MINISTERIO DE OBRAS PÚBLICAS Y TRANSPORTES AUDITORÍA GENERAL

INFORME DE CONTROL INTERNO Nº AG-I-15-2014

ANÁLISIS DE LOS SISTEMAS INFORMÁTICOS DE LA DIRECCIÓN DE LA GESTIÓN INSTITUCIONAL DE RECURSOS HUMANOS DEL MOPT.

MARZO - 2014

 2523-2639 // 2222-0464 Fax:2222-8310 E-mail [email protected] 10176-1000 San José

INDICE 1. Introducción ............................................................................................... 1 1.1. Origen del estudio .................................................................................. 1 1.2. Normativa sobre trámite de Informes ................................................ 1 1.3. Objetivos .................................................................................................. 2 1.3.1. Objetivo General ............................................................................ 2 1.3.2. Objetivos Específicos ...................................................................... 3 1.4. Alcance del estudio .............................................................................. 3 1.5. Procedimientos ejecutados ................................................................. 3 1.6. Normativa aplicable .............................................................................. 3 1.7. Comunicación de Resultados.............................................................. 4 1.8. Riesgo ....................................................................................................... 4 2. Resultados................................................................................................... 6 2.1. Generalidades de la Unidad de Informática de la DGIRH ............. 6 2.2. Identificar los Sistemas Informáticos que tiene la DGIRH del MOPT y la forma como la Unidad de Recursos Humanos lleva a cabo su administración. ............................................................................... 8 2.3. Verificar el funcionamiento de los sistemas desarrollados por la Unidad de Informática de la DGIRH ........................................................ 10 2.4. Determinar la relación que tiene la Unidad de Recursos Humanos de la DGIRH con la Dirección de Informática. ..................... 13 3. Conclusiones. ........................................................................................... 15 4. Recomendaciones .................................................................................. 17 Anexos 1 ....................................................................................................... 19

MINISTERIO DE OBRAS PÚBLICAS Y TRANSPORTES AUDITORÍA GENERAL INFORME DE CONTROL INTERNO Nº AG-I-15-2014 ANÁLISIS DE LOS SISTEMAS INFORMÁTICOS DE LA DIRECCIÓN DE LA GESTIÓN INSTITUCIONAL DE RECURSOS HUMANOS DEL MOPT

1.-

INTRODUCCIÓN

1.1.- ORIGEN DEL ESTUDIO El estudio se realizó de conformidad con las competencias que ostenta la Auditoría General, de acuerdo con lo estipulado en el Artículo 22, incisos a) y b) de la Ley General de Control Interno. En cumplimiento del Plan de Trabajo 2014, se efectuó una revisión y análisis de los programas informáticos de la Dirección de Recursos Humanos del MOPT. 1.2.- NORMATIVA SOBRE TRÁMITE DE INFORMES Por disposición de la Contraloría General de la República, se indica a la Administración, la obligación de cumplir con los siguientes artículos de la Ley General de Control Interno, relacionados con los informes de las auditorías internas: “Artículo 36.-Informes dirigidos a los titulares subordinados. Cuando los informes de auditoría contengan recomendaciones dirigidas a los titulares subordinados, se procederá de la siguiente manera: a)El titular subordinado, en un plazo improrrogable de diez días hábiles contados a partir de la fecha de recibido el informe, ordenará la implantación de las recomendaciones. Si discrepa de ellas, en el transcurso de dicho plazo elevará el informe de auditoría al jerarca, con copia a la auditoría interna, expondrá por escrito las razones por las cuales objeta las recomendaciones del informe y propondrá soluciones alternas para los hallazgos detectados. b)Con vista de lo anterior, el jerarca deberá resolver, en el plazo de veinte días hábiles contados a partir de la fecha de recibo de la documentación remitida por el titular subordinado; además, deberá ordenar la implantación de recomendaciones de la auditoría interna, las soluciones alternas propuestas por el titular subordinado o las de su propia iniciativa, debidamente fundamentadas. Dentro de los primeros diez días de ese lapso, el auditor interno podrá apersonarse, de oficio, ante el jerarca, para pronunciarse sobre las objeciones o soluciones alternas propuestas. Las soluciones que el jerarca ordene implantar y

