1. introducción. - Contraloría General de la República
Anuncio
DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA ÁREA DE SERVICIOS SOCIALES INFORME NO. DFOE-SOC-IF- 30-2009 13 DE AGOSTO, 2009 DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA ÁREA DE SERVICIOS DE SOCIALES INFORME SOBRE LA EVALUACIÓN DE LA CALIDAD DE LA INFORMACIÓN OPERADA POR SISTEMAS DE INFORMACIÓN AUTOMATIZADOS Y LA EJECUCIÓN DEL PLAN DE IMPLEMENTACIÓN DE LA NORMATIVA SOBRE TECNOLOGÍAS DE INFORMACIÓN EN LA CAJA COSTARRICENSE DE SEGURO SOCIAL 2009 T:(506) 2501-8000 F: (506) 2501-8100 C: Contralorí[email protected] Apdo.1179-1000. San José DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA ÁREA DE SERVICIOS SOCIALES CONTENIDO 1. INTRODUCCIÓN. .............................................................................................................................. 1 1.1. origen del estudio. ......................................................................................................... 1 1.2. Objetivo del estudio. ...................................................................................................... 1 1.3. Alcance del estudio. ...................................................................................................... 1 1.4. Consideraciones generales. .......................................................................................... 2 1.5. Comunicación verbal de los resultados. ....................................................................... 4 2. RESULTADOS. .................................................................................................................................. 4 2.1. Necesidad de armonizar el marco normativo de la función de gestión de las TIC. ..... 4 2.1.1. Sobre la labor de desarrollar sistemas asignada tanto a la DTIC como a los CGI. .... 5 2.1.2. Funciones de asesoría asignadas al Comité Gerencial de Tecnologías de Información que corresponden a la Junta Directiva. .................................................................................... 7 2.1.3. Indefinición respecto al accionar del Consejo Institucional de Centros de Gestión Informática. ................................................................................................................................ 9 2.1.4. Acreditación de Centros de Gestión Informática. ......................................................... 9 2.2. Necesidad de integrar la gestión de TI. ...................................................................... 10 2.2.1. Carencia de una supervisión a la labor de los CGI por parte de la DTIC. ................. 11 2.2.2 Mejora al Catálogo de Aplicaciones (CAPI). ............................................................... 12 2.2.3. Ausencia de un inventario de recursos. ...................................................................... 13 2.3. De la divulgación de las normas, políticas y otras regulaciones. ............................... 14 2.4. De la dotación de personal.......................................................................................... 16 2.5. Plan de Implementación de las Normas. .................................................................... 17 3. CONCLUSIÓN. ................................................................................................................................. 20 4. DISPOSICIONES. ............................................................................................................................ 21 4.1. A la Junta Directiva...................................................................................................... 21 4.2. Al Presidente Ejecutivo. .............................................................................................. 22 4.3 A la Dirección de Tecnologías de Información y Comunicaciones. ........................... 23 T:(506) 2501-8000 F: (506) 2501-8100 C: Contralorí[email protected] Apdo.1179-1000. San José DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA ÁREA DE SERVICIOS SOCIALES INFORME NO. DFOE-SOC-30-2009 13 DE AGOSTO, 2009 RESUMEN EJECUTIVO La Caja Costarricense de Seguro Social (CCSS), ha tomado conciencia de la importancia que para su desempeño revisten las tecnologías de información y comunicaciones (TIC). En los últimos años ha realizado ajustes organizacionales en procura de darle a la gestión de TIC el lugar que le corresponde y, como parte de ello, también ha procurado modernizar la plataforma tecnológica con la adquisición de nuevos equipos. En relación con lo anterior, para administrar la gestión de TIC posee una Dirección de Tecnologías de Información y Comunicaciones y una gran cantidad de unidades denominadas Centros de Gestión Informática, dispersas por toda la institución, lo cual le otorga a la labor de integración de sistemas un reto significativo. En el estudio realizado se observó que se han emitido manuales y normas con el propósito de regular el ejercicio de la gestión de las tecnologías de información en la institución. El análisis de ese marco normativo señala la existencia de vacíos en las competencias del Consejo Gerencial de Tecnologías de Información, en la asignación de la responsabilidad sobre el desarrollo de sistemas de información y la toma de decisiones al respecto. También se encontró omisión de contenido en cuanto al significado y utilidad de la acreditación de los Centros de Gestión Informática y la canalización de los acuerdos que se generen del Consejo Institucional de Centros de Gestión Informática. Al respecto se llama la atención para que las autoridades institucionales subsanen esos aspectos de la normativa de la institución, pues pueden tener consecuencias que afecten el desarrollo de la gestión de TIC y de la institución en general. Como consecuencia de esa falta de claridad, se observó que existen sistemas de información que presentan problemas serios de integridad y de actualización, que generan información de baja calidad. Ejemplo de ello es la existencia del Sistema Centralizado de Recaudación (SICERE) y el Sistema Integrado de Pensiones (SIP), en que el último se alimenta con información del primero. Sin embargo, como ambos sistemas no se encuentran integrados, los datos registrados en el SICERE se trasladan al SIP mediante archivos (que contienen los registros del último mes), creándose duplicidad de información. Estos archivos, que se trasladan, contienen la información de los aportes de los trabajadores y patronos y las modificaciones realizadas en meses anteriores no se incluyen en las actualizaciones mensuales. Esa situación hace que, finalmente las bases de datos del SIP no coincidan con las del SICERE, siendo esto un resultado de la carencia de integración de ambos sistemas. Situación similar se presenta con otros sistemas que tienen diferentes centros médicos, los cuales atienden la misma necesidad pero con sistemas que son muy diferentes, como los sistemas de información Medisys, Sihomex y el Sistema Informático de Coronado. Aunque en este caso, algunos de estos sistemas fueron elaborados por terceros, el problema sigue siendo el mismo, la carencia de definición sobre la responsabilidad respecto a los sistemas, lo que finalmente se traduce en duplicación de esfuerzos, problemas de integración y uso ineficiente de los recursos. En el estudio se determinaron debilidades en la labor de integración de la gestión de tecnologías de información, reflejada en la escasez de supervisión a los Centros de Gestión Informática, la desactualización del Catálogo de Aplicaciones y la falta de un inventario de recursos informáticos institucionales. En el informe de esta Contraloría General, número N°DFOE-SA-40/2005 del 7 de diciembre de 2005, en el apartado 2.7 inciso d) se crítica la inexistencia de un inventario institucional de activos informáticos que facilite la toma de decisiones y la planeación de las tecnologías de información en la CCSS. De manera que esta es una debilidad sobre la cual ya se ha señalado a la institución la necesidad de un esfuerzo adicional, pero que a la fecha muestra un escaso progreso. T:(506) 2501-8000 F: (506) 2501-8100 C: Contralorí[email protected] Apdo.1179-1000. San José DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA ÁREA DE SERVICIOS SOCIALES INFORME NO. DFOE-SOC-IF-30-2009 13 DE AGOSTO,2009 INFORME SOBRE LA EVALUACIÓN DE LA CALIDAD DE LA INFORMACIÓN OPERADA POR SISTEMAS DE INFORMACIÓN AUTOMATIZADOS Y LA EJECUCIÓN DEL PLAN DE IMPLEMENTACIÓN DE LA NORMATIVA SOBRE TECNOLOGÍAS DE INFORMACIÓN EN LA CAJA COSTARRICENSE DE SEGURO SOCIAL 1. INTRODUCCIÓN. 1.1. Origen del estudio. El estudio se realizó en cumplimiento del Plan Anual Operativo de la División de Fiscalización Operativa y Evaluativa de la Contraloría General de la República para el año 2009. 1.2. Objetivo del estudio. El presente trabajo se desarrolló en la Caja Costarricense de Seguro Social (en adelante CCSS) con el propósito de determinar la suficiencia de las acciones ejecutadas por esa institución para el cumplimiento del plan de implementación de las “Normas técnicas para la gestión y el control de las tecnologías de información”, No. N-22007-CO-DFOE, y de conformidad con ello promover una mejora significativa en la institución en cuanto a la gestión de las tecnologías de información (en adelante TI) y en los servicios que se prestan a sus usuarios tanto internos como externos,. Además, con el fin de determinar si la información considerada relevante para la institución, que es operada por sistemas automatizados, y que se encuentra almacenada en las bases de datos institucionales, es confiable y suficiente para la toma de decisiones del nivel superior. También, de resultar procedente, promover acciones tendientes a mejora la calidad de esa información. 1.3. Alcance del estudio. El estudio comprendió el análisis de las acciones llevadas a cabo por la Caja, en relación con la ejecución del mencionado plan de implementación de la normativa sobre tecnologías de información y la verificación selectiva de los aspectos determinantes de la calidad de la información procesada en los sistemas institucionales y que se utiliza para la toma de decisiones y las operaciones normales de la institución. En cuanto a la verificación de la calidad de la información de las bases de datos, se tomó en cuenta que tanto esta Contraloría General, como la Auditoría Interna de la CCSS, han realizado estudios previos sobre ese tema y se ha observado una T:(506) 2501-8000 F: (506) 2501-8100 C: Contralorí[email protected] Apdo.1179-1000. San José DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA ÁREA DE SERVICIOS SOCIALES 2 tendencia a la reiteración de las mismas deficiencias. En el caso particular de la CCSS, se revisaron 20 informes de la Auditoria Interna, que contienen aspectos relativos a la calidad de la información y fueron emitidos entre los años 2007 y 2008. Por lo que se consideró que aportaría un mayor valor agregado y que sería conveniente orientar esta auditoría hacia la determinación de las causas de los problemas de calidad de la información, planteándose como estrategia partir de los resultados obtenidos en los estudios de la Auditoría Interna, relacionados con dicha temática, los cuales se pueden agrupar grosso modo en: gestión de TI, procedimientos de seguridad, funcionamiento de los Centros de Gestión Informática, integración y diseño de sistemas, asignación de personal técnico y capacitación de personal. (Ver Anexos 1,2 y 3) El examen se realizó de conformidad con lo establecido en las Normas técnicas para la gestión y el control de las tecnologías de información, el Manual de normas generales de control interno para la Contraloría General de la República y las entidades y órganos sujetos a su fiscalización, el Manual General de Fiscalización Integral en lo aplicable y la Ley General de Control Interno, N° 8292, entre otras normas legales y técnicas vigentes. El estudio abarcó el período comprendido entre el 1° de setiembre de 2008 y el 31 de marzo de 2009, ampliándose en aquellos casos en que se consideró necesario. 