo Electrónico: Tel. (506) 501-8000 Fax. (506) 501-8100 Apdo. 1179-1000, San José, Costa Rica [email protected] 22 2.1.5 RESULTADOS ESPECÍFICOS EN CUANTO AL PROYECTO DE COMPRA E IMPLANTACIÓN DE UN SISTEMA INTEGRADO DE PRESUPUESTO. Conforme el documento de “Visión y alcances del Proyecto de compra e implementación de un sistema integrado de presupuesto”37, su objetivo general era desarrollar e implementar una herramienta que permita la formulación, seguimiento, actualización y control del presupuesto del BPDC. Asimismo, según indicara la DTI, la fecha de inicio real del proyecto fue el 8 de octubre del 2002 y su fecha de finalización el 31 de marzo del 2006. No obstante que según la DTI la fecha de inicio real del proyecto fue el 8 de octubre del 2002, el estudio de la documentación contenida en uno de los expedientes permitió conocer de la existencia del oficio No. PRE-1138-2001 del 30 de octubre de 2001, con el cual el coordinador del Subproceso de Presupuesto, remitió para el trámite correspondiente, al coordinador de Desarrollo Tecnológico del entonces Macroproceso de Tecnologías de Información, el documento denominado “Solicitud de requerimiento norma 007”38, con el cual dicho Subproceso solicitaba el desarrollo de un sistema de presupuesto institucional, es decir que aparentemente, desde por lo menos un año antes del 8 de octubre del 2002, ya se habían iniciado las gestiones pertinentes a efectos de contar con el referido sistema. En todo caso, sea la fecha de inicio del proyecto en estudio el 30 de octubre del 2001 o el 8 de octubre del 2002, lo cierto es que el desarrollo del citado proyecto se extendió hasta el mes de marzo del 2006, momento en el que se logró finalmente contar con el sistema requerido, es decir que transcurrieron, en el mejor de los casos, al menos tres años y 6 meses antes de poder dar por finalizado todo el proyecto. De la lectura de los documentos incluidos en los expedientes del proyecto y de la licitación pública No. 055-2003, promovida por el BPDC para la adquisición del referido sistema de presupuesto, se puede visualizar que las principales razones que explican el tiempo requerido para lograr contar con la herramienta tecnológica, se presentaron, principalmente en las etapas de definición y levantamiento de los requerimientos funcionales del proyecto y la de contratación administrativa, según se detalla seguidamente: a) La actividad de definición y levantamiento de requerimientos funcionales del proyecto, según se pudo determinar, se excedió considerablemente respecto del tiempo que se tenía originalmente programado para esa actividad, ya que desde el inicio del proyecto hasta la fecha de elaboración del documento de Visión y Alcances citado (mayo del 2003) transcurrieron 8 meses, si tomamos como fecha de inicio la indicada por la DTI y un año y 8 meses, si se considera la fecha de elaboración de la citada Norma 007. Ambos plazos sobrepasan los 74 días que 37 38 Aprobado por el Comité Gerencial Informático en sesión No. 18-2003 del 23 de junio del 2003. Documento diseñado para controlar y dar seguimiento a las solicitudes realizadas por las distintas áreas del BPDC, en ese entonces, en relación con las necesidades del negocio en materia de sistemas y tecnología de información. HTTP://WWW.CGR.GO.CR Correo Electrónico: Tel. (506) 501-8000 Fax. (506) 501-8100 Apdo. 1179-1000, San José, Costa Rica [email protected] 23 según el cronograma inicial del proyecto39, se programaron para efectos de esa actividad. En ese sentido, el Director del Proyecto en oficio40 dirigido a esta Contraloría General ante consulta sobre el tema, indicó que “…una vez presentada y aprobada la Norma 7 por parte de la Dirección de Tecnología de Información, el equipo de trabajo nombrado por el Subproceso de Presupuesto inició con la visita a diferentes empresas desarrolladoras de Software del país…, de las cuales se analizaron las diferentes características que contenía cada una de las diferentes soluciones con el propósito de tener un mejor panorama sobre la herramienta a contratar. Además con la compra del Sistema Sica41, la empresa adjudicada donó un módulo de presupuesto base, esta aplicación contenía Mantenimiento de escenarios, anteproyectos de egresos e ingresos,…, este módulo fue revisado por los funcionarios de Presupuesto y se indico (sic) que no contaba con todas las aplicaciones necesarias para realizar los tramites (sic) del Banco Popular.”. Agregó que una vez realizadas las visitas se procedió a iniciar el levantamiento de requerimientos. Si bien es entendible que el Banco se tomara un tiempo razonable para la actividad de definición y levantamiento de los requerimientos funcionales del sistema y que éste eventualmente sufriera algún tipo de ampliación, no se debe obviar el hecho de que, en este caso, dicho plazo se extendió de 74 días establecidos en el cronograma inicial, a más de 8 meses, máxime que ya el Subproceso de Presupuesto había venido realizando visitas a empresas desarrolladoras de software y había tenido tiempo suficiente, desde al menos octubre del 2001, para ir estudiando y definiendo los requerimientos funcionales, según reconoce el mismo Director del Proyecto. b) En cuanto al procedimiento de contratación promovido para la compra del Sistema de Presupuesto, se tiene que desde que se dio la apertura de la única oferta presentada (27 de enero del 2004) y la adjudicación por parte de la Comisión de Licitaciones (6 de julio del 2004), transcurrieron cinco meses, tiempo que supera el plazo de 35 días hábiles, establecido en el cartel de la licitación para ese fin. Asimismo, desde que esta Contraloría General devolvió al PCA el contrato No. 061-2004, sin el correspondiente refrendo y solicitó además atender algunas observaciones efectuadas al respecto (nota recibida por el BPDC el 22 de octubre del 2004), hasta que el referido Proceso cumplió con dicho requerimiento (12 de enero del 2005), la Administración de ese Banco se tomó un tiempo para cumplir con ese trámite de aproximadamente 2 y medio meses (48 días hábiles). En dicho caso se notó que, no obstante que el PCA solicitó desde ese mismo 22 de octubre, a varias unidades administrativas de ese Banco, atender las observaciones efectuadas por esta Contraloría General, no fue sino 39 40 41 Cronograma adjunto al documento de “Visión y Alcances” del Proyecto, presentado ante el Comité Gerencial Informático. Ver oficio No. SPR-778-2006 del 21 de noviembre de 2006. Sistema Integrado de Contratación Administrativa. HTTP://WWW.CGR.GO.CR Correo Electrónico: Tel. (506) 501-8000 Fax. (506) 501-8100 Apdo. 1179-1000, San José, Costa Rica [email protected] 24 hasta el 3 de diciembre de ese año, que la Administradora del Proyecto remitió al citado Proceso, las aclaraciones del caso, las cuales permanecieron en ese Proceso, hasta el 12 de enero del 2005, sin que mediera razón aparente para ello. Todo lo comentado hasta ahora denota que alrededor de este proyecto en particular hubo una gestión administrativa institucional lenta, en virtud de los plazos requeridos para cumplir con importantes actividades alrededor del proyecto, que trajeron como consecuencia, que no se contara con el sistema de información requerido en un menor tiempo, con el consecuente encarecimiento de los costos administrativos asociados al proyecto, los cuales no es posible cuantificarlos, dado que el Banco carece de un sistema contable de costos, tal y como se comentó anteriormente en este informe. 