1.-

Ministerio de Obras Públicas y Transportes Auditoría General

Informe de Control Interno No. AG-I-15-2014

c)que sean distintas de las propuestas por la auditoría interna, estarán sujetas, en lo conducente, a lo dispuesto en los artículos siguientes. d)El acto en firme será dado a conocer a la auditoría interna y al titular subordinado correspondiente, para el trámite que proceda. Artículo 37.- Informes dirigidos al jerarca. Cuando el informe de auditoría esté dirigido al jerarca, éste deberá ordenar al titular subordinado que corresponda, en un plazo improrrogable de treinta días hábiles contados a partir de la fecha de recibido el informe, la implantación de las recomendaciones. Si discrepa de tales recomendaciones, dentro del plazo indicado deberá ordenar las soluciones alternas que motivadamente disponga; todo ello tendrá que comunicarlo debidamente a la auditoría interna y al titular subordinado correspondiente. Artículo 38.- Planteamiento de conflictos ante la Contraloría General de la República. Firme la resolución del jerarca que ordene soluciones distintas de las recomendadas por la auditoría interna, ésta tendrá un plazo de quince días hábiles, contados a partir de su comunicación, para exponerle por escrito los motivos de su inconformidad con lo resuelto y para indicarle que el asunto en conflicto debe remitirse a la Contraloría General de la República, dentro de los ocho días hábiles siguientes, salvo que el jerarca se allane a las razones de inconformidad indicadas. La Contraloría General de la República dirimirá el conflicto, en última instancia, a solicitud del jerarca, de la Auditoría Interna o de ambos, en un plazo de treinta días hábiles, una vez completado el expediente que se formará al efecto. El hecho de no ejecutar injustificadamente lo resuelto en firme por el órgano contralor dará lugar a la aplicación de las sanciones previstas en el Capítulo V de la Ley Orgánica de la Contraloría General de la República, N°7428, de 7 de setiembre de 1994. Artículo 39.- Causales de responsabilidad administrativa. El jerarca y los titulares subordinados incurrirán en responsabilidad administrativa y civil, cuando corresponda, si incumplen injustificadamente los deberes asignados en esta Ley, sin perjuicio de otras causales previstas en el régimen aplicable a la respectiva relación de servicios. El jerarca, los titulares subordinados y los demás funcionarios públicos, incurrirán en responsabilidad administrativa, cuando debiliten con sus acciones el sistema de control interno u omitan las actuaciones necesarias para establecerlo, mantenerlo, perfeccionarlo y evaluarlo, según la normativa técnica aplicable. (…)”

1.3.- OBJETIVOS 1.3.1.- OBJETIVO GENERAL Verificar la funcionalidad técnica y operativa de los Sistemas Informáticos de la Dirección de Recursos Humanos del MOPT que utiliza el personal de la Institución.

2.-

Ministerio de Obras Públicas y Transportes Auditoría General

Informe de Control Interno No. AG-I-15-2014

1.3.2.- OBJETIVOS ESPECÍFICOS 1.3.2.1.-Identificar los Sistemas Informáticos que tiene la Dirección de Recursos Humanos del MOPT y la forma como la Unidad Informática de Recursos Humanos lleva a cabo su administración. 1.3.2.2.- Verificar el funcionamiento de los sistemas desarrollados por la Unidad de Informática de Recursos Humanos. 1.3.2.3.-Determinar la relación que tiene la Unidad de Informática de Recursos Humanos con la Dirección de Informática del MOPT. 1.4.-ALCANCE DEL ESTUDIO El estudio comprende el análisis y revisión de los Sistemas Informáticos de la Dirección de Recursos Humanos del MOPT a la fecha y la documentación que se brinda durante el proceso del estudio. 1.5.- PROCEDIMIENTOS EJECUTADOS El procedimiento utilizado para alcanzar los objetivos propuestos en este estudio comprende la metodología establecida en el Manual de Normas General de Auditoría para el Sector Público (Aprobado mediante Resolución del Despacho de la Contraloría General de la República, N° RCO-94-2006 del 17 de noviembre, 2006), que contempla el uso de las siguientes técnicas: Análisis y revisión del marco normativo. Revisiones selectivas. Entrevistas y consultas. Recolección de información. 1.6.- NORMATIVA APLICABLE El estudio se efectuó de conformidad con los procedimientos, políticas y lineamientos establecidos por la siguiente normativa:  Ley General de Control Interno, No. 8292.  Manual de Normas de Control Interno para el Sector Público (N-2-2009-CODFOE).