1.4. Consideraciones generales. La Caja Costarricense de Seguro Social es la entidad estatal que tiene por mandato constitucional la responsabilidad de administrar y gobernar los seguros sociales en Costa Rica. Este mandato fue retomado por la Ley Nº 17 del 22 de octubre de 1943 “Ley Constitutiva de la Caja Costarricense de Seguro Social” y sus reformas, que dispone que esa entidad aseguradora, es la institución autónoma a la que le corresponde el gobierno y la administración de los seguros sociales obligatorios, los fondos y las reservas de estos seguros, los cuales no podrán ser transferidos ni empleados en finalidades distintas de las que motivaron su creación. Los seguros sociales a cargo de la CCSS son: Invalidez, vejez y muerte y Enfermedad y maternidad (Seguro de Salud). Según reza el Reglamento del Seguro de Salud, aprobado en la sesión de Junta Directiva número 8061 del 30 de mayo del año 2006, “La afiliación al Seguro de Salud es obligatoria para todos los trabajadores asalariados, los trabajadores independientes y para los pensionados de los regímenes nacionales de pensión, en el territorio nacional”. Por lo tanto, la base de contribuyentes al sistema de seguro social, es, prácticamente, toda la fuerza laboral del país. De conformidad con lo que ordena el artículo 177 de la Constitución Política, el Seguro de Salud es universal y cubre a todos los habitantes del país. Mediante la Ley No. 5349, “Universalización del seguro de enfermedad y maternidad”, del 24 de setiembre de 1973, se le traspasan a la CCSS las instituciones médico asistenciales a cargo del Ministerio de Salubridad Pública, las Juntas de Protección Social y los Patronatos. T:(506) 2501-8000 F: (506) 2501-8100 C: Contralorí[email protected] Apdo.1179-1000. San José DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA ÁREA DE SERVICIOS SOCIALES 3 De manera que la CCSS es una institución que tiene a cargo una labor compleja y amplia, que involucra a toda la recaudación y administración de la cuotas de las cargas sociales (patronales y de los trabajadores) y su contraparte es la obligación de prestar servicios de salud a todos los habitantes del país y el pago de pensiones o jubilaciones. Una institución de la magnitud, complejidad y cobertura que tiene la CCSS, requiere de un uso muy intensivo de los recursos informáticos para auxiliarse en la prestación de los servicios. La dependencia funcional que tiene asignada la labor de liderar el proceso de informatización de las operaciones institucionales es la Dirección de Tecnologías de Información y Comunicaciones (DTIC). Esta unidad se encuentra en un proceso de consolidación, luego de que en los últimos cuatro años, ha sido objeto de frecuentes cambios, especialmente en cuanto a su ubicación en la estructura organizacional de la institución y en la conceptualización de su papel en el quehacer institucional. Por ejemplo, esta unidad dependía de la Gerencia de Modernización y Desarrollo, pero por un lapso aproximado de un año, fue elevada al rango de subgerencia y a tener dependencia directa de la Presidencia Ejecutiva. Posteriormente fue trasladada a la Gerencia Financiera, en donde estuvo por cerca de otro año. Finalmente, en el año 2008, se creó la Gerencia de Infraestructura y Tecnología y tiene como una de sus unidades a la DTIC. Estos cambios indican que ha habido una intención de darle a la DTIC una ubicación acorde con su responsabilidad institucional, pero aún se encuentra en un proceso de consolidación. Sin embargo, es importante indicar que a lo largo y ancho de la institución existen unidades que se ocupan de aspectos relativos a las tecnologías de información y comunicaciones, que se denominan Centros de Gestión Informática (en adelante CGI), los cuales dependen formalmente de la jefatura de la dependencia, establecimiento o centro en donde se ubican. Además, se creó una Comisión de Tecnologías que asesora a la Junta Directiva en el conocimiento y toma de decisiones en materia de tecnologías de información y comunicaciones. Por otro lado, se cuenta también con un Comité Gerencial de Tecnologías de Información, constituido por la Presidencia Ejecutiva, todos los Gerentes de División y la Subgerente de la DTIC. Finalmente, se tiene un Consejo Institucional de Centros de Gestión Informática, constituido por representantes de los diferentes tipos de Centros de Gestión Informática existentes en la institución y funcionarios de la DTIC , como instancia para facilitar la coordinación interna. De lo anterior se tiene que la CCSS es una institución con una organización muy grande y dispersa, con una población meta de magnitud nacional, que puede obtener muchos beneficios de una gestión eficiente de los recursos informáticos, tanto para su operación interna como para la prestación de los servicios que brinda. Para alcanzar ese T:(506) 2501-8000 F: (506) 2501-8100 C: Contralorí[email protected] Apdo.1179-1000. San José DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA ÁREA DE SERVICIOS SOCIALES 4 desempeño la institución cuenta con una organización compleja, la cual se encuentra en un proceso de consolidación. (Ver Anexo 4) 1.5. Comunicación verbal de los resultados. En reunión celebrada el 4 de agosto de 2009, en el Despacho del Presidente Ejecutivo (o en la Sala de Sesiones de la Junta Directiva) de la CCSS, ubicado(a) en las oficinas centrales de esa entidad, funcionarios de esta Contraloría General comunicaron verbalmente los resultados del presente informe y las correspondientes disposiciones a los señores Dr. Eduardo Doryan Garrón, Presidente Ejecutivo, Ing. Laura Morales Ureña, Subgerente de la Dirección de Tecnologías de Información y Comunicación, Ing. Manuel Rodríguez Arce, Asistente DTIC, Lic. Carlos Vargas Cubero, Subauditor Interno, Lic. Eithel Corea Baltodano, Jefe del Área Tecnologías de Información y Comunicaciones de la Auditoría Interna de la CCSS, y el Lic. Wven Porras Núñez, asesor de la Presidencia Ejecutiva. En dicha reunión se entregó al Presidente Ejecutivo dos ejemplares del borrador del informe, uno en forma escrita, mediante el oficio No. 8134 (FOE-SOC-0670) del 04 de agosto de 2009, y el otro en disco compacto, para que fuera objeto de valoración y posterior remisión de las observaciones pertinentes. Las observaciones al borrador del presente informe fueron recibidas el 11 de agosto mediante el oficio No. P.E. 32.353-09 de esa misma fecha , suscrito por el Dr. Eduardo Doryan Garrón, Presidente Ejecutivo de la CCSS , las cuales fueron valoradas por este órgano contralor y consideradas en lo correspondiente, según se detalla en el cuerpo de este informe. En el caso particular de la ampliación del plazo de 60 días calendario, señalado en la disposición 4.2. a) inciso ii del borrador de informe citado, a 90 días calendario, se aclara que dicha ampliación de 30 días se concede en el entendido que el nuevo plazo estaría también en función de lo comentado en el punto 2.4. del presente informe, referente a las necesidades de recursos humanos de la DTIC para el cabal cumplimiento de sus funciones. De conformidad con lo anterior, la decisión de realizar un estudio de necesidades de recurso humano en los Centros de Gestión Informática, con miras a dotar esas unidades de los recursos necesarios para cumplir con las funciones que tienen asignadas en su respectiva normativa, queda a la entera responsabilidad de esa Administración. 2. RESULTADOS. 2.1. Necesidad de armonizar el marco normativo de la función de gestión de las TIC. La función de gestión de las tecnologías de información y comunicaciones en la CCSS se encuentra normada, principalmente, por dos manuales, a saber: Manual de Organización de la Dirección de Tecnologías de Información y Comunicaciones, aprobado por la Junta Directiva, en la sesión número 8130, el 8 de febrero 2007 y el Manual de Organización para los Centros de Gestión Informática, aprobado por la Junta Directiva, en la sesión número 8222, el 31 de enero 2008. T:(506) 2501-8000 F: (506) 2501-8100 C: Contralorí[email protected] Apdo.1179-1000. San José DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA ÁREA DE SERVICIOS SOCIALES 5 La claridad de la asignación de las funciones y tareas y de la forma en que se ejerce la autoridad y la responsabilidad a lo largo de la estructura organizativa de un ente es un aspecto no solo importante sino también indispensable para que su funcionamiento sea eficaz y eficiente. Esta asignación de responsabilidades puede tener un impacto en el logro de estándares de calidad, en la medida en que se especifica quien es el que establece que es lo que se debe hacer, quien debe hacerlo y como se ejerce el control. Si alguno de estos elementos no está o es incompleto abre la puerta a la ocurrencia de desviaciones que ponen en peligro los objetivos de calidad trazados. Por ese motivo, fue necesario realizar una verificación del marco normativo establecido en la CCSS para regular la gestión informática. La revisión de los manuales de organización de la Dirección de Tecnologías de Información y Comunicaciones y de los Centros de Gestión Informática muestran la existencia de situaciones poco claras, inconsistencias e imprecisiones que originan situaciones confusas en la gestión de las tecnologías de información, las cuales se comentan a continuación: 2.1.1. Sobre la labor de desarrollar sistemas asignada tanto a la DTIC como a los CGI. De todos es sabido que la CCSS es una institución compleja, diversa y de gran magnitud. De conformidad con ello, para disponer de información para la toma de decisiones en la institución se requiere contar con la posibilidad de integrar los sistemas que se tienen en los diferentes establecimientos o dependencias institucionales. Una forma de posibilitar la integración de los sistemas de información es estableciendo criterios claros y asignando adecuadamente la responsabilidad y la autoridad. De acuerdo con lo establecido en el Manual de Organización de la Dirección de Tecnologías de Información y Comunicaciones, el Área de Ingeniería de Sistemas es responsable del desarrollo de los sistemas de información institucionales. También indica que esta “Área de Trabajo debe asesorar, colaborar y apoyar técnicamente para que los Centros de Gestión Informática, a los cuales el Comité Gerencial de Tecnologías de Información y Comunicaciones le asigne, como estrategia operacional, el desarrollo de sistemas de ámbito global del sistema de salud, de pensiones, financiero, administrativo, bienes y servicios, entre otros, cumplan en forma efectiva con la solicitud específica.”