2.2. SOBRE EL EDIFICIO DONDE SE ENCUENTRA UBICADO EL CENTRO DE CÓMPUTO Y LA DTI. El estudio realizado permitió conocer algunas situaciones en particular, sobre las condiciones estructurales que presenta el actual edificio donde se encuentra ubicado el Centro de Cómputo y la Dirección de Tecnologías de Información (DTI) de ese Banco. Al respecto tenemos que en el año 2003, el BPDC contrató a la firma Luis Rojas e Ingenieros Asociados S.A. para que realizara un estudio de vulnerabilidad sísmica del edificio Alejandro Rodríguez, donde actualmente se encuentran ubicados el Centro de Cómputo y la DTI de ese Banco. En el Informe Técnico presentado por esa firma como producto de la contratación, denominado “Vulnerabilidad Sísmica del Edificio Alejandro Rodríguez Clasificación tipo A”, de fecha marzo del 2004, se señala, en su aparte de conclusiones lo siguiente: “Basados estrictamente en los requerimientos que para el uso que le está dando el Banco Popular al edificio Alejandro Rodríguez…y con apego al Código Sísmico versión 2002, se concluye que dicho edificio no clasifica como tipo A, presentando un riesgo de daño para sismos extremo…, el cual supera los límites permitidos de dicho Código.”. En virtud de los resultados obtenidos en el citado estudio técnico, el Coordinador del Proceso de Infraestructura y Proyectos del BPDC42 recomendó, que: “En la inmediatez, y debido al costo de los equipos involucrados, iniciar un proceso para dotar al Banco de un Centro de Cómputo alterno lo más pronto posible, y a la vez buscar un sitio adecuado para el traslado del Centro de Cómputo principal, ya sea alquilado o construido, con lo cual mitigaríamos el alto riesgo en que se encuentra nuestra institución hoy en este aspecto” y “Una vez satisfecho lo anterior y con el fin de darle gradualidad al procesos (sic), iniciar los trámites y acciones necesarias y conducentes para el traslado del personal que labora en este inmueble, a un edificio de Clase C, que cumpla con los requerimientos estipulados en el Código 2002 para este tipo de edificación, que elimine en gran parte el riesgo actual”. Por su parte, el documento denominado “Estudio de Viabilidad para futura construcción del Edificio de Tecnología” de agosto del 2006 (el cual forma 42 Oficio No. P-647-2004, del 27-4l 2004, dirigido al Director del Macroproceso de Soporte Administrativo (actualmente Dirección de Soporte Administrativo). HTTP://WWW.CGR.GO.CR Correo Electrónico: Tel. (506) 501-8000 Fax. (506) 501-8100 Apdo. 1179-1000, San José, Costa Rica [email protected] 25 parte de las acciones del BPDC para atender el asunto del edificio y se comentan en los párrafos siguientes) indica que el edificio en el que actualmente está ubicada la DTI y el centro de cómputo del BPDC, presenta deficiencias importantes, tales como que no es apto para albergar un centro de cómputo por su diseño y ubicación, inclusive algunas de sus paredes son de cartón; la capacidad del cableado eléctrico del edificio se encuentra al máximo, lo cual impide dotar a los funcionarios de medios ambientales apropiados (aire acondicionado), así como la conexión de nuevos equipos de cómputo, los niveles de ruido son elevados; los edificios vecinos son inseguros, lo que eleva el riesgo de incendio y no tiene el tamaño adecuado para albergar la DTI actualmente y mucho menos para permitir el crecimiento de la misma. En atención a nuestra consulta, sobre las acciones ejercidas por el BPDC para atender lo antes expuesto, se nos informó43 que durante los años 2003 y 2004 el BPDC promovió varias acciones con el fin de alquilar un edificio para ubicar la Dirección y el Centro de Cómputo, pero que dichas gestiones no continuaron porque ningún edificio cumplía con las características necesarias, para albergar un centro de cómputo por lo que se decidió continuar con las acciones que se estaban promoviendo para la compra de un terreno para la construcción de un nuevo edificio de TI o la compra de un edificio propiamente, procesos licitatorios todos que fueron declarados o infructuosos o desiertos (Licitaciones Públicas 142003, 20-2004 y 79-2005). Asimismo, se comunicó la existencia del citado documento, “Estudio de Viabilidad para nuevo edificio de Tecnología de Información”,,antes citado, remitido en el mes de agosto del 2006 a la Subgerencia General de Operaciones44, el cual señala las ventajas y desventajas de los terrenos que tiene el Banco para construir el referido edificio, y recomienda dos posibles alternativas. Ese documento fue objeto de revisión por parte de la Subgerencia General Operativa, la cual realizó sus observaciones y solicitó las modificaciones que consideró necesarias, para que finalmente el mismo fuera aprobado por esa Subgerencia y enviado a la Gerencia General del Banco, en el mes de febrero de este año, para su respectivo visto bueno y eventual traslado a la Junta Directiva Nacional para su aprobación final. Dicho envío y aprobación por parte de esa Junta Directiva, se encuentra en proceso al momento de finalización del estudio. De lo expuesto, se concluye que aunque el Banco ha venido realizando diferentes acciones administrativas para tratar de solventar la problemática existente sobre el edificio, a la fecha de finalización de este estudio, todavía no ha sido posible tener una solución definitiva, además, la que se está proponiendo actualmente pretende dar una solución más bien de largo plazo, ya que se trata de la construcción de un edificio, que probablemente llevará aproximadamente un período de tiempo de más de dos años, mientras se llevan a cabo todos los procesos licitatorios que un proyecto de esa envergadura implica, dejando aún al descubierto los riesgos latentes de mantener el Centro de Cómputo y la DTI en el citado edificio Alejandro Rodríguez. 