3.-

Ministerio de Obras Públicas y Transportes Auditoría General

Informe de Control Interno No. AG-I-15-2014

 Normas para el Ejercicio de la Auditoría Interna en el Sector Público (R-DC-1192009).  Manual de Procedimientos de la Auditoría General.  Normas Institucionales de Seguridad Informática.  Sistema de Información Institucional (SIIPA).

1.7.- COMUNICACIÓN DE RESULTADOS En atención a lo señalado en la Norma N° 205 (Comunicación de Resultados) del Manual de Normas Generales de Auditoría para el Sector Público, se remitió borrador del informe en formato digital, a la Dirección de Recursos Humanos, convocando para el día 2 de abril del año en curso a las 8:00 a.m., para la discusión de resultados. 1.8.- RIESGO Nivel de Riesgo: De acuerdo con lo establecido en el Manual de Normas Generales de Auditoría para el Sector Público (M-2-2006-CO-DFOE), específicamente en el inciso c) del punto 05 de la Norma 203, para efectos de sus estudios, las Auditorías Internas deben considerar los resultados de la valoración del riesgo institucional. La herramienta desarrollada por esta Auditoría General denominada “Matriz de Riesgo” refleja un nivel medio para los controles relacionados con la actividad de estudio.

4.-

Ministerio de Obras Públicas y Transportes Auditoría General

Informe de Control Interno No. AG-I-15-2014

Debido a que el proceso no ha sido evaluado con anterioridad y que la actualización de la matriz fue hace 3 años, el riesgo ha llegado a ser alto. De acuerdo con la metodología establecida el riesgo a nivel de procesos se mide de acuerdo con su nivel de cumplimiento, el cual se establece en función de los estudios de control interno, advertencias, denuncias, cumplimiento de recomendaciones y demás estudios de carácter especial, obteniendo para este proceso un nivel de riesgo medio según la siguiente escala: NIVEL DE CUMPLIMIENTO Ponderación

Rango inferior

Rango superior

Alto

0

3

Medio

4

6

Bajo

7

10

Por lo cual esta Auditoría efectuó la evaluación correspondiente, con el propósito de emitir recomendaciones tendientes a subsanar cualquier deficiencia detectada en el sistema de control interno del procedimiento en estudio, así como a disminuir ese riesgo.

5.-

Ministerio de Obras Públicas y Transportes Auditoría General

Informe de Control Interno No. AG-I-15-2014

2.- RESULTADOS Del análisis documental relacionado con los Sistemas Informáticos de la Dirección de Recursos Humanos del MOPT, la revisión de normativa, aplicación de entrevistas, observaciones realizadas y la verificación física de los aplicativos, se determinó lo siguiente. 2.1.- Generalidades de la Unidad de Informática de Recursos Humanos La Unidad de Informática de Recursos Humanos es la encargada de administrar el Sistema de Información de Personal del Recurso Humanos del Ministerio. En la actualidad está compuesta por 3 funcionarios que ocupan los puestos de Jefe, Programador y Técnico Informático. Entre las labores que ellos realizan están: el desarrollo y modificación de programas, atención a problemas generados por los sistemas, mantenimiento y actualización de la base de datos, soporte técnico a las computadoras de todos los funcionarios de la Dirección de Recursos Humanos, elaboración del anteproyecto presupuestario, entre otros. Cuando se realiza alguna solicitud de cambio a un módulo existente o se requiere hacer un nuevo desarrollo, el trámite se plantea en forma verbal y no se llega a documentar. No se emplea ninguna metodología para documentar. La Unidad cuenta con varios desarrollos en Visual Basic 6.0 que trabajan con un repositorio de información a modo de base de datos en Access y el Sistema General de Recursos Humanos fue desarrollado en Natural Caracter con una base de datos ADABAS 5.1.4. Para el ingreso al Sistema General de Recursos Humanos, la Unidad de Informática coordina con el Departamento de Soporte, para la creación del usuario que lo va a utilizar y una vez creado se le da acceso a las pantallas respectivas. No se manejan controles de perfiles o roles para diferenciar el tipo de permisos que tiene un usuario. Los sistemas no cuentan con bitácoras o pistas de Auditoría que permitan conocerla trazabilidad de la información en el tiempo e identificar el usuario que realizó un cambio, la fecha-hora en que lo hizo, el tipo de cambio efectuado ni el valor anterior que tenía el campo.