. Queda claro, entonces que el desarrollo de los sistemas de información institucionales le corresponde al Área de Ingeniería de Sistemas, de la DTIC, pero también se contempla la posibilidad de que los Centros de Gestión Informática puedan desarrollar “sistemas de ámbito global”. En relación con lo anterior, dicho Manual no define que es un “sistema de información institucional” o que es un “sistema de ámbito global”, quien tiene la responsabilidad y autoridad para definir esas categorizaciones, ni los criterios técnicos con fundamento en los que se debe establecer la categoría a la cual T:(506) 2501-8000 F: (506) 2501-8100 C: Contralorí[email protected] Apdo.1179-1000. San José DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA ÁREA DE SERVICIOS SOCIALES 6 pertenece determinado sistema. Con respecto a dichos criterios técnicos, cabe acotar que éstos son determinantes para lograr la optimización de los recursos en la CCSS, en el tanto que evitan la duplicidad en los esfuerzos institucionales necesarios para el desarrollo de los sistemas —tales como recursos humanos, capacitación, costos, etc.—. Por eso, se le consultó a la DTIC si existía una definición oficial sobre qué es un sistema de información institucional, qué es un sistema de ámbito global y cuáles son las demás clasificaciones de sistemas de información que se utiliza en la CCSS, respondiendo mediante el oficio No. TI-0722-2009, del 10 de junio de 2009, que no se cuenta con una definición oficial de lo que se considera un sistema de información institucional, no obstante indica que son las unidades usuarias las que definen el ámbito de aplicación de la herramienta. Al no existir una definición o categorización de los sistemas de información y al quedar a criterio de cada unidad la determinación de qué acción tomar, se puede presentar una amplia diversidad de criterios que dificultarían el logro de los objetivos institucionales de integración de los sistemas y de optimización del uso de los recursos técnicos y humanos. En cuanto a quien es el responsable de definir quien se hace cargo de la elaboración de un sistema de información, con el oficio No. TI-0722-2009 citado, la DTIC indica es el Comité Gerencial de Tecnologías de Información y las Gerencias respectivas en conjunto con la DTIC. Sin embargo, en los registros del Comité Gerencial de Tecnologías de Información no consta que se haya presentado a discusión la elaboración de algún sistema de información específico. De acuerdo con lo observado no se tiene claro quien asigna la elaboración de los sistemas de información, ni quien asigna las responsabilidades al respecto. Esta situación refleja una deficiencia en el sistema de control interno en cuanto a la definición clara de funciones, autoridad y responsabilidad. Al respecto, es importante recordar que en materia de control el artículo 13 de la Ley General de Control Interno, Ley N°8292, indica que serán deberes del jerarca y de los titulares subordinados: “d) Establecer claramente las relaciones de jerarquía, asignar la autoridad y responsabilidad de los funcionarios y proporcionar los canales adecuados de comunicación, para que los procesos se lleven a cabo; todo de conformidad con el ordenamiento jurídico y técnico aplicable.”. Como consecuencia de esa falta de claridad, se observó que existen sistemas de información que presentan problemas serios de integridad y de actualización, que traen como consecuencia información de baja calidad. Ejemplo de ello es la existencia del Sistema Centralizado de Recaudación (SICERE) y el Sistema Integrado de Pensiones (SIP), en que el último se alimenta con información del primero. Sin embargo, como ambos sistemas no se encuentran integrados, los datos registrados en el SICERE se trasladan al SIP mediante archivos (que contienen los registros del último mes), creándose duplicidad de información. Estos archivos, que se trasladan, contienen la T:(506) 2501-8000 F: (506) 2501-8100 C: Contralorí[email protected] Apdo.1179-1000. San José DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA ÁREA DE SERVICIOS SOCIALES 7 información de los aportes de los trabajadores y las modificaciones realizadas en meses anteriores no se incluyen en las actualizaciones mensuales. Esa situación hace que, finalmente las bases de datos del SIP no coincidan con las del SICERE, siendo esto un resultado de la carencia de integración de ambos sistemas. Una situación similar se presenta con otros sistemas que se tienen en diferentes centros médicos, los cuales atienden la misma necesidad pero con sistemas que son muy diferentes, como los sistemas de información Medisys, Sihomex y el Sistema Informático de Coronado. Aunque en este caso, algunos de estos sistemas fueron elaborados por terceros, el problema sigue siendo el mismo, la carencia de definición sobre la responsabilidad respecto a los sistemas, lo que finalmente se traduce en duplicación de esfuerzos, problemas de integración y uso ineficiente de los recursos. De los anteriores hechos se resume que la causa principal está en que los sistemas de información de interés y trascendencia institucional no están siendo administrados con los mismos criterios e intereses, que busquen un desarrollo integrado y unificado, como lo establece el Manual de Organización de la DTIC Sección 6.8.5 página 127. Tampoco existe un control centralizado por la DTIC que maximice el uso de los recursos, como lo establece el Manual de Organización de la DTIC, sección 6.8.1. Página 49. 2.1.2. Funciones de asesoría asignadas al Comité Gerencial de Tecnologías de Información que corresponden a la Junta Directiva. Como se ha indicado la CCSS es una entidad que por sus funciones y la extensión de su cobertura es una organización compleja. En razón de esa complejidad, el establecimiento de la estructura organizativa tiene una relevancia muy importante para mantener las líneas de autoridad y responsabilidad, sin que se presenten conflictos de competencias. El Manual de Organización de la Dirección de Tecnologías de Información y Comunicaciones es el cuerpo reglamentario que establece el marco de referencia del accionar de la gestión de las tecnologías de información. En ese manual se define al Comité Gerencial de Tecnologías de Información como una instancia técnica entre el máximo jerarca y la Dirección de Tecnologías de Información y Comunicaciones, otorgándole el papel de asesor en materia de tecnologías de información y comunicaciones. El Comité está conformado por el Presidente Ejecutivo (quien lo preside), los Gerentes de División y el Director de Tecnologías de Información y Comunicaciones. En la sección del manual titulada Comité Gerencial de Tecnologías de Información, se describen las funciones de este Comité, las cuales de manera resumida son las siguientes: Asesorar a la Junta Directiva en la toma de decisiones en el ámbito de las tecnologías de información y las comunicaciones. Elaborar las especificaciones requeridas para los estudios preliminares y de T:(506) 2501-8000 F: (506) 2501-8100 C: Contralorí[email protected] Apdo.1179-1000. San José DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA ÁREA DE SERVICIOS SOCIALES 8 factibilidad. Proponer las políticas globales en el ámbito de tecnologías de información y comunicaciones, de acuerdo con las necesidades institucionales y los cambios tecnológicos. Aprobar los planes estratégicos y operativos de la función de tecnologías de información y comunicaciones. Priorizar y decidir con respecto a los proyectos y desarrollos de Tecnologías de Información que se presentarán a la Junta Directiva. Coordinar actividades con la Dirección de Tecnologías de Información y Comunicaciones. Impulsar la integración de las tecnologías de información y comunicaciones, con base en decisiones colegiadas y consensuadas, para lograr la unificación de criterios y de necesidades institucionales y maximizar los recursos institucionales. De lo indicado se observa que el Comité Gerencial de Tecnologías de Información es, básicamente, una instancia asesora, cuya labor es la de enriquecer la toma de decisiones de los funcionarios responsables, en este caso del Presidente Ejecutivo y de la Junta Directiva. Sin embargo, la lectura del manual permitió observar que en varios de los apartados en donde se describen las funciones de la Dirección de Tecnologías de Información y Comunicaciones y de sus áreas y subáreas se indica que el Comité Gerencial de Tecnologías de Información aprobará la normativa que le servirá de fundamento a la DTIC para “formular, actualizar y evaluar la regulación, la normativa técnica, los protocolos y estándares relacionados con su ámbito de acción”. Incluso en la sección relativa al Consejo Institucional de Centros de Gestión Informática, el manual indica que el Comité emitirá también políticas. En la sección de los factores claves del éxito, el manual de organización indica que el “Comité Gerencial de Tecnologías de Información y Comunicaciones, debe aprobar la regulación, la normativa técnica, las políticas y estrategias globales, que promueven y orienten la modernización y el desarrollo de esta importante área de actividad.”