43 44 Ver oficios Nos. P.CO-300-2006 del 8 de diciembre del 2006 y SGO-109-2007 del 30 de enero del 2007. Ver oficio No. DSA-654-2006 del 18 de agosto del 2006. HTTP://WWW.CGR.GO.CR Correo Electrónico: Tel. (506) 501-8000 Fax. (506) 501-8100 Apdo. 1179-1000, San José, Costa Rica [email protected] 26 Al respecto, se debe recordar que la norma No. 305.02.02 del Manual Sobre Normas Técnicas de Control Interno relativas a los Sistemas de Información Computadorizados, establece que se deben mantener los procedimientos y medidas efectivas para la protección del hardware, del software y de los datos de los SIC y lo señalado por COBIT en su norma D12 referente a la administración de las instalaciones, al indicar como necesario que se debe proporcionar un ambiente físico conveniente que proteja al equipo y al persona de TI contra peligros naturales. Por tanto, considerando el eventual riesgo para el Banco, tanto desde el punto de vista de conservación de los valiosos recursos tecnológicos que se encuentran resguardados en ese edificio (los cuales se calculaban a abril del 2004 en unos U.S. $ 10 millones, más el costo del actual equipo alterno que aproximadamente alcanza los U.S. $ 4 millones), así como de las vidas humanas de los funcionarios que laboran en él, es necesario que esa entidad bancaria defina una estrategia que le permita estar preparado para que, en un corto plazo mitigue los riesgos identificados en el Edificio Alejandro Rodríguez. 2.3. NECESIDAD DE CONTAR CON UN PLAN DE CONTINGENCIA EN MATERIA DE TECNOLOGIAS DE INFORMACIÓN ACTUALIZADO Y EN OPERACIÓN. El Banco Popular y de Desarrollo Comunal promovió en el año 1999 la Licitación por Registro No. 095-99 con el fin de contratar una consultoría para la definición de un plan de contingencias45. Dicha Licitación fue adjudicada a la empresa KPMG, la cual en julio del 2001 presentó a la Administración del BPDC la versión final de los documentos denominados “Definición de requerimientos mínimos para la recuperación y selección de la estrategia de recuperación” y “Plan de Contingencias”. Respecto de esa contratación y de sus resultados, la Auditoría Interna del BPDC en su informe No. AG-0576-2002 del 14 de octubre del 2002, señaló que el plan de contingencias presentado por la KPMG se limitó a la plataforma IBM S/390 y que no consideró la infraestructura tecnológica completa del Banco Popular, por lo que recomendó que “…El banco debería contar con un plan de continuidad del negocio corporativo que incorpore los planes específicos por plataforma tanto para el banco como para sus sociedades anónimas, de manera que se asegure que ante una situación de emergencia, todas las empresas pertenecientes a la corporación tendrán la capacidad de recuperar sus operaciones en el menor tiempo, con economías de escala, para lo que sugerimos estudiar la posibilidad de utilizar los mismos medios de comunicación, espacio físico, fuentes de energía, etc.”, recomendación que fue posteriormente reiterada en el informe No. AG-104-2005 del 17 de marzo del 2005, en una nueva evaluación del planeamiento de la continuidad de los servicios de TI, y en la que solicita que se actualice el Plan de Contingencia Institucional, adicionando las plataformas Web Banking, E-Branch y AS/400. No obstante lo señalado por la Auditoría Interna sobre la necesidad de actualizar el referido Plan de Contingencias, el estudio realizado por esta Contraloría 45 Documento que contiene, en forma ordenada y coherente, las acciones que se ejecutarán y los responsables de dicha ejecución, para dar continuidad a los objetivos de una entidad en caso de que se produzca un riesgo o evento que interrumpa los procesos o sistemas de la organización. En el caso de la contratación del BPDC se trataba específicamente de las actividades de recuperación ante la interrupción importante en los servicios de TI. HTTP://WWW.CGR.GO.CR Correo Electrónico: Tel. (506) 501-8000 Fax. (506) 501-8100 Apdo. 1179-1000, San José, Costa Rica [email protected] 27 General evidenció que, a diciembre del 2006, dicho plan no ha sido todavía actualizado, ni se ha elaborado un plan de contingencia informático que contemple no sólo la plataforma IBM S/390, sino también las otras plataformas adicionales con que cuenta el BPDC y que igualmente respaldan importantes sistemas de información que utiliza el Banco, tales como el sistema de contabilidad y sistema de cajas. En ese sentido, el Director de Tecnologías de Información del BPDC indicó46, sobre el tema en comentario, lo siguiente: “El Banco en procura de dar cobertura a todos los elementos que pueden afectar la prestación de servicios, inició el proceso de actualización del Plan de Continuidad del Negocio y no solamente el Plan de Contingencia. El Plan de Continuidad de Negocio contempla tres planes a saber: Plan de Evacuación, Plan de Reanudación de Negocio y Plan de Recuperación de Tecnología de Información ante un desastre… /Plan de recuperación de tecnología de Información ante un desastre: Aplica a situación de catástrofe, eventos que niegan el acceso normal a las facilidades por un periodo extendido. Su alcance no incluye interrupciones menores y se diseña para restaurar la operación de los sistemas, aplicaciones y de las facilidades informáticas en un centro alterno después de la emergencia. Este es el plan que señala el informe de AG-104-2005 de la Auditoría Interna. / El caso específico que atiende lo señalado en el informe de Auditoría Interna AG-104-2005, corresponde al plan de recuperación ante desastres de tecnología. / Este aspecto se desarrolla mediante el proyecto denominado sitio alterno, el cual tiene las siguientes etapas: / Primera Etapa/ Tiene como objetivo instalar los equipos que darán disponibilidad mediante redundancia a la plataforma mainframe 390, los cuales serán ubicados en el mismo Centro de Cómputo. Esta etapa generará todos los procedimientos requeridos para la operación de la nueva infraestructura y cómo será utilizada ante posibles interrupciones del equipo principal. / Segunda Etapa/ Instalar los equipos que brindan redundancia a la plataforma mainframe 390, en un sitio alterno de Cómputo de manera que se cuente con la contingencia hacia la plataforma principal que permite la prestación de los servicios a los clientes. / Los temas relacionados con sistemas periféricos como Canal Internet, sistemas descentralizados como Recursos Humanos, Presupuesto, Contabilidad entre otros, al ser dependientes de la plataforma principal, serán analizados y planificados como una tercera etapa una vez que se cuente con la infraestructura que permita su implementación y evitar inversiones antes de tener todos los elementos críticos para su correcta operación. / Con la ejecución de todas las etapas se logrará dar cumplimiento a los alcances del informe AG-104-2005 de la Auditoría Interna, lo cual 46 Ver oficio No. DTDI-467-2006 del 21 de noviembre del 2006. HTTP://WWW.CGR.GO.CR Correo Electrónico: Tel. (506) 501-8000 Fax. (506) 501-8100 Apdo. 1179-1000, San José, Costa Rica [email protected] 28 requiere un alto nivel de inversión.” (El subrayado no es del original, el resaltado si lo es). Se desprende de lo transcrito que si bien el Banco está trabajando en el desarrollo del proyecto denominado “Plan de Continuidad del Negocio” que a