6.-

Ministerio de Obras Públicas y Transportes Auditoría General

Informe de Control Interno No. AG-I-15-2014

Se cuenta con una computadora de escritorio donde está montado el Access, que funciona a modo de servidor en cuanto que los usuarios de los sistemas extraen de ahí la información que requieren, según sea el sistema. El principal problema que presentan los sistemas es debido a la red de comunicaciones, por ejemplo cuando hay reparaciones, ausencia o intermitencia en los servicios de red, no es posible acceder a la red y por esta razón se imposibilita el ingreso a los sistemas, hasta que se restablezcan los servicios. Cuando un funcionario ingresa a la Institución, tal como indican las Normas Institucionales de Seguridad Informática, Capítulo III Uso de Servicios de Red, apartado 3.4. Requerimientos para obtener servicios, se le tramitan los permisos para hacer uso de los servicios de aplicaciones institucionales, Internet y Correo electrónico, por medio de una solicitud de servicios, “La Dirección o Jefatura interesada deberá enviar la solicitud a la Dirección de Informática, mediante el procedimiento establecido para tal efecto. La solicitud de asignación de dichos servicios, deben venir con el visto bueno de la Dirección o del jefe inmediato superior… Asimismo, es responsabilidad de cada jefatura, el velar por el cumplimiento las normas establecidas, y a la vez notificar a la Dirección de Informática, los cambios o movimientos del personal que autoriza, ya sea por traslados a otra dependencia, despido, renuncia entre otros”

En vista que no siempre las jefaturas informan a la Dirección de Informática los cambios de sus funcionarios, el Departamento de Soporte Técnico optó por solicitar a Recursos Humanos que enviara a fin de cada mes, un listado de los funcionarios que han tenido algún movimiento, para realizar las desactivaciones de accesos a los aplicativos solicitadas con anterioridad. Cabe señalar que debido a la importancia que tiene el Sistema General de Recursos Humanos para la Institución y que funciona como un sistema integrado, se debe permitir la interacción más representativa de los funcionarios en su manipulación porque en la actualidad la inclusión de la información está a cargo de un pequeño grupo de funcionarios.

7.-

Ministerio de Obras Públicas y Transportes Auditoría General

Informe de Control Interno No. AG-I-15-2014

2.2.- Identificar los Sistemas Informáticos que tiene la Dirección de Recursos Humanos del MOPT y la forma como la Unidad de Recursos Humanos lleva a cabo su administración La Unidad de Informática de Recursos Humanos cuenta con una serie de sistemas informáticos automatizados, tal como se detalla en el Cuadro No.1, que han sido implementados para agilizar algún trámite que se realiza a lo interno de la Dirección de Recursos Humanos. Cuadro No. 1 Sistemas Informáticos de Recursos Humanos

N°

Sistema

1 2 3 4 5 6 7

Cálculo de tiempo extraordinario Cálculo de diferencias profesionales Cartas de presentación Flujo de documentos Incapacidades Carrera Profesional Sistemas de Recuperación de Dinero (SIREDI) Control de viáticos Impresión de acciones de personal Sistema General de Recursos Humanos

8 9 10

Plataforma

Motor de Base de datos

Visual Basic 6.0 Excel Visual Basic 6.0 Visual Basic 6.0 Visual Basic 6.0 Visual Basic 6.0 Visual Basic 6.0

Access 2007 Excel Access 2007 Access 2007 Access 2007 Access 2007 Access 2007

Visual Basic 6.0 Visual Basic 6.0 Natural Caracter

Access 2007 Access 2007 ADABAS 5.1.4

Fuente: Elaboración propia a partir de información proporcionada.