. La aprobación de normativa y políticas, no es una actividad compatible con la función de asesoría que, fundamentalmente, le corresponde al mencionado Comité Gerencial. Sobre todo porque en materia de tecnologías de información y comunicaciones se involucra el accionar de toda la institución, o sea es de gran amplitud de cobertura, desde el punto de vista organizacional. Esta situación es inconveniente porque genera una confusión institucional respecto al ejercicio de la autoridad y la distribución de la responsabilidad, pues el Comité Gerencial de Tecnologías de Información estaría asumiendo funciones que le corresponden, respectivamente, a la Junta Directiva y a la Presidencia Ejecutiva. Al respecto, es importante recordar que el artículo 13 de la Ley General de Control Interno, Ley N°8292, citado anteriormente, establece la necesidad de que el jerarca asigne de manera clara la autoridad y la responsabilidad de los funcionarios. T:(506) 2501-8000 F: (506) 2501-8100 C: Contralorí[email protected] Apdo.1179-1000. San José DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA ÁREA DE SERVICIOS SOCIALES 9 2.1.3. Indefinición respecto al accionar del Consejo Institucional de Centros de Gestión Informática. En el Manual de Organización de la Dirección de Tecnologías de Información y Comunicaciones se incluye una sección denominada Consejo Institucional de Centros de Gestión Informática. En esa sección se indica que el Consejo es un órgano colegiado, coordinado por el Director de Tecnologías de Información y Comunicaciones, integrado por los responsables de los Centros de Gestión Informática y los jefes de área de la Dirección mencionada, responsables de participar activamente en la actualización y desarrollo de las tecnologías de información y las comunicaciones. Esta es una instancia de gran importancia pues es la que permite que, a nivel operativo, se resuelvan los temas que afectan directamente la ejecución del trabajo y que, en materia de tecnologías de información y comunicaciones, se logre la integración y coordinación de esfuerzos. Máxime que, los Centros de Gestión Informática, tienen una dependencia directa con sus respectivas gerencias, por lo que están sujetos, en materia de su trabajo a la autoridad de línea, pero también tienen la obligación de acatar lo que en materia técnica resuelva la DTIC. Siendo que el Consejo Institucional de Centros de Gestión Informática, como órgano deliberativo en materia técnica, toma acuerdos que se pretende sean acatados por todos, no queda claro en la normativa a quien deben de someterse los resultados de las discusiones que se desarrollan en el seno de ese Consejo. Tampoco se indica, en el caso que surjan puntos de vista antagónicos, cual es la instancia que tendrá a cargo la determinación del criterio que va a privar. La situación comentada, de indefinición normativa, podría generar una percepción de que la labor desempeñada en ese órgano no aporta a la solución de los problemas reales que se enfrentan en la realización del trabajo, lo que podría resultar en desmotivación, crisis de autoridad y, en que no se logre la finalidad perseguida con la creación de esa instancia. 2.1.4. Acreditación de Centros de Gestión Informática. En el Manual de Organización de Centros de Gestión de Informática, en la sección de “factores claves de éxito” se menciona que: T:(506) 2501-8000 El Comité Gerencial de Tecnologías de Información y Comunicaciones, acreditará los diversos Centros de Gestión Informática, con base en la recomendación técnica de la Dirección de Tecnologías de Información y Comunicaciones. La Dirección de Tecnologías de Información y Comunicaciones, elaborará un Modelo de Acreditación para los Centros de Gestión Informática, para lo cual definirá los criterios técnicos requeridos y coordinará con la Dirección de Desarrollo Organizacional para complementar los modelos de acreditación F: (506) 2501-8100 C: Contralorí[email protected] Apdo.1179-1000. San José DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA ÁREA DE SERVICIOS SOCIALES 10 con aspectos organizacionales. En relación con lo anterior, es menester señalar que, como resultado de la revisión del mencionado documento, no se localizó una explicación de la razón para la acreditación de los Centros de Gestión Informática y tampoco una indicación del objetivo perseguido con ese proceso. Asimismo, cabe mencionar que en el Manual de Organización de Centros de Gestión de Informática se establecen dos modelos organizacionales: un modelo tipo A del Centro de Gestión Informática Gerencial y un modelo Tipo B Centro de Gestión Informática Regional y Local. De manera que no se justifica un proceso de acreditación en este caso pues la norma es determinante en cuanto a que un Centro de Gestión Informática clasifica en un modelo determinado dependiendo de su adscripción y no de sus características. En el estudio realizado se observó que la Dirección de Tecnologías de Información y Comunicaciones, presentó ante el Comité Gerencial de Tecnologías de Información, en la sesión 26-2008, celebrada el 5 de agosto del 2008, una propuesta de acreditación de Centros de Gestión Informática, indicando que eso permitiría clasificar los CGI en alguno de los modelos A y B, ya señalados. La propuesta no fue aprobada por esa instancia. Lo anterior indica la existencia de omisiones o inconsistencias en la normativa, que regula la organización de la función de gestión de las tecnologías de información, lo cual resulta inconveniente pues genera confusión dentro de la institución, situación que obstaculiza el adecuado ejercicio de la autoridad y que a la postre se podría reflejar en incumplimiento de funciones, sistemas de baja calidad y deficiencia en los servicios que se prestan. 2.2. Necesidad de integrar la gestión de TI. La CCSS tiene una organización compleja que, como se ha dicho, implica un gran número de dependencias, gran dispersión geográfica e incluso la existencia de desconcentración de hospitales y clínicas. Para el adecuado manejo de la institución se requiere integrar todas las dependencias, desde el punto de vista de la función informática, a pesar de su ubicación y naturaleza. El Manual de Organización de la Dirección de Tecnologías de Información y Comunicaciones, creó el Comité Gerencial de Tecnologías de Información y le asignó la responsabilidad de: T:(506) 2501-8000 F: (506) 2501-8100 C: Contralorí[email protected] Apdo.1179-1000. San José DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA ÁREA DE SERVICIOS SOCIALES 11 Impulsar la integración de las tecnologías de información y comunicaciones, con base en decisiones colegiadas y consensuadas, para lograr la unificación de criterios y de necesidades institucionales y maximizar los recursos institucionales. Propiciar la adecuada coordinación de los esfuerzos institucionales en tecnologías de información y comunicaciones, con base en los requerimientos institucionales, con la finalidad de evitar la duplicidad funcional y la subutilización de los recursos. Al respecto, también se le asigna a la Dirección de Tecnologías de Información y Comunicaciones la labor de ejercer autoridad técnica y funcional, mediante una amplia participación, retroalimentación y trabajo en equipo con las unidades de trabajo interactuantes, a nivel institucional. (Sección o punto 6.12 del Manual de Organización de la DTIC.) En la motivación del Manual de Organización de los Centros de Gestión Informática se indica que “Para lograr un desarrollo efectivo de las tecnologías de la información en la Institución, es fundamental que se realice un trabajo en equipo, con visión integral y enfoque sistémico, se coordinen acciones y actividades, se promueva la sinergia organizacional, y se respete la regulación y la normativa técnica institucional establecida.”. En relación con lo anterior se determinaron las siguientes situaciones: 2.2.1. Carencia de una supervisión a la labor de los CGI por parte de la DTIC. Con el propósito de garantizar la integración de los sistemas de información y el apego a las normas y procedimientos establecidos se le asigna a la Dirección de Tecnologías de Información y Comunicaciones, mediante el Área de Seguridad y Calidad Informática, la función de “asesorar y evaluar a los centros de gestión informática del nivel central, regional y local, de acuerdo con la regulación y normativa técnica, los protocolos, los estándares, las políticas y las estrategias vigentes en su ámbito de competencia, con la finalidad de lograr el desarrollo efectivo y verificar el cumplimiento efectivo (sic) de los lineamientos establecidos.”. (Sección 6.8.2 página 57 del Manual DTIC.) Esta labor resulta de gran importancia, pues por ese medio se pueden determinar oportunidades de fortalecimiento de la estructura informática institucional, en materia normativa, de capacitación, de infraestructura y en el desempeño de la organización como un todo. Al indagar sobre la labor de evaluación y supervisión realizada, por parte de la DTIC a Centros de Gestión Informática, se obtuvo copia de cinco informes realizados, a inicios del año 2008, en unos pocos CGI, los cuales responden a verificaciones específicas, asociadas a estudios de la Auditoría Interna, como colaboraciones o atención de recomendaciones. T:(506) 2501-8000 F: (506) 2501-8100 C: Contralorí[email protected] Apdo.1179-1000. San José DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA ÁREA DE SERVICIOS SOCIALES 12 En cuanto a la labor realizada por el Área de Seguridad y Calidad Informática, se observó que ha estado, mayormente, enfocada a la capacitación del personal de los Centros de Gestión Informática y a la revisión de los Planes de Continuidad en las Direcciones Regionales durante el año 2008 y 2009, mediante giras que realizó el personal de sus Subáreas de Aseguramiento de la Calidad y Continuidad de la Gestión. La explicación dada por el Área de Seguridad y Calidad Informática, de la carencia de supervisión a los CGI, es la falta de personal y de herramientas técnicas para esa labor. Al respecto, esta Contraloría General también determinó la falta de planes, de mediano plazo, diseñados para enfrentar esa situación y dar cabal cumplimiento a la función de supervisión asignada. En la gestión de las tecnologías de información en la CCSS, los Centros de Gestión Informática representan un elemento fundamental para el logro de los objetivos institucionales, por lo que la situación observada resulta preocupante, representando un seria deficiencia en el sistema de control interno que se contrapone a lo establecido en las normas 5.1 y 5.2 de las Normas Técnicas para la gestión y el control de las tecnologías de información. 