su vez contempla un subproyecto de “Plan de recuperación de tecnología de información ante un desastre”, este último, según lo reconoce el Director de TI, consiste en la compra y puesta en funcionamiento de un computador alterno y definición de un sitio alterno, específicamente para la plataforma IBM S/390, sin considerar las otras plataformas existentes en el Banco, quedando fuera de él, todas las demás actividades implícitas que conlleva un plan de contingencia en materia de tecnologías de información a nivel institucional. Asimismo, según señala el Coordinador del Proceso de Gestión Estratégica del BPDC47 (Área que se encargó de elaborar los documentos denominados “Visión y Alcances” y “Plan de Proyecto” ambos para el proyecto “Plan de Continuidad del Negocio”) el citado proyecto de Continuidad del Negocio, implicó, en su primera etapa, un análisis de impacto del negocio (BIA por sus siglas en inglés), con el fin de desarrollar la estrategia de recuperación con base en la criticidad de los procesos del negocio, estudio que se realizó en el año 2005, pero que sin embargo, tampoco evidenció a esta Contraloría que se haya generado a raíz de ese análisis, un plan para ir atendiendo y subsanando, en forma ordenada y cronológicamente establecida, todos los posibles impactos identificados como críticos del negocio, limitándose el Banco a atender en forma más inmediata lo que se consideró prioritario, esto es contar con un sitio alterno de procesamiento con el servidor IBM 390. Añadió el citado funcionario, que no será sino hasta el primer semestre del 2007 que se empezaría a actualizar el Plan de recuperación ante desastres de TI, lo que evidencia una vez más que el Banco apenas está iniciando los trabajos necesarios para contar con un Plan Contingencia en materia de TI, debidamente actualizado, que incluya todas las diferentes plataformas tecnológicas del Banco,, sin querer desmeritar con ello los esfuerzos realizados hasta ahora, por la adquisición del computador alterno, el cual ya se encuentra ubicado en el Centro de Cómputo y está en la fase de instalación de los equipos, según el cronograma vigente para ese proyecto y la intención de crear un nuevo Proceso Gerencial de Continuidad del Negocio, que se encargará directamente del cumplimiento y desarrollo del Proyecto de Continuidad del Negocio. Aunado a lo anterior, se verificó que el Plan de Contingencia elaborado en el 2001 por la KPMG, que aunque esté desactualizado sigue siendo la única herramienta con que cuenta el BPDC, no obstante no se le han realizado pruebas sobre su funcionalidad por lo menos en los dos últimos años, lo que pone en mayor riesgo al Banco ante la ocurrencia de una emergencia y no se pueda entonces actuar correctamente para su solución inmediata. Respecto al tema del plan de contingencia, es necesario recordar que tanto la Contraloría General de la República, en la norma No. 305.07 del Manual 47 Ver oficio No. PGE-804-2006 del 5 de diciembre el 2006, suscrito por el MBA Fabián Chaves Mora. HTTP://WWW.CGR.GO.CR Correo Electrónico: Tel. (506) 501-8000 Fax. (506) 501-8100 Apdo. 1179-1000, San José, Costa Rica [email protected] 29 sobre normas técnicas de control interno relativas a los sistemas de información computadorizados, como la Superintendencia General de Entidades Financieras (SUGEF), en el artículo 24 de la “Normativa de Tecnología de Información para las Entidades Fiscalizadas por la Superintendencia General de Entidades Financieras", han establecido que se debe elaborar un plan de contingencia que procure la continuidad de la operación normal de los Sistemas de Información Computadorizados (SIC) cuando se presenten eventualidades inesperadas que afecten su funcionamiento y en el cual se detallen las acciones, los procedimientos y los recursos que consideren los riesgos posibles que afecten de forma parcial o total la operativa normal de los servicios de TI. Este plan, según dicha normativa, debe ser aprobado por la máxima autoridad de la entidad y ser comunicado a los niveles pertinentes y debe probarse al menos una vez al año. El no contar con un plan de contingencia como el descrito pone en alto riesgo al Banco debido a que existe gran vulnerabilidad ante la ocurrencia de un evento de riesgo (sea desastre, fallas o sabotaje, por ejemplo) que pueda eventualmente paralizar los servicios que ofrece el Banco o lo que es peor, llevar a la pérdida de información de clientes y operaciones bancarias, lo cual sería más probable si aún no se cuenta con un computador alterno funcionando. En ese sentido debe recordarse que todo plan de contingencia en TI debe contener al menos la designación de roles y responsabilidades, tanto a lo interno como a lo externo de la organización, de todas las actividades relacionadas con dicho plan; el detalle de las acciones para disminuir la probabilidad de eventuales fallas; los procedimientos alternos de operación que permitan mantener la prestación de los servicios institucionales, los procedimientos de respuesta para retornar al estado normal de la organización y para el respaldo de la información, su revisión y actualización periódicas, entre otros componentes. Además no pueden quedar por fuera actividades tales como la prueba del plan, su aprobación y divulgación, los procedimientos de capacitación y entrenamiento del personal, la coordinación con autoridades relacionadas y la evaluación periódica del plan que permita determinar su efectividad y vigencia. 2.4. SOBRE EL COMITÉ GERENCIAL INFORMÁTICO CORPORATIVO Y EL COMITÉ CORPORATIVO DE TECNOLOGÍA. El BPDC cuenta con un Comité Gerencial Informático Corporativo (CGIC), cuyo funcionamiento está regulado mediante el “Reglamento del Comité Gerencial Informático Corporativo” 48 y el cual, según el artículo No. 3 de ese reglamento, está conformado por el Gerente General Corporativo (quien lo preside), el Subgerente General de Negocios, el Director de TI, el Coordinador del Proceso de Gestión Estratégica y el Director de Diseño y Producción. Sus principales funciones, según el artículo No. 5 del referido reglamento, son asesorar a la Gerencia General Corporativa en asuntos estratégicos de las tecnologías de información, como lo son la concordancia de la gestión de TI con la estrategia corporativa, inversiones y proyectos, evaluación del desempeño del proceso tecnológico como un todo y riesgo, seguridad y continuidad del negocio. 