Algunas actividades importantes como el “Cálculo de diferencias profesionales”(que realiza la Dirección de Recursos Humanos), y el “Cálculo de días feriados” (que genera la Unidad de Informática, para los Oficiales de Tránsito) se manejan por medio de Excel, para procesar la información que se tiene, es decir, no están automatizados por medio de un sistema informático, el riesgo que se presenta de la manipulación de este tipo de datos, es que la información puede ser alterada por error o malintencionadamente, y no queda registro de ello. En el peor de los escenarios, puede ser borrada o el archivo puede corromperse al punto de quedar inservible, lo que imposibilitaría cualquier tipo de recuperación de información e inutilizaría el uso de ella, perdiéndose un repositorio grande de datos que se venían trabajando. En relación con la administración de los sistemas, cabe resaltar que algunos de ellos, sirven de insumo para alimentar manualmente el Sistema General de Recursos Humanos como es el caso de: Cartas de presentación, Carrera

8.-

Ministerio de Obras Públicas y Transportes Auditoría General

Informe de Control Interno No. AG-I-15-2014

profesional, Control de viáticos, Impresión de acciones de personal. Los funcionarios utilizan estos módulos para la generación de información, que en última instancia es pasada al personal de Informática para que la incluyan en el Sistema General de Recursos Humanos, lo que presenta el riesgo del reproceso, ya que se realiza la misma actividad dos veces, sin olvidar la dependencia del personal de Informática para concluir con la digitación de la información, bajo el argumento de que es información delicada y que el usuario final puede cometer errores. Según indica el Jefe de la Unidad de Informática de Recursos Humanos, como parte de las tareas que tiene a su cargo, está la elaboración del anteproyecto presupuestario, lo que llama la atención porque es una actividad más de carácter financiero-contable que informático, de ahí surge la pregunta de por qué un informático está realizando esa tarea; al consultar a los jefes de la Dirección de Recursos Humanos, indican que ha sido una labor que la persona asumió en un momento porque nadie sabía cómo hacerlo y ahora sólo él continuó con esto, el riesgo encontrado en esta situación es la utilización de recursos que no están enfocados en el desarrollo de soluciones informáticas sino que está realizando una tarea distinta de las funciones de un informático. También se establece la dependencia de un recurso, ya que es el único que conoce y realiza esa acción. Al abordar el tema de la importancia de la documentación como medida de control para la Institución y de apoyo para el personal, se encuentra tipificado en Las Normas de control interno para el Sector Público (N-2-2009CO-DFOE del 26 de enero del 2009), específicamente en el inciso c) de la norma 1.4 que establece como responsabilidad del jerarca y los titulares subordinados sobre el SCI, lo siguiente: “La emisión de instrucciones a fin de que las políticas, normas y procedimientos para el cumplimiento del SCI, estén debidamente documentados, oficializados y actualizados, y sean divulgados y puestos a disposición para su consulta.”

En cuanto a las actividades de control, la norma 4.1 indica que: “El jerarca y los titulares subordinados, según sus competencias, deben diseñar, adoptar, evaluar y perfeccionar, como parte del SCI, las actividades de control pertinentes, las que comprenden las políticas, los procedimientos y los mecanismos que contribuyen a asegurar razonablemente la operación y el fortalecimiento del SCI y el logro de objetivos institucionales.”