2.2.2 Mejora al Catálogo de Aplicaciones (CAPI). La Dirección de Tecnologías de Información y Comunicaciones cuenta con un área denominada “Ingeniería de Sistemas” la cual, entre otras labores, tiene a cargo el desarrollo de sistemas de información que demande la institución. Sin embargo, la capacidad para desarrollar sistemas de información también la tienen los Centros de Gestión Informática, que se encuentran en los establecimientos y dependencias de la institución. Adicionalmente, en el caso de los hospitales y clínicas desconcentrados tienen, además la posibilidad de contratar con terceros el desarrollo de sistemas de información. Muchos de los establecimientos y dependencias tienen características similares, porque atienden necesidades o realizan procedimientos equivalentes, consecuentemente los sistemas de información requeridos guardan similitudes. Esta situación abre la posibilidad de que se presenten problemas de duplicación e incompatibilidad de sistemas, cuando por ejemplo son desarrollados sistemas similares por equipos de trabajo diferentes, con pautas técnicas o esquemas tecnológicos distintos. La duplicación de sistemas implica el doble esfuerzo de desarrollo y de costo institucional, a la vez que conlleva la dificultad de poder integrar la información o la sustitución de un sistema funcional, ocasionando un deterioro en la calidad, un costo innecesario y complicando la disponibilidad de la información, no solo a nivel operacional sino que también a nivel gerencial. Al respecto es importante mencionar que de acuerdo con el Manual de T:(506) 2501-8000 F: (506) 2501-8100 C: Contralorí[email protected] Apdo.1179-1000. San José DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA ÁREA DE SERVICIOS SOCIALES 13 Organización de la Dirección de Tecnologías de Información y Comunicaciones, el Área de Ingeniería de Sistemas tiene asignada la función de mantener un registro de los sistemas y las aplicaciones desarrolladas, con base en la normativa vigente para evitar la duplicidad y maximizar los recursos institucionales. La investigación realizada permitió determinar que en esa Área se lleva un registro de los sistemas de información, denominado Catálogo de Aplicaciones Institucionales (CAPI). Por su parte, el Manual de Organización de Centros de Gestión Informática establece la obligación de que los encargados de dichos centros reporten a la DTIC, la información de los sistemas en desarrollo para su registro. (Sección 6.7.1 página 34.) En encuesta realizada a los encargados de Centros de Gestión Informática se determinó que hay sistemas de información en desarrollo que no se encuentran registrados en el CAPI, por lo que dicho registro se encuentra desactualizado. Adicionalmente se determinó que el procedimiento para el registro de un sistema de información en el CAPI, consta de dos etapas, una en la que se solicita el aval para el desarrollo del sistema y una posterior de registro cuando el sistema se ha completado y se solicita información adicional. Esta situación presenta una complicación pues en ocasiones la información adicional no es remitida por el CGI y, consecuentemente, no se registra el sistema en el CAPI. Hay que indicar que se recibió información respecto a la creación de un nuevo instrumento para la realización de la labor de registro de los sistemas, el cual se encuentra en una etapa inicial de diseño. La situación comentada evidencia que la CCSS no cuenta con un instrumento idóneo que permita centralizar el control del desarrollo de sistemas de información, debido a que el registro que se tiene está desactualizado lo que no permite optimizar el empleo de los recursos técnicos institucionales. 2.2.3. Ausencia de un inventario de recursos. En el proceso de buscar que los participantes en la gestión de tecnologías de información actúen como una unidad, es de fundamental importancia determinar cuáles son las necesidades y capacidades de las dependencias responsables. Una herramienta que es de mucha utilidad para esa labor es un inventario de recursos, mediante el cual se conozca, los equipos con que cuenta cada unidad y sus características, los sistemas de información que tienen en uso, el personal que participa en las labores de gestión de tecnologías, etc. Esa información es muy importante para la planeación de las actividades y proyectos institucionales, de manera que un plan elaborado sin un adecuado conocimiento de las condiciones institucionales en tecnología de información, tiene poca o ninguna relación con la realidad. T:(506) 2501-8000 F: (506) 2501-8100 C: Contralorí[email protected] Apdo.1179-1000. San José DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA ÁREA DE SERVICIOS SOCIALES 14 El Plan de Implementación de Normas Técnicas para la Gestión y el Control de las Tecnologías de Información, aprobado en la sesión 27 del 25 de agosto 2008, por el Comité Gerencial de Tecnologías de Información y Comunicaciones, indica, en la línea 66, que se va a elaborar un “Inventario de Recurso TI”, labor que inició el 2 de junio de 2008 y que se espera finalizar 3 de diciembre de 2010. El 20 de abril de 2009, mediante el oficio No. P.E. 15.956, el Dr. Eduardo Doryan Garrón, Presidente Ejecutivo de la CCSS, remite a la Contraloría General de la República, el reporte del avance en el cumplimiento del Plan de Implementación de las “Normas Técnicas para la Gestión y el Control de las Tecnologías de Información”, indicando que al 31 de marzo de 2009 el “Inventario de Recurso TI” estaba en un 46%. Esto implica que las fases de planeación, conceptualización y clasificación se habían concluido en un 100%. Sin embargo, en el estudio realizado, la Dirección de Tecnologías de Información y Comunicaciones suministró como evidencia del trabajo realizado, un documento denominado “Proyecto Inventario Tecnologías de Información, Estudio Preliminar y de Factibilidad TIC-DIR-GBS-0004”, de febrero de 2009, el cual llega a justificar la necesidad de realizar el inventario de recursos pero no contiene elementos que se puedan considerar conceptualización o planeación de la solución de la carencia señalada. La situación comentada, señala que a pesar de que la necesidad de la elaboración de un inventario de recursos informáticos es apremiante para la CCSS, el avance observado al respecto no ha sido el programado. Lo cual es preocupante para esta Contraloría General en virtud de que ese proceso es un insumo base para enriquecer y mejorar la planeación institucional en materia de tecnologías de información, por lo que debe ser una labor prioritaria a resolver en el corto plazo. Al respecto, también en las Normas Técnicas para la Gestión y el Control de las Tecnologías de Información, en la norma 4.2 Administración y operación de la plataforma tecnológica, en el inciso d) señala la necesidad de “Controlar la composición y cambios de la plataforma y mantener un registro actualizado de sus componentes (hardware y software), custodiar adecuadamente las licencias de software y realizar verificaciones físicas periódicas.” 2.3. De la divulgación de las normas, políticas y otras regulaciones. La gestión de las tecnologías de información es un proceso que requiere de claridad en cuanto a su regulación y su aplicación práctica. Para la maximización del potencial institucional en el manejo de la información se requiere, además, que los participantes en el proceso tengan un adecuado conocimiento de ese marco regulatorio, con la finalidad de que puedan actuar en consonancia con los propósitos de la organización. Este conocimiento es un determinante de la calidad de la información que la institución pueda generar. Recientemente, la CCSS ha estado aprobando regulaciones, políticas, procedimientos, metodologías y guías para el ejercicio práctico de la gestión de T:(506) 2501-8000 F: (506) 2501-8100 C: Contralorí[email protected] Apdo.1179-1000. San José DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA ÁREA DE SERVICIOS SOCIALES 15 tecnologías de información. En el estudio se trató de verificar el proceso de divulgación de los instrumentos normativos de las tecnologías de información, proceso que se encuentra a cargo de la Dirección de Tecnologías de Información y Comunicaciones, y de las diferentes áreas que constituyen esa dirección. En el Manual de Organización de la DTIC se establece que cada una de las áreas debe: “Generar cultura informática en su ámbito de acción, conforme con los programas de capacitación, divulgación y concienciación, a efecto de facilitar y promover el uso de la tecnología disponible y lograr un desarrollo tecnológico institucional articulado.”. El desarrollo de la cultura informática es un proceso en el cual se requiere de la emisión de normativa que estandarice los desarrollos tecnológicos, pero también es necesario que el conocimiento se difunda y de alguna manera se garantice el correcto entendimiento de los fines perseguidos por esa normativa, por parte de los funcionarios responsables de participar en la ejecución de las labores. Esta tarea reviste mayor importancia en el caso de la CCSS, por tratarse de una institución con altos niveles de dispersión geográfica y desconcentración en la prestación de sus servicios. La DTIC utiliza el correo institucional para comunicarle a las unidades, que participan en el proceso de gestión de tecnologías de información, la normativa que se emite. Adicionalmente se utiliza el correo electrónico institucional y se pone a disposición del personal la normativa mediante la Internet. Sin embargo, los procesos de envío de la información no se documentan de manera adecuada. En el caso del correo institucional no queda evidencia de su utilización pues es un proceso informal en el que se deja el material en la Unidad de Comunicaciones y ésta la hace llegar a las dependencias destinatarias, pero no se documenta su recepción ni por el correo interno ni por el destinatario. Cuando se utiliza el correo electrónico tampoco queda un documento físico o digital que evidencie la remisión de la información. En encuesta realizada a una muestra de encargados de Centros de Gestión Informática la mayoría de funcionarios (70%, 21 de un total de 30 funcionarios que respondieron a la pregunta) indicaron que no recibieron inducción sobre nuevas normas y políticas emitidas. Situación que resulta preocupante pues en materia de gestión de tecnologías de información, el desconocimiento de las normas, políticas y procedimientos en materia de TI por parte de los funcionarios de los CGI, viene a aumentar el riesgo para la organización como un todo. En adición a lo anterior se determinó que no existen planes de divulgación que establezcan la manera en que la organización se va a asegurar que los funcionarios pertinentes conozcan y puedan aplicar de manera efectiva las normas, políticas y procedimientos. El único esfuerzo de divulgación de la normativa, del que se tuvo información (más allá de la simple remisión de los documentos) fue realizado por el Área de Seguridad y Calidad de la Información, que llevó a cabo una serie de giras para difundir algunos de los aspectos normativos en materia de tecnologías de información (TI). Sin embargo, tampoco se contó, en ese caso, con un esfuerzo debidamente planificado para realizar esa labor de divulgación. La situación comentada resulta preocupante pues se constituye en un T:(506) 2501-8000 F: (506) 2501-8100 C: Contralorí[email protected] Apdo.1179-1000. San José DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA ÁREA DE SERVICIOS SOCIALES 16 factor de riesgo institucional que puede perjudicar el desempeño de la CCSS en materia de TI y, consecuentemente el desempeño de la organización como un todo. Es importante señalar que el punto 1.1 de las Normas Técnicas para la gestión y control de las tecnologías de información establece de manera clara la necesidad de garantizarse que el personal comprenda la normativa a efecto de que coadyuve a logro de los objetivos institucionales, cuando se establece lo siguiente: “El jerarca debe traducir sus aspiraciones en materia de TI en prácticas cotidianas de la organización, mediante un proceso continuo de promulgación y divulgación de un marco estratégico constituido por políticas organizacionales que el personal comprenda y con las que esté comprometido.”. 