48 Aprobado por la Junta Directiva Nacional, en la sesión ordinaria No. 4409 del 17 de julio del 2006. HTTP://WWW.CGR.GO.CR Correo Electrónico: Tel. (506) 501-8000 Fax. (506) 501-8100 Apdo. 1179-1000, San José, Costa Rica [email protected] 30 Dicho Comité fue objeto de evaluación por parte de la Auditoría Interna del BPDC, la cual con informe No. AG-261-2005 del 9 de mayo del 2006 emitió sus recomendaciones para efectos de mejorar su funcionamiento, por lo que no pretende esta Contraloría repetir los alcances de ese estudio, sin embargo considera que hay dos asuntos que deben ser desarrollados en este informe, como complemento a lo ya señalado por la Auditoría Interna. a) El primero de ellos se refiere a la integración del CGIC. En ese sentido, según se desprende del citado artículo No. 3 del Reglamento, no forma parte de él, como miembro permanente, un representante de la Subgerencia General de Operaciones, unidad que es una importante usuaria de los servicios que en materia de tecnología de información brinda la DTI. Únicamente se establece en ese mismo artículo, que en caso de inasistencia del Gerente General Corporativo, quien sí es un miembro permanente, podrá ser sustituido por el Subgerente General de Operaciones con voz y voto, es decir que la representatividad de esa Subgerencia General en el referido Comité está sujeta a la asistencia o no del Gerente General a la sesiones, lo que le resta el carácter de miembro permanente, representando los propios intereses de la Subgerencia. Sobre este tema, es menester recordar lo que la norma No. 302.09 del Manual sobre normas técnicas de control interno relativas a los sistemas de información computadorizados indica en su parte interpretativa, al señalar que el Comité Gerencial de Informática, se conformará por acuerdo del máximo jerarca, unipersonal o colegiado y estará presidido por este y que usualmente lo integran además, un representante de las unidades de Planificación Institucional, Financiera e Informática, así como dos representantes de otras unidades usuarias b) Además, se determinó que adicionalmente al Comité Gerencial Informático, el BPDC cuenta con un Comité Corporativo de Tecnología (CCT), que se creó conforme las regulaciones del “Reglamento para la Regulación de las Relaciones Corporativas del Banco Popular y de Desarrollo Comunal y sus Sociedades Anónimas”49. Dicho Comité, según se señala en el artículo No. 16 de ese Reglamento, está integrado por el Director de Tecnología de Información del Banco Popular, quien lo preside y los Jefes de Tecnología de cada una de las Sociedades Anónimas pertenecientes al Banco y se indica además, que su objetivo es asesorar al Comité Ejecutivo Corporativo con el fin de que el desarrollo tecnológico del Grupo Corporativo esté acorde con una estrategia común que favorezca la integración de clientes y de negocios. Al respecto, y sin entrar en valoraciones específicas de las funciones que realiza el CCT versus las que realiza el CGIC, se debe mencionar, que, algunas de las funciones que ha venido realizando el CCT, podrían verse entrelazadas y hasta repetidas con respecto a las que debe cumplir el CGIC, tales, como por ejemplo, conocer y analizar los planes anuales operativos corporativos de TI del BPDC y sus sociedades anónimas, velar porque los planes anuales operativos y planes estratégicos tecnológicos estén alineados al Plan de Negocios Corporativo; conocer y analizar los proyectos de desarrollo tecnológico del Banco y de cada sociedad con el fin de garantizar la factibilidad y viabilidad técnica de los 49 Aprobado por la Junta Directiva Nacional, en la sesión ordinaria No. 4301 del 9 de mayo del 2005. HTTP://WWW.CGR.GO.CR Correo Electrónico: Tel. (506) 501-8000 Fax. (506) 501-8100 Apdo. 1179-1000, San José, Costa Rica [email protected] 31 mismos, otras. conocer y analizar el presupuesto corporativo en materia de TI, entre Asimismo, las funciones del CCT no están debidamente establecidas y formalizadas ni en el Reglamento indicado, ni en ninguno otro en particular, lo que dificulta la distinción clara y normada entre sus funciones y las del CGIC; Además, tampoco están establecidas formalmente las relaciones de coordinación que deben existir entre ambos comités. Al respecto, no obstante que es clara la autonomía que tiene el BPDC para crear todas aquellas comisiones y comités que requiera para su mejor funcionamiento, se debe considerar al establecerlos una definición del objetivo para el cual se crean y el establecimiento claro de las funciones que deben cumplir. También, es importante, que para este caso se valore la existencia de los dos comités a nivel corporativo tratando la materia de TI del Banco, y si el mismo implica duplicidad de esfuerzos, en virtud de lo intrínsicamente relacionado de sus funciones. 2.5. IMPORTANCIA DE CONTAR CON UN SISTEMA DE VALORACIÓN DEL DESEMPEÑO ESPECÍFICO PARA LOS FUNCIONARIOS DE LA DTI Y DE UN PROCESO DE INDUCCIÓN PARTICULAR PARA PERSONAL NUEVO QUE INGRESE A ESA DIRECCIÓN. Una buena administración de los recursos humanos de toda organización en todos sus diferentes niveles, debe buscar lograr maximizar las contribuciones del personal en las diferentes funciones y labores que les corresponden, satisfaciendo así los requerimientos organizacionales, a través de técnicas sólidas para la administración de personal, tomando en consideración, entre otros aspectos, la evaluación objetiva y medible del desempeño y los programas de educación y entrenamiento dirigidos a incrementar los niveles de habilidad técnica y administrativa del personal. Este principio es reconocido por COBIT en su norma PO7, específicamente en el campo de las tecnologías de información. El análisis realizado por esta Contraloría General evidenció que a nivel de la Dirección de Tecnologías de Información del BPDC, no se cuenta con un sistema específico de evaluación del desempeño del personal que conforma esa Dirección, ni se ha establecido formalmente, un proceso de inducción para todos aquellos nuevos funcionarios que ingresen a laborar en dicha Dirección, ni para los empleados de las empresas contratistas desarrolladoras de software que realicen labores para el Banco. Contar con un sistema de valoración del desempeño específico para los funcionarios de la DTI, permitiría precisamente conocer más detalladamente cómo se han desempeñado dichos funcionarios, determinando sus principales logros y debilidades, para que con ello se planifiquen y ejecuten las acciones necesarias para corregir esas debilidades y fortalecer los logros, coadyuvando de esa manera con la motivación del personal. Ese sistema de valoración debe ser lo suficientemente específico como para lograr evaluaciones de desempeño basadas en parámetros establecidos y en responsabilidades específicas del puesto, sin dejar de lado los aspectos que la HTTP://WWW.CGR.GO.CR Correo Electrónico: Tel. (506) 501-8000 Fax. (506) 501-8100 Apdo. 1179-1000, San José, Costa Rica [email protected] 32 Dirección de Desarrollo Humano y Organizacional del BPDC ha definido en el sistema de valoración del desempeño que se aplica a nivel institucional, es decir que debe existir la coordinación necesaria entre ambas direcciones, para que el referido sistema de desempeño sea validado formalmente por los niveles requeridos