9.-

Ministerio de Obras Públicas y Transportes Auditoría General

Informe de Control Interno No. AG-I-15-2014

En cuanto al seguimiento de las acciones implementadas, la norma 4.2 en cuanto a los requisitos de las actividades de control, establece: “Las actividades de control deben documentarse mediante su incorporación en los manuales de procedimientos, en las descripciones de puestos y procesos, o en documentos de naturaleza similar. Esa documentación debe estar disponible, en forma ordenada conforme a criterios previamente establecidos, para su uso, consulta y evaluación.”

De acuerdo con las consultas y entrevistas realizadas a los responsables de la Unidad de Informática de Recursos Humanos, no se lleva de manera formal la documentación sino que es mediante instrucciones verbales que se procede con cambios, modificaciones o nuevos desarrollos. El riesgo de esta situación, es que no es posible recurrir a documentos que permitan determinar una falla en los sistemas, o que expliquen en el tiempo porqué se solicitó una modificación. Esto afecta la subsanación de atención de problemas que pueda presentar un sistema, ya que las mismas no están tipificadas en un documento que sirva de consulta. Esto crea una dependencia de aquellos funcionarios conocedores del procedimiento a seguir y en caso de su ausencia o la ocurrencia de una contingencia, no se podría solucionar de forma adecuada y oportuna, afectándose el desempeño de la unidad usuaria. Para mayor información sobre los sistemas que tiene la Unidad de Informática de Recursos, puede recurrir al Anexo 1. 2.3.- Verificar el funcionamiento de los sistemas desarrollados por la Unidad de Informática de Recursos Humanos En relación con los sistemas de información, se refieren las Normas de control interno para el Sector Público (N-2-2009-CO-DFOE), publicado en La Gaceta N° 26 del 6 de febrero, 2009, en el Capítulo V: NORMAS SOBRE SISTEMAS DE INFORMACIÓN, apartado 5.1 Sistemas de información: “El jerarca y los titulares subordinados, según sus competencias, deben disponer los elementos y condiciones necesarias para que de manera organizada, uniforme, consistente y oportuna se ejecuten las actividades de obtener, procesar, generar y comunicar, en forma eficaz, eficiente y económica, y con apego al bloque de legalidad, la información de la gestión institucional y otra de interés para la consecución de los objetivos institucionales.

10.-

Ministerio de Obras Públicas y Transportes Auditoría General

Informe de Control Interno No. AG-I-15-2014

El conjunto de esos elementos y condiciones con las características y fines indicados, se denomina sistema de información, los cuales pueden instaurarse en forma manual, automatizada, o ambas.”

El sistema debe garantizar la, 5.6 Calidad de la información, “El jerarca y los titulares subordinados, según sus competencias, deben asegurar razonablemente que los sistemas de información contemplen los procesos requeridos para recopilar, procesar y generar información que responda a las necesidades de los distintos usuarios. Dichos procesos deben estar basados en un enfoque de efectividad y de mejoramiento continuo. Los atributos fundamentales de la calidad de la información están referidos a la confiabilidad, oportunidad y utilidad.”

La información que resguarda el sistema debe estar a disposición de quienes lo utilizan, 5.7 Calidad de la comunicación, “El jerarca y los titulares subordinados, según sus competencias, deben establecer los procesos necesarios para asegurar razonablemente que la comunicación de la información se da a las instancias pertinentes y en el tiempo propicio, de acuerdo con las necesidades de los usuarios, según los asuntos que se encuentran y son necesarios en su esfera de acción. Dichos procesos deben estar basados en un enfoque de efectividad y mejoramiento continuo.”

Esa información debe estar custodiada de forma correcta, 5.7.4 Seguridad, “Deben instaurarse los controles que aseguren que la información que se comunica resguarde sus características propias de calidad, y sea trasladada bajo las condiciones de protección apropiadas, según su grado de sensibilidad y confidencialidad. Así también, que garanticen razonablemente su disponibilidad y acceso por parte de los distintos usuarios en la oportunidad y con la prontitud que la requieran.”