2.4. De la dotación de personal En el estudio realizado se observó que la DTIC no ha podido realizar algunas de las funciones que le competen, como la supervisión de los Centros de Gestión Informática, en parte por la carencia de recurso humano. Hecho que fue reconocido por la DTIC mediante en el oficio No. TIC-1225-2008 del 11 de setiembre de 2008, en el cual solicita a la Gerencia de Infraestructura y Tecnologías más personal, argumentando lo siguiente: “ Esta solicitud es el resultado de un diagnóstico detallado, profundo y consciente, elaborado por cada una de las jefaturas de esta Subgerencia, quienes se dieron a la tarea de determinar de acuerdo con los procesos y subprocesos definidos en el manual de organización, que funciones estábamos dejando de atender por carencia de recursos humanos. Como es de su conocimiento, las labores que ejecutamos en esta Subgerencia están íntimamente ligadas al cumplimiento de los objetivos estratégicos institucionales, lo que ocasiona que los atrasos y limitaciones que por este tema enfrentemos en nuestros proyectos, tenga un impacto negativo en la gestión del resto de la institución.”. (El destacado no pertenece al original.) Esta solicitud comprendía un total de 127 plazas; 63 plazas para el Área 1153 de Ingeniería de Sistemas, 28 plazas para el Área 1154 de Soporte Técnico y 19 plazas para el Área 1152 de Seguridad y Calidad Informática. La petición fue aprobada parcialmente, según comunicación realizada por la Gerencia de Infraestructura y Tecnología en los siguientes términos: “Dentro de la Política Salarial y de Empleo de la Caja Costarricense de Seguro Social, para el año 2009, se aprobaron para la Gerencia de Infraestructura y Tecnologías varias plazas, de las cuales tomando en cuenta las necesidades de la Subgerencia (DTIC), se le asignaron 15 plazas a saber, T:(506) 2501-8000 F: (506) 2501-8100 C: Contralorí[email protected] Apdo.1179-1000. San José DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA ÁREA DE SERVICIOS SOCIALES 17 Operadores en TIC y Analistas en Sistemas 4 TIC.”. (El destacado y lo cerrado entre paréntesis es nuestro.) Resulta preocupante, a criterio de esta Contraloría General, que la DTIC no cuente con el recurso humano necesario para realizar las funciones que tiene a cargo. Sin embargo, también es preocupante que no se haya coordinado con la Dirección de Recursos Humanos un estudio que de manera técnica establezca las necesidades de personal de la DTIC. Cabe indicar que en el Manual de Organización de la Dirección de Tecnologías de Información y Comunicaciones, se incluye una sección, denominada “Factores claves del éxito”, que indica, entre otros aspectos, que: “La Dirección de Tecnologías de Información y Comunicaciones en coordinación con las instancias competentes: Gerencia División Administrativa, (Dirección de Recursos Humanos), Gerencia División Financiera, (Dirección de Presupuesto) y Gerencia División de Operaciones, (Dirección de Arquitectura e Ingeniería), debe elaborar, en un plazo de tres meses, un plan de acción, para implantar la estructura funcional y organizacional establecida y presentarlo al Comité Gerencial de Tecnologías de Información y Comunicaciones.”. (Ver página 157 del Manual. El destacado es nuestro.) De acuerdo con esto, uno de los factores de éxito es la coordinación con la Dirección de Recursos Humanos, evidentemente para la determinación del personal requerido para que la DTIC pueda llevar a cabo las labores encomendadas. Sin embargo no se obtuvo evidencia que indique que dicha coordinación se haya ejecutado. 2.5. Plan de Implementación de las Normas. El 7 de junio de 2007, la Contralora General de la República, emitió la Resolución R-CO-26-2007, mediante la cual se emitieron las “Normas técnicas para la gestión y el control de las tecnologías de información”. El artículo 6 de la resolución indica que la Administración deberá planificar las actividades necesarias para lograr una implementación efectiva y controlada de lo establecido en dicha normativa. La CCSS, presentó el Plan de Implementación de las Normas avalado por su Comité Gerencial de Tecnologías de Información el 25 de agosto de 2008. Este plan consta de 7 temas, compuestos por 333 tareas, las cuales se espera cumplir como fecha final el 7 de octubre de 2014. Con el propósito de evaluar el avance logrado en la ejecución del Plan de Implementación, se le solicitó a la Presidencia Ejecutiva de la CCSS la presentación de un informe al respecto, tomando como fecha de corte el 31 de marzo de 2009. El informe fue presentado mediante el oficio No. P.E. 15.956-09 del 20 de abril de 2009 y en éste se indica que el avance general de las todas las labores contempladas en dicho plan, a esa fecha de corte, es de un 51%, y para las actividades que estaba programado finalizar T:(506) 2501-8000 F: (506) 2501-8100 C: Contralorí[email protected] Apdo.1179-1000. San José DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA ÁREA DE SERVICIOS SOCIALES 18 antes de la fecha de corte el avance global equivale a un 97%. Para efecto de verificar el avance de las tareas contenidas en el Plan de Implementación se seleccionaron dos temas (que en total comprenden 18 tareas): la Gestión de la Calidad y Seguridad Informática y la Planificación y Organización de las TIC. El resultado del análisis de las tareas seleccionas fue el siguiente: a. Gestión de la calidad y seguridad informática. Este tema consta de 14 tareas de las cuales la mayoría corresponde a emisión de guías y procedimientos de trabajo y adquisición de herramientas de software. Según indica la Administración el avance al 31 de marzo de 2009, era de un 99%. En el estudio se analizaron las 14 tareas del tema de la gestión de la calidad y seguridad informática, cuatro de las catorce tareas presentan algunas inconformidades respecto a su grado de avance, lo cual se comenta a continuación. La evaluación de la tarea denominada “Construcción de Riesgos nivel estratégico” se reporta como concluida o sea con un 100% de cumplimiento, sin embargo, el estudio indica que a la fecha de corte aún se encontraba en etapa de aprobación, pues la Junta Directiva no había otorgado aprobación al mapa de riesgos elaborados por la institución. Además no se encontró evidencia de que hubieran realizado las actividades de divulgación y actualización. En lo que respecta a la tarea denominada “Inventario institucional de recursos TI”, que consta a su vez de las tareas de planeación, conceptualización y clasificación, se reporta un cumplimiento del 100%. La evidencia indica que estas tareas se encuentran todavía en ejecución y que lo realizado es un estudio de prefactibilidad, lo cual no corresponde a ninguna de las labores mencionadas. La tarea denominada “Plan de divulgación marco de seguridad”, se indica que se encuentra en un 100% de avance, en lo que respecta a la construcción y aprobación. Sin embargo, no se obtuvo evidencia de que existiera un plan debidamente aprobado. Se obtuvo evidencia de la existencia de una propuesta de plan de divulgación de las políticas institucionales de seguridad, pero no se encontró evidencia de su oficialización. Además, la propuesta de plan de divulgación revisada carece de datos esenciales como los responsables y el cronograma de actividades. En el caso de la tarea denominada “Manual de elaboración planes de continuidad de la gestión”, se indica que se cumplió el 100% de lo propuesto. Al respecto es importante indicar que el manual actualmente en uso fue aprobado por el Comité Gerencial de Tecnologías de Información, en la sesión 23, realizada el 30 de octubre de 2007, de manera que al momento de hacer el plan de implementación que nos ocupa, la única labor pendiente era la de divulgación de ese manual. No se obtuvo evidencia del proceso de divulgación llevado a cabo, sin embargo, a la fecha del presente estudio el Área de Seguridad y Calidad Informática se encontraba en la labor de verificación de los planes de continuidad de la gestión elaborados por las diferentes dependencias de la institución y del avance logrado al respecto. T:(506) 2501-8000 F: (506) 2501-8100 C: Contralorí[email protected] Apdo.1179-1000. San José DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA ÁREA DE SERVICIOS SOCIALES 19 De lo comentado se observa que las tareas verificadas del Plan de Implementación, en su mayoría presentan un avance aceptable pero en los casos comentados el porcentaje de avance reportado no coincide con lo observado en la realidad. Las restantes tareas (10) se han venido cumpliendo, sin embargo, es importante indicar que en algunos de los casos los plazos establecidos en el plan de implementación resultan excesivos. Por ejemplo, las tareas de: “Herramienta control y Divulgación de Políticas”, finaliza el 31 de mayo de 2012; “Procedimientos para desecho y reciclaje de equipo”, finaliza hasta el 6 de octubre de 2011 y “Adquisición de herramienta de encriptación de datos”, finaliza el 15 de diciembre de 2011, lo que es inconveniente si se observa que algunas de las tareas son fundamentales para el adecuado desempeño de las labores de gestión de las tecnologías de información institucionales. b. Planificación y organización de las TIC. Este tema se segregó en 4 tareas, de las cuales se analizaron las denominadas “Implementación Evaluación del PETI” y “Modelo de arquitectura de información e infraestructura tecnológica”. En cuanto a la Implementación de la Evaluación del PETI se observó que se han realizado dos evaluaciones al avance del Plan Estratégico de Tecnologías de Información, una en abril y otra en noviembre de 2008. Este resultado corresponde al 100% de lo establecido en el Plan de Implementación de las Normas Técnicas, según se confirmó. En lo que corresponde al Modelo de arquitectura de información e infraestructura tecnológica, según el Plan de Implementación, lo realizarían mediante varias tareas de las cuales a la fecha de corte debieron estar concluidas: la elaboración de un modelo de arquitectura de sistemas y un procedimiento para la implementación y gestión de infraestructura tecnológica. Esas labores se desarrollarían entre el 18 de agosto de 2008 y el 7 de noviembre de 2008. Mediante el oficio P.E. 15.956-09, mencionado anteriormente, se reporta que el avance logrado por la CCSS en la ejecución de esa tarea, al 31 de marzo de 2009, es del 100% de realización de las labores correspondientes. En el estudio realizado, al solicitar la información relativa al avance de ese plan de implementación se constató que se han realizado progresos en cuanto a este punto, como es el desarrollo de los siguientes documentos: Estrategia de Arquitectura de Integración de Aplicaciones, Esquema de Integración y formularios de proyectos. Además se cuenta con un documento denominado Modelo de Datos Institucional. Respecto a los documentos suministrados, ninguno corresponde al Modelo de Arquitectura de Información, que según el Cobit, en el apartado “P02”, está constituido por el Diccionario Corporativo de Datos, las Reglas de Sintaxis de datos de la organización, Esquema