y los resultados que de él se obtengan, tengan validez como insumo para poder tomar decisiones y ejecutar acciones a partir de sus resultados específicos. Por su parte, un proceso de inducción especializado para el nuevo personal que eventualmente ingrese a la DTI o al personal de las empresas contratadas para el desarrollo de proyectos en tecnologías de información, es necesario, primero, dada la especialización de la materia tecnológica y segundo porque permitiría al nuevo funcionario o al contratista conocer de mejor manera todas las regulaciones que existen a nivel de TI, tales como las medidas de acceso a diferentes unidades de la DTI y a los sistemas y plataformas con que se cuenta, reglamentación interna que se debe respetar, medidas de seguridad física, etcétera. La ausencia de la citadas herramientas a nivel de la DTI lleva a que no se cuente con información más específica y medida técnicamente, sobre el desempeño de los funcionarios ya que el sistema de evaluación del desempeño institucional que actualmente se utiliza, no permite conocer con certeza si el personal con que cuenta la Dirección, desarrolla sus funciones cumpliendo parámetros mínimos de rendimiento esperados, porque los mismos no están definidos, ni permite medir tampoco si dicho personal cuenta o no con los conocimientos suficientes para el desarrollo de las labores que le han sido asignados o si se requiere de una capacitación más especializada. Además, el nuevo recurso humano que empieza a prestar funciones para la DTI, contratado por el BPDC o facilitado por las empresas contratistas, no conoce con exactitud todas las medidas de seguridad y control implementadas por esa Dirección, ni los procedimientos que se aplican en la DTI, de previo a su entrada a la institución, por lo que debe destinar tiempo para su aprendizaje y asimilación, tiempo que podría verse reducido si se le brinda una inducción más especializada. 2.6. OTROS ASPECTOS DE CONTROL INTERNO. 2.6.1. OBSERVACIONES A LA NORMATIVA INTERNA DEL BPDC EN MATERIA DE ADMINISTRACIÓN DE PROYECTOS EN TI. El Manual de procedimiento para la formulación, aprobación e implantación de proyectos institucionales del BPDC, de fecha agosto de 2003 y vigente a la fecha del estudio, establece en la norma No. 6, como responsabilidad del Director del proyecto “Elaborar y someter al Comité Gerencial Informático para su aprobación el resultado del estudio preliminar y de factibilidad (cuando es requerido) como requisito para poder iniciar un proyecto”. La negrita no es del original50. Además, en la norma No. 7 del citado Manual de procedimiento se indica, entre otros aspectos, lo siguiente: “Después de analizar la propuesta, el Comité de Negocios, la Gerencia General o la Subgerencia de Operaciones, determinan si se le da el visto bueno al proyecto o solicitan efectuar un 50 Esta norma también fue incorporada en los mismos términos en la Metodología para la Administración de Proyectos del BPDC, de fecha abril 2005. HTTP://WWW.CGR.GO.CR Correo Electrónico: Tel. (506) 501-8000 Fax. (506) 501-8100 Apdo. 1179-1000, San José, Costa Rica [email protected] 33 Estudio de Factibilidad, si la complejidad, naturaleza o costo estimado de la iniciativa lo amerita”. La negrita no es del original. Por su parte, en la norma No. 9 del ya mencionado procedimiento se señala: “De acuerdo al Informe de Negocios o al Informe de Propuesta, el Comité Interno de Tecnología de Información conoce la iniciativa y efectúa una sesión de discusión .../Este Comité, con base en el resultado de lo anterior, puede solicitar al Patrocinador la realización de un Estudio de Factibilidad en caso de que no hubiera sido solicitado previamente, o bien solicitarle mayor información. Además, se observó que en la Metodología de Administración de Proyectos del BPDC, se establece en el artículo 4.2, aprobación o rechazo del informe de negocios o de propuesta, inciso 4, en lo que interesa lo siguiente: “El Comité correspondiente con base en criterios de interés institucional y en los criterios técnicos emitidos por Tecnología de Información y las otras dependencias involucradas, debe valorar si continúa o no con el proyecto, fundamentado en elementos de índole jurídico, por aspectos de orden presupuestario, o por consideración de plazos, viabilidad e impacto en la cartera de proyectos del Banco y prioridades institucionales. El proyecto para ser aprobado debe demostrar su factibilidad y viabilidad…” La negrita no es del original. Respecto de todas las diferentes normas transcritas debemos indicar que no queda claro que si para la aprobación de todo proyecto debe demostrarse su factibilidad, con la realización de un estudio en ese sentido, tal y como se deduce de lo señalado en el punto No. 4.2 de la Metodología, o si ese tipo de estudio se realiza únicamente cuando se solicita, como lo indica el citado Manual de Procedimientos del Banco. Al respecto debe recordarse lo establecido en las normas Nos. 301.01 y 302.02 del Manual sobre normas técnicas de control interno relativas a los sistemas de información computadorizados., citadas en este informe. Además, tampoco queda claro cuál es el órgano (Comité Gerencial Informático, Gerencia General, Comité Interno de Tecnología de Información o algún otro Comité) autorizado para solicitar la realización del estudio de factibilidad o si es que todos pueden solicitarlo, lo cual pareciera no ser lo más adecuado. 2.6.2. SOBRE LA ACTUALIZACIÓN DEL MANUAL DE POLÍTICAS INTERNAS DE TI Y DEL DOCUMENTO “ACTIVIDADES DE ASEGURAMIENTO DE LA CALIDAD”. La norma No. 29 del Manual de Políticas Internas de Tecnologías de Información, establece que la revisión y de ser necesario, la actualización de las metodologías, políticas y procedimientos utilizados en Tecnologías de Información deberá realizarse en el primer trimestre de cada año, utilizando para su mejoramiento las lecciones aprendidas y con la participación del Subproceso Aseguramiento de la Calidad. No obstante, el estudio realizado evidenció que tanto ese Manual de Políticas como el documento denominado “Actividades de Aseguramiento de la Calidad de Sistemas de Información”, no han sido objeto de revisión y por ende, de modificación, en caso que corresponda, desde el año 2004. En el caso del Manual de Políticas su última versión data de diciembre de 2004 y en el caso del de Actividades de Aseguramiento, es de julio de ese mismo año. HTTP://WWW.CGR.GO.CR Correo Electrónico: Tel. (506) 501-8000 Fax. (506) 501-8100 Apdo. 1179-1000, San José, Costa Rica [email protected] 34 2.6.3. EXPEDIENTES SIN FOLEAR, CON DOCUMENTACIÓN SIN ORDEN CRONOLÓGICO Y SIN ÍNDICE DE CONTENIDO. El estudio de los expedientes de los diferentes proyectos evidenció que los mismos no se encuentran foliados, en algunos casos la documentación se encuentra archivada en forma desordenada, sin responder a un orden cronológico y no hay un índice de contenido para cada uno de los ampos que conforman dichos expedientes. Sanas medidas de control interno dictan la importancia de que toda la documentación contenida en los expedientes que respaldan las actuaciones administrativas de toda organización, se encuentre debidamente foliada, archivada en forma ordenada y cronológica y con las medidas de acceso y seguridad pertinentes, todo con el fin de evitar pérdidas de información clave o acceso a personal no autorizado. 