Las Normas técnicas para la gestión y el control de las Tecnologías de Información (N-2-2007-CO-DFOE), publicada en La Gaceta N° 119 del 21 de junio, 2007, en el Capítulo I Normas de aplicación general, apartado 1.4 Gestión de la seguridad de la información:

11.-

Ministerio de Obras Públicas y Transportes Auditoría General

Informe de Control Interno No. AG-I-15-2014

“La organización debe garantizar, de manera razonable, la confidencialidad, integridad y disponibilidad de la información, lo que implica protegerla contra uso, divulgación o modificación no autorizados, daño o pérdida u otros factores disfuncionales.”

Esta normativa establece una serie de criterios que deben ser tomados en cuenta por los sistemas informáticos en general y, con respecto a los sistemas desarrollados por la Unidad de Informática, mencionar que en su mayoría se encuentran desarrollados, en el lenguaje de programación en ambiente gráfico denominado Visual Basic 6.0. Esa fue la última versión que salió al mercado de Visual Basic, a mediados de 1998, de la cual se brindó soporte hasta el 31 de marzo de 2005. Los sistemas no están en capacidad de brindar consultas en línea (vía internet) de la información que contienen, de forma que se puedan acceder desde lugares más remotos, fuera de la Institución ni presentan una relación complementaria con el Sistema General de Recursos Humanos, que es el que recibe como insumo la información que se calcula por medio de algunos de estos módulos y luego se ingresa manualmente, generando el riesgo de la inseguridad de incluir información de forma manual. Además de supeditar el acceso al sistema, a las Oficinas centrales del Ministerio, para realizar trámites, que se pueden realizar perfectamente desde otras latitudes y en forma inmediata. Debido a la verificación de los sistemas informáticos automatizados, se confirma que no poseen bitácoras ni pistas de auditoría que permitan tener una trazabilidad de la información en el tiempo, el riesgo que se desprende de esta situación es que no se puede establecer en forma clara y exacta la información que tenía el sistema, ya sea progresivamente (de los datos fuente hacia los resultados), o regresivamente (de los resultados hacia los datos fuente), ni se identifica claramente el usuario que realizó determinada modificación. Así como se mencionó con anterioridad, el repositorio de información que utilizan los sistemas en Visual Basic, a modo de base de datos, es Access2007, el riesgo de utilizar este paquete de Office es que no se garantiza la confidencialidad, integridad y disponibilidad de la información, ni los niveles de seguridad necesarios que permitan rastrear algún dato en el tiempo.

12.-

Ministerio de Obras Públicas y Transportes Auditoría General

Informe de Control Interno No. AG-I-15-2014

Cada vez que los sistemas en Visual requieren una actualización de la información, la misma se replica en todas las bases de datos de forma manual, el riesgo de esta forma de trabajo es que se pueden generar inconsistencias en la información que se almacena en las tablas. Luego de verificar la información que contienen las bases de datos de los sistemas, se enumera el resultado del análisis de un campo común a varias bases de datos: Cuadro No. 2 Cantidad de registros del mismo campo en diferentes sistemas

N°

Sistema

1 2 3 4

Confección de Cartas de Presentación Flujo de documentos Incapacidades Sistemas de Recuperación de Dinero (SIREDI)

Nombre de Access

Campo

Cantidad de datos

CARTAS FLUJO_CORRESP INCAPACIDADES SIREDI

EMPLE EMPLE EMPLE EMPLE

3577 3578 3580 3550

Fuente: Elaboración propia a partir de información proporcionada.

2.4.- Determinar la relación que tiene la Unidad de Informática de Recursos Humanos con la Dirección de Informática del MOPT De acuerdo con la consulta realizada al Director de Informática, se nos informa que no hay mayor relación con la Unidad de Informática de Recursos Humanos. Sobre esto, el informe de Deloitte AG-I-43-2013, que lleva por título: “Informe sobre los resultados de la Auditoría Operativa de TI”, en las recomendaciones giradas al Ministro de Obras Públicas y Transporte, habla en los puntos adjuntos, de la necesidad imperativa de concentrar fuerzas, lo que responde a la necesidad de reestructuración de la Dirección de TI. “4.4 Instruir a la Comisión Institucional de Tecnologías de Información, para que se realicen acciones