de Clasificación de Datos y Niveles de Seguridad. Los documentos aportados corresponden a procesos que generan algunos de los insumos necesarios para la T:(506) 2501-8000 F: (506) 2501-8100 C: Contralorí[email protected] Apdo.1179-1000. San José DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA ÁREA DE SERVICIOS SOCIALES 20 elaboración del Diccionario Corporativo de Datos de la CCSS. En el caso del Modelo de Datos Institucional, que nos fue suministrado, corresponde a un documento elaborado hace muchos años, el cual se encuentra obsoleto. El Esquema de Integración, solo hace referencia a los sistemas de información de la Dirección de Tecnologías de Información y Comunicaciones, ignorando la existencias de otros sistemas de información en las otras Divisiones de la CCSS. Por lo anterior, resulta evidente que el avance logrado, en cuanto al desarrollo del Modelo de arquitectura de información e infraestructura tecnológica, es muy escaso, por lo que afirmar un 100% de logro es incorrecto, pues esa tarea se encuentra en una etapa inicial. Con respecto al Plan de Implementación de las Normas propuesto por la CCSS, como un todo, la presencia de atrasos en la ejecución de las tareas resulta preocupante, en cuanto al logro de las metas propuestas en el plazo establecido. Esta situación resulta inconveniente, pues uno de los objetivos de la Resolución R-CO-26-2007 es el mejoramiento de la gestión de esas tecnologías mediante el uso de los controles básicos establecidos en las normas que se pretende implementar, por lo que el atraso en la ejecución del plan representa una vulnerabilidad y exposición al riesgo en materia de tecnologías. 3. CONCLUSIÓN. La Caja Costarricense de Seguro Social es una institución con características muy propias, como su gran magnitud, su dispersión geográfica y sus recientes procesos de desconcentración. En este momento enfrenta el reto de brindar servicios en el ámbito de la salud, con la debida oportunidad, de calidad y a ciudadanos cada vez más exigentes, que pertenecen a una sociedad muy bien informada y con mayores aspiraciones, en cuanto a los servicios que recibe. Es por eso que el desempeño institucional en materia de tecnologías de información se ha convertido en un aspecto muy importante a tener en cuenta, para agilizar y optimizar el manejo administrativo y la prestación de los servicios que por ley le corresponde brindar. En el estudio realizado, se observa que las intenciones de mejora en torno al tema de las tecnologías de información y comunicación son evidentes, sin embargo, no se aprecia que se progrese ni con la rapidez ni con la calidad necesarias. La gestión de tecnologías de información debe verse como una labor de equipo, en la que si bien participan gran cantidad de dependencias y unidades, su orientación y actuación debe ser muy clara, integral, coordinada y uniforme, a fin de que la institución no realice esfuerzos dispersos que no contribuyen efectivamente al logro de los objetivos institucionales. Con las posibilidades que proporcionan los avances tecnológicos en la actualidad, a partir del desarrollo que se tiene en materia de redes, internet y telemática, los límites institucionales se desvanecen, para dar paso a procesos en los cuales se requiere repensar y rediseñar a fin de materializar dichas potencialidades. Las tecnologías de información y comunicaciones, son hoy día un pilar fundamental sobre el cual las instituciones construyen toda la plataforma institucional que les permite alcanzar con la celeridad y oportunidad los estándares de servicios que son su razón de ser, por lo que su T:(506) 2501-8000 F: (506) 2501-8100 C: Contralorí[email protected] Apdo.1179-1000. San José DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA ÁREA DE SERVICIOS SOCIALES 21 adecuada administración le permitirá a la organización la eficiencia y eficacia en la prestación de los servicios que el país realmente requiere. Las debilidades señaladas en este informe, relativas a la necesidad de armonizar el marco normativo e integrar la función de gestión de las TIC, así como la falta de una planificación estratégica y operativa debidamente elaborada para orientar el proceso de desarrollo de sistemas y para realizar un proceso efectivo de divulgación de la normativa que regula el accionar institucional de las TI, la falta de dotación del personal necesario para lograr una adecuada operación de esa vertiente institucional y al plan de implementación de las normas técnicas para la gestión y control de las tecnologías de información, están incidiendo negativamente en la gestión global que realiza la CCSS de cara a una sociedad que demanda excelencia en la prestación de los servicios de salud. La falta de normas claras que regulen la participación de los diferentes involucrados en los sistemas de información, la falta de cohesión entre esos participantes y la carencia de una clara visión de futuro, son elementos que están afectando de manera profunda la calidad de la información de la CCSS, y consecuentemente la calidad de los servicios que ésta presta a la sociedad costarricense. 4. DISPOSICIONES. De conformidad con las competencias asignadas en los artículos 183 y 184 de la Constitución Política, los artículos 12 y 21 de la Ley Orgánica de la Contraloría General de la República, No. 7428, y el artículo 12 inciso c) de la Ley General de Control Interno, No. 8292, y con el propósito de que la gestión de tecnologías de información y comunicación en la Caja Costarricense de Seguro Social avance hacia su consolidación y en un afán de que se mejore el servicio que la institución brinda a la población del país, se emiten las siguientes disposiciones, las cuales son de acatamiento obligatorio y deberán ser cumplidas dentro del plazo y en los términos conferidos para ello, por lo que su incumplimiento no justificado constituye causal de responsabilidad. Este órgano contralor se reserva la posibilidad de verificar, mediante los medios que considere pertinentes, la efectiva implementación de las disposiciones emitidas, así como de valorar la aplicación de los procedimientos administrativos que correspondan, en caso de incumplimiento injustificado de tales disposiciones. 4.1. A la Junta Directiva. a) Girar las instrucciones necesarias a quien corresponda, en el plazo máximo de quince (15) días hábiles, contados a partir de la fecha de recibo de este informe, con el propósito de que de inmediato se realice una revisión integral de los manuales de organización de la Dirección de Tecnologías de Información y Comunicaciones y de los Centros de Gestión Informática con el fin de efectuarles los ajustes pertinentes para armonizar ambos instrumentos normativos de manera que se establezca con claridad lo siguiente: i. T:(506) 2501-8000 La instancia responsable de decidir cuando un sistema de información F: (506) 2501-8100 C: Contralorí[email protected] Apdo.1179-1000. San José DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA ÁREA DE SERVICIOS SOCIALES 22 debe ser desarrollado por la Dirección de Tecnologías de Información y Comunicaciones y cuando esa labor puede ser delegada a un Centro de Gestión Informática, así como los criterios técnicos asociados a los sistemas por desarrollar que esa instancia debe tomar en cuenta para esa toma de decisiones . (Ver comentario 2.1.1. de este informe.) ii. El papel, autoridad y responsabilidad del Comité Gerencial de Tecnologías de Información. (Ver comentario 2.1.2. de este informe.) iii. La instancia a la cual deben comunicarse los acuerdos que tome el Consejo Institucional de Centros de Gestión Informática, y la que resolverá cuando se presenten diferencias de criterio significativas entre los participantes de dicho Consejo Institucional. (Ver comentario 2.1.3. de este informe.) iv. La necesidad y propósito de llevar a cabo la acreditación de los Centros de Gestión Informática, las pautas necesarias para realizar esa acreditación y los plazos para lograr esa tarea. (Ver comentario 2.1.4. de este informe.) b) Para efectuar las labores de revisión y ajustes mencionadas, se concede un plazo que vence el 30 de noviembre del año en curso, fecha en la cual se deberá informar detalladamente a esta Contraloría General sobre los resultados de esas labores. . 4.2. AL PRESIDENTE EJECUTIVO. a) Ordenar a quienes corresponda la realización de un estudio de las necesidades de recursos humanos de la Dirección de Tecnologías de Información y Comunicaciones, y con base en los resultados de ese estudio diseñar e implementar un plan de fortalecimiento suficientemente detallado, con actividades, plazos, responsables, etc., para dotar a esa dirección, en el menor plazo posible, del personal que tenga la capacidad técnica necesaria para realizar a cabalidad todas las labores que le han sido asignadas. i. Las órdenes a que se refiere esta disposición deberán ser giradas por ese Despacho en el plazo máximo de quince (15) días hábiles, contados a partir de la fecha de recibo de este informe, y se deberá remitir a este órgano contralor, al término de ese plazo, una copia de los documentos que contengan las órdenes giradas. ii. Para la realización del estudio aquí dispuesto se concede un plazo máximo de 90 días calendario, contados también a partir de la fecha de recibo del presente informe. iii. Para efectuar el diseño del plan mencionado y dar inicio a su implementación, se otorga un plazo máximo de 150 días calendario, contados en la misma forma indicada en los incisos i. y ii. anteriores, al término de los cuales se deberá remitir, respectivamente, a este órgano contralor, copia del informe que contiene los resultados del estudio y el plan de fortalecimiento de recursos humanos de la DTIC. (Ver comentario 2.4. de este informe.) b) Girar las instrucciones necesarias a quien corresponda con el propósito de T:(506) 2501-8000 F: (506) 2501-8100 C: Contralorí[email protected] Apdo.1179-1000. San José DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA ÁREA DE SERVICIOS SOCIALES 23 que de inmediato se proceda a realizar una revisión minuciosa de las actividades incluidas en el plan de implementación de las Normas Técnicas para la Gestión y el Control de las Tecnologías de Información, a fin de obtener una visión clara de las labores por realizar, incorporar en el plan aquellas actividades necesarias para la implementación de las normas y que éste no contenga, determinar las acciones correctivas que deben efectuarse en el corto plazo para cumplir dicho plan y, asimismo, establecer la asignación de recursos indispensables para garantizar el logro de los objetivos planteados en ese instrumento de planificación. Además, como parte de dicha labor, deberán revisarse los plazos concedidos para las diferentes tareas así como las prioridades establecidas para su realización, con la finalidad de, en la medida de lo posible, agilizar los procesos de integración. i. Las instrucciones a que se refiere esta disposición deberán ser giradas por ese Despacho en el plazo máximo de quince (15) días hábiles, contados a partir de la fecha de recibo de este informe y se deberá remitir a este órgano contralor, al término de ese plazo, una copia de los documentos que contengan tales instrucciones. ii. Para efectuar las labores de revisión y ajustes mencionadas, se concede un plazo que vence el 30 de noviembre del año en curso, y en un plazo de diez (10) días hábiles, contados a partir de esta última fecha, se deberá remitir a esta Contraloría General, el cronograma ajustado del plan de implementación de las normas con la indicación de las actividades, plazos, productos esperados y responsables, para cada una de las tareas. (Ver comentario 2.5. de este informe.) 4.3 A LA DIRECCIÓN DE TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIONES. a) Establecer, a más tardar el 30 de noviembre de 2009, la estrategia y el plan de acción detallados necesarios para lograr en año 2011 el cabal cumplimiento de la función de supervisión a los Centros de Gestión Informática, lo cual debe incluir la determinación de cual va a ser la instancia institucional a la que se le informarán los resultados de esas supervisiones a fin de que se logre cumplir en su totalidad la normativa interna y reducir los riesgos institucionales. i. De los documentos que definen dicha estrategia y plan de acción deberá remitirse copia a esta Contraloría General a más tardar el 14 de diciembre de 2009. (Ver comentario 2.2.1. de este informe.) b) Girar instrucciones a quien corresponda con el fin de que se diseñen e implementen los mecanismos necesarios para que se mantengan debidamente actualizados el registro de aplicaciones informáticas institucionales y el inventario de recursos de TI, a fin de que sirvan como insumo para la toma de decisiones y la elaboración de los planes institucionales relativos de la gestión de tecnologías de información, y faciliten la integración de las diferentes instancias que participan en la función de TI, así como la centralización de la información relativa a los sistemas de información. i. Las instrucciones a que se refiere esta disposición deberán ser giradas por ese Despacho en el plazo máximo de quince (15) días hábiles, contados a T:(506) 2501-8000 F: (506) 2501-8100 C: Contralorí[email protected] Apdo.1179-1000. San José DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA ÁREA DE SERVICIOS SOCIALES 24 partir de la fecha de recibo de este informe y se deberá remitir a este órgano contralor, al término de ese plazo, una copia de los documentos que contengan tales instrucciones. ii. Para efectuar las labores de diseño de los mecanismos citados y dar inicio a su implementación, se concede un plazo que vence el 30 de setiembre del año en curso, fecha en la cual se deberá remitir a esta Contraloría General un detalle de los mecanismos diseñados y su respectivo plan de implementación. (Ver comentarios 2.2.2. y 2.2.3. de este informe.) c) Formular, a más tardar el 30 de noviembre de 2009, una estrategia y un plan de acción detallados para llevar a cabo una efectiva divulgación del marco normativo que regula la actividad de TI, que garantice por un lado que el personal esté informado oportunamente de la emisión de las normas, políticas u otras regulaciones, y por otra parte su comprensión para facilitar el cumplimiento de las mismas. i. Deberá remitirse copia a este órgano contralor de los documentos institucionales que definan dicha estrategia y plan de acción, a más tardar el 14 de diciembre de 2009. (Ver comentario 2.3. de este informe). La información que se solicita en este informe, así como cualquier otro trámite para acreditar el cumplimiento de las disposiciones antes consignadas, deberán dirigirse, dentro de los plazos fijados en el presente apartado 4, al Área de Seguimiento de Disposiciones de este órgano contralor. Además, en un plazo no mayor de cinco días hábiles contados a partir de la fecha en que el presente informe sea entregado a cada entidad, se deberá proceder a designar y a comunicarle al Área de Seguimiento de Disposiciones, el nombre del funcionario que fungirá como contacto o enlace oficial, con autoridad para informar sobre el avance y cumplimiento de las disposiciones correspondientes. En caso de incumplimiento injustificado, será considerado como falta grave y podría dar lugar a la aplicación de las sanciones previstas en el artículo 69 de la Ley Orgánica de la Contraloría General de la República, con garantía del debido proceso. De conformidad con lo establecido por el artículo 342 y siguientes de la Ley General de la Administración Pública, contra el presente acto caben los recursos de revocatoria y apelación, que deberán ser interpuestos dentro del tercer día a partir de la fecha de recibo de la presente comunicación, correspondiéndole a esta Área de Fiscalización la resolución de la revocatoria y a la Contralora General de la República, la apelación. Asimismo, contra este acto cabe el recurso extraordinario de revisión ante la Contralora General de la República, el cual debe formularse en los términos y plazos que señalan los artículos 353 y 354 de la indicada Ley General de la Administración Pública. T:(506) 2501-8000 F: (506) 2501-8100 C: Contralorí[email protected] Apdo.1179-1000. San José DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA ÁREA DE SERVICIOS SOCIALES 25 T:(506) 2501-8000 F: (506) 2501-8100 C: Contralorí[email protected] Apdo.1179-1000. San José DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA ÁREA DE SERVICIOS SOCIALES 26 ANEXO 2 ESTUDIOS EMITIDOS POR LA UNIDAD DE AUDITORIA INTERNA ANALIZADOS DURANTE EL ESTUDIO. Informe N° Fecha Tema del estudio AGL-370-R2007 30/11/2007 Informe referente a la evaluación de la información contenida en el Sistema Integrado de Pensiones (SIP). AI-100-A2007 14/02/2007 Seguimiento al Informe DFOE-SA-29-2006 sobre la Evaluación de los controles específicos de los Sistemas de Información Financiera SICO Y ADS que apoyan la generación de los Estados Financieros en la CCSS AI-202-R2007 19/04/2007 Informe referente al desempeño actual del Sistema Centralizado de Recaudación (SICERE) y su plataforma tecnológica. AI-251-R2007 28/05/2007 Seguimiento de condicionamientos del oficio 13900 del 2 de octubre 2006 sobre el Contrato de Servicios de Recaudación de cuotas Obrero-Patronales entre la CCSS y el BCR. AI-260-R2007 12/06/2007 Informe Referente a la revisión de la Estructura Organizacional y Estado de Proyectos de la Dirección de Tecnologías de Información y Comunicaciones. AI-261-A2007 14/06/2007 Estudio sobre la integridad de datos del Sistema Plataforma Institucional de Cajas de la sucursal de San Joaquín de Flores AI-267-R2007 27/06/2007 Informe referente a la evaluación sobre los procedimientos de contratación administrativa e implementación de sistemas de información en salud en el Hospital San Juan de Dios. AI-388-R2007 11/12/2007 Informe referente al proceso de implementación de soluciones informáticas para la automatización de servicios de salud en la caja costarricense de seguro social. Gerencia División Médica (donación software Medisys) ATIC-007-R2008 22/01/2008 Informe referente a la infraestructura de telecomunicaciones existente en el Hospital San Juan de Dios. ATIC-051-A2008 15/04/2008 Evaluación referente a la gestión de la seguridad física de las tecnologías de información administradas por la Clínica Dr. Carlos Durán Cartín. ATIC-052-R2008 17/04/2008 Informe referente a la gestión gerencial de tecnologías de información y comunicaciones del Centro de Gestión Informática del Hospital Nacional de Niños. ATIC-056-R2008 21/04/2008 Estudio especial referente al proyecto de renovación de la plataforma institucional de procesamiento de servicios, aplicaciones y base de datos, Dirección de Tecnologías de Información y Comunicaciones. T:(506) 2501-8000 F: (506) 2501-8100 C: Contralorí[email protected] Apdo.1179-1000. San José DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA ÁREA DE SERVICIOS SOCIALES 27 ATIC-057-R2008 ATIC-073-A2008 24/04/2008 14/05/2008 Informe referente a la donación de los productos de software medisys® realizada por la Fundación CR-USA. Informe Referente a la Gestión de Riesgos de la Dirección de Tecnologías de Información y Comunicaciones. ATIC-086-R2007 29/05/2008 Informe sobre las acciones realizadas para la adquisición de tecnologías utilizadas en las videoconferencias y telemedicina del programa de tele salud proyecto de fortalecimiento y modernización del sector salud. ATIC-130-A2008 30/06/2008 Informe referente a la situación actual de las políticas de seguridad informática en la Caja Costarricense de Seguro Social ATIC-167-R2008 08/09/2008 Gestión del Proyecto: Sistema de Identificación, Agendas y Citas (SIAC) Dirección de Tecnologías de Información y Comunicaciones. ATIC-195-R2008 08/10/2008 Informe Referente a la Implementación de las Políticas y Normas relativas al Plan de Continuidad de la Gestión de Tecnologías de Información en la CCSS ATIC-201-A2008 ATIC-243-R2008 16/10/2008 18/12/2008 T:(506) 2501-8000 Estudio Referente a la Gestión de las incidencias y existencia de bitácoras del Sistema Centralizado de Recaudación (SICERE) Informe sobre la implementación del proceso de remuneración Sistema Integrado De Recursos Humanos (SIRH) F: (506) 2501-8100 C: Contralorí[email protected] Apdo.1179-1000. San José DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA ÁREA DE SERVICIOS SOCIALES 28 ANEXO 3 DEFICIENCIAS DETERMINADAS EN LOS INFORMES DE AUDITORIA INTERNA ANALIZADOS DURANTE EL ESTUDIO Deficiencias relacionadas con: PLANIFICACION DE LOS SISTEMAS PROCEDIMIENTOS DE SEGURIDAD FUNCIONAMIENTO DE LOS CENTROS DE GESTIÓN INFORMATICA APLICACIÓN DE NORMATIVA SOBRE INFRAESTRUCTURA INTEGRACIÓN DE SISTEMAS DE INFORMACIÓN METODOLOGIA PARA DISEÑO BASES DE DATOS ASIGNACIÓN DE PERSONAL TÉCNICO PARA IMPLEMENTAR PROYECTOS ORGANIZACIÓN (FUNCIONES Y ESTRUCTURA) USUARIOS, CAPACITACIÓN Y CONCIENTIZACIÓN TOTAL GENERAL T:(506) 2501-8000 F: (506) 2501-8100 C: Contralorí[email protected] Frecuencia 27 22 11 11 10 8 3 2 1 95 Apdo.1179-1000. San José DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA ÁREA DE SERVICIOS SOCIALES 29 GRÁFICO # 1 Distribución de frecuencia de hallazgos según los Informes Auditoría Interna Según Tipo de Deficiencia 2007 y 2008 3 2 1 8 27 10 11 22 11 PLANIFICACION DE LOS SISTEMAS PROCEDIMIENTOS DE SEGURIDAD FUNCIONAMIENTO DE LOS CENTROS DE GESTIÓN INFORMATICA APLICACIÓN DE NORMATIVA SOBRE INFRAESTRUCTURA INTEGRACIÓN DE SISTEMAS DE INFORMACIÓN METODOLOGIA PARA DISEÑO BASES DE DATOS ASIGNACIÓN DE PERSONAL TÉCNICO PARA IMPLEMENTAR PROYECTOS ORGANIZACIÓN (FUNCIONES Y ESTRUCTURA) USUARIOS, CAPACITACIÓN Y CONCIENTIZACIÓN T:(506) 2501-8000 F: (506) 2501-8100 C: Contralorí[email protected] Apdo.1179-1000. San José DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA ÁREA DE SERVICIOS SOCIALES 30 T:(506) 2501-8000 F: (506) 2501-8100 C: Contralorí[email protected] Apdo.1179-1000. San José