3. CONCLUSIONES. El Banco Popular y de Desarrollo Comunal es un ente público no estatal que en los últimos años ha invertido millonarias sumas de dinero para el desarrollo de proyectos en tecnologías de información, cuyo principal fin es coadyuvar a la mejora en los procesos administrativos y a la forma en cómo ese Banco realiza sus negocios. Es por ello que una eficiente y eficaz administración de los recursos que se han destinado hacia esos proyectos y hacia la Dirección de Tecnologías de Información como tal, se hace necesaria para asegurar el cumplimiento de los objetivos institucionales perseguidos con dichos proyectos. El estudio concluido en el BPDC permite evidenciar que dicho Banco ha sido, en algunos casos, poco eficiente en la ejecución de esos proyectos, puesto que fueron desarrollados, aunque cumpliendo en su mayoría con lo establecido en la metodología para la administración de proyectos con que cuenta el Banco, con lentitud y excesivo trámite burocrático, lo que trajo como consecuencia el encarecimiento de los costos asociados a esos proyectos, no sólo desde el punto de vista de los recursos internos que les fueron inyectados (salarios, horas extras, suministros, etcétera), sino también en cuanto al costo que podría eventualmente haber significado para el Banco si se hubiesen adquirido los sistemas informáticos en un menor tiempo. Especial mención merece el proyecto de adquisición de un nuevo Core Bancario, el cual responde a una necesidad existente en el BPDC desde por lo menos hace 12 años que sin embargo, a la fecha de hoy, no ha sido posible solventar y las acciones desplegadas por el Banco para ese fin han resultado, en su mayoría, sin éxito, provocándole pérdidas económicas y gastos administrativos elevados. El actual proceso que se está llevando a cabo para ese fin, debe establecer todos los controles necesarios a efecto de que la Administración logre de esa forma, asegurarse su éxito. No debe dejar de mencionarse que si bien el BPDC ha venido desarrollando una cultura más dirigida hace el control de las actividades de la DTI, lo cierto es que todavía existe gran cantidad de oportunidades de mejora que deben ser evaluadas por esa Dirección, y de esa manera implementar todos los mecanismos de HTTP://WWW.CGR.GO.CR Correo Electrónico: Tel. (506) 501-8000 Fax. (506) 501-8100 Apdo. 1179-1000, San José, Costa Rica [email protected] 35 aseguramiento de la calidad, valoración de riesgos y control de operaciones que le favorezcan directamente en su importante labor de apoyo gerencial. 4. DISPOSICIONES. 4.1. AL GERENTE GENERAL CORPORATIVO. a) Ordenar a la Administración del Proyecto Core System que se definan y establezcan todos los mecanismos de control, y de coordinación necesarios con las diferentes Direcciones, Procesos y Subprocesos del Banco, que se relacionan con el Proyecto, de forma tal que se asegure que, en la medida de lo posible, todas las diferentes actividades planteadas en el Plan de trabajo del Proyecto y su respectivo cronograma, que aún están pendientes de realizar, se lleven a cabo en acatamiento de los plazos allí estipulados y con apego a todas las normas técnicas y legales, tanto internas como externas que le aplican al BPDC. Ver punto 2.1.3 de este informe. b) Girar las instrucciones a todos aquellas Direcciones, Procesos y Subprocesos que se encargan de la elaboración y aprobación de estudios preliminares y de factibilidad de proyectos en tecnologías de información, para que en el futuro se dé estricto cumplimiento a lo señalado tanto por la Metodología para la Administración de Proyectos del BPDC, como a las normas 301.01 y 301.02 del Manual sobre normas técnicas de control interno relativas a los sistemas de información computadorizados. Ver puntos 2.1.2 a y 2.1.3.2 de este informe. c) Instruir política a quien corresponda para que en los futuros proyectos en materia de tecnologías de información, en los cuales se genere información que represente un insumo para la contabilidad institucional o para cualquier otra unidad del Banco, se promueva una adecuada coordinación entre las áreas promotoras de los proyectos y la unidad o subproceso, según corresponda; con el propósito de que errores, omisiones y otras situaciones que se presenten puedan ser detectadas y subsanadas en el momento oportuno. Ver punto 2.1.4.1 de este informe. d) Ordenar a quien corresponda, se implementen los controles que se consideren necesarios, a efecto de que las diferentes actividades para el desarrollo de los proyectos en tecnologías de información del Banco, estén suficiente y adecuadamente fiscalizadas, de forma tal que cualquier desviación que se presente con respecto a los planes originalmente establecidos, sea detectada y se tomen las acciones correctivas en forma oportuna para asegurar una conclusión eficiente de los proyectos. Ver aparte 2.1.5 de este informe. e) Ordenar a quien corresponda, para que en el plazo de un mes, de recibido este informe, se elabore una estrategia que le permita al BPDC, estar preparado, para que, en un corto plazo se mitiguen los riesgos identificados en el Edificio Alejandro Rodríguez. Esa estrategia debe considerar, entre otros asuntos, la valoración de los riesgos de la ubicación del Centro de Cómputo y la Dirección de Tecnologías de Información en ese edificio, las acciones necesarias para que dichos riesgos sean minimizados, y la respectiva evaluación de su aplicación con la periodicidad requerida. Ver punto 2.2 de este informe. HTTP://WWW.CGR.GO.CR Correo Electrónico: Tel. (506) 501-8000 Fax. (506) 501-8100 Apdo. 1179-1000, San José, Costa Rica [email protected] 36 f) Girar las instrucciones a las unidades administrativas correspondientes, para que en el marco de los esfuerzos desarrollados para atender la materia de continuidad del negocio, se elabore un plan de contingencia en materia de tecnologías de información actualizado que contemple todas las plataformas tecnológicas con que cuenta el BPDC y todos aquellos procesos que ese Banco identificó como críticos alrededor de tecnologías de información. Para tales efectos, se establece un plazo de doce meses, contados a partir de la recepción de este informe, para que el citado plan de contingencia haya sido elaborado, revisado, aprobado y puesto en ejecución por quienes corresponde. Ver punto 2.3 de este informe. g) Girar las instrucciones necesarias a las unidades administrativas del Banco que correspondan, a efecto de que se valore la necesidad y oportunidad de actualizar el plan de contingencia en materia de TI que elaboró la firma KPMG, con el objeto de que el mismo sea utilizado durante el tiempo que se tarde en contar con el nuevo de plan contingencia, a que se hace referencia en la disposición anterior. Ver punto 2.3 de este informe. h) Valorar la conveniencia de que dentro del Comité Gerencial Informático Corporativo, exista una representación para la Subgerencia General de Operaciones, en virtud de su importancia como usuaria de los servicios de tecnologías de información a nivel institucional. En caso de considerarse conveniente, deberán promoverse las modificaciones necesarias al “Reglamento del Comité Gerencial Informático Corporativo”, para darle formalidad a los cambios propuestos. Ver punto 2.4.a de este informe. i) Ordenar a quien corresponda se analice la necesidad e importancia de contar con dos comités corporativos (Comité Gerencial Informático Corporativo y Comité Tecnológico Corporativo) encargados de atender asuntos en materia de tecnologías de información para todo el Banco y sus subsidiarias. En caso de considerarse conveniente la existencia de ambos, ordenar que se haga una clara distinción de las funciones que cada Comité va a atender y se reglamente las funciones del Comité Tecnológico Corporativo; así como se definan las relaciones de coordinación que deben existir entre ambos comités. Ver punto 2.4.b de este informe. j) Instruir lo que corresponda para que las actividades que conlleva un procedimiento de contratación administrativa, tales como estudios técnicos, análisis y adjudicación de ofertas, refrendos internos, estén acordes con los plazos establecidos por la Ley de Contratación Administrativa y su Reglamento. Ver puntos 2.1.4.2 y 2.1.5.b de este documento. 4.2. AL DIRECTOR DE TECNOLOGÍAS DE INFORMACIÓN. a) Elaborar, en un plazo máximo de un mes después del recibo de este informe, un plan de trabajo con su respectivo cronograma, con el fin de definir las actividades necesarias para lograr el diseño e implementación de un sistema de contabilidad de costos asociados a los diferentes proyectos de tecnologías de información. Dicho Plan deberá ejecutarse en un plazo máximo de seis meses, contados a partir de su aprobación respectiva. Ver punto 2.1.1 de este informe. HTTP://WWW.CGR.GO.CR Correo Electrónico: Tel. (506) 501-8000 Fax. (506) 501-8100 Apdo. 1179-1000, San José, Costa Rica [email protected] 37 b) Ordenar que se cumpla con el uso de las bitácoras de los proyectos, conforme lo establecido en la “Metodología de Administración de Proyectos”, en caso de que ese Banco no considere necesario su utilización, realice las modificaciones según corresponda. Ver punto 2.1.2.b de este informe. c) Girar las instrucciones a quien corresponda a efectos de que, en los informes , que se generen en los proyectos quede consignado, al menos los siguientes aspectos, la persona que los elaboró, los revisa, los aprueba; así como las respectivas fechas de elaboración, revisión y aprobación. En ese sentido, deberá también hacerse las modificaciones a la Metodología de Administración de Proyectos, para que ese tipo de control quede debidamente establecido en ese documento. Ver punto 2.1.2 b de este informe. d) Ordenar a los directores y administradores de proyectos en tecnologías de información, que dentro de los planes y respectivos cronogramas que se elaboren para el desarrollo de un proyecto, como parte de las acciones para la confección de los estudios de factibilidad, se incluyan todas aquellas actividades que se vinculan con esa labor, tales como la elaboración, revisión, validación y aprobación de los citados documentos por parte de los niveles que correspondan, esto con el objeto de que el Banco se asegure la ejecución de las mismas. Ver punto 2.1.3.2 b de este documento. e) Elaborar, en un plazo máximo de un mes después del recibo de este informe, un plan de trabajo con su respectivo cronograma, con el propósito de definir las actividades necesarias para lograr el diseño e implementación de un sistema de evaluación del desempeño específico para el personal de la Dirección de Tecnologías de Información y un proceso de inducción igualmente particular para el nuevo personal que ingresa a laborar en dicha Dirección, sea contratado por el Banco o facilitado por las empresas desarrolladoras de proyectos en materia de TI. Para tales efectos, se coordine, lo pertinente, con la Dirección de Desarrollo Humano y Organizacional de ese Banco. Ver punto 2.5 de este informe. f) Establecer en forma clara y formal, la obligación que tiene el BPDC que se elaboren los estudios de factibilidad pertinentes para el desarrollo de todo lo que sea considerado un proyecto de tecnologías de información, esto conforme a lo que establece el respectivo Manual sobre normas técnicas de control interno relativas a los sistemas de información computarizados. Ver punto 2.6.1 de este informe. g) Ordenar lo que corresponda, para que se cumpla con lo que establece la norma No. 29 del “Manual de Políticas Internas de Tecnologías de Información”, de ese Banco. Ver punto 2.6.2 de este informe. h) Girar las instrucciones a quienes corresponda con el propósito de que todos los expedientes que se utilizan en el desarrollo de los proyectos de tecnologías de información, cumplan con las medidas de control mínimas necesarias, esto es, que los folios sean numerados en forma consecutiva, archivados en forma cronológicas y que cada expediente cuente con su respectivo índice de contenido, el cual debe irse actualizando conforme se le agreguen nuevos folios. Ver punto 2.6.3 de este informe. HTTP://WWW.CGR.GO.CR Correo Electrónico: Tel. (506) 501-8000 Fax. (506) 501-8100 Apdo. 1179-1000, San José, Costa Rica [email protected] 38 4.3. A LA AUDITORÍA INTERNA. Realizar un estudio con el objeto de determinar si las actuaciones de los funcionarios que han estado a cargo de la conceptualización, ejecución, desarrollo y control del proyecto Core System, desde el año 2002 a la fecha, tipifican como hechos generadores de responsabilidad administrativa, en virtud de los hechos expuestos en todo el aparte 2.1.3. de este informe. En caso de así determinarse, deberán realizarse las relaciones de hechos pertinentes y solicitarse la apertura de los procedimientos administrativos que correspondan. La información que se solicita en este informe para acreditar el cumplimiento de las disposiciones anteriores, deberá remitirse, en los plazos antes fijados, a la Gerencia del Área de Seguimiento de Disposiciones de esta Contraloría General de la República. HTTP://WWW.CGR.GO.CR Correo Electrónico: Tel. (506) 501-8000 Fax. (506) 501-8100 Apdo. 1179-1000, San José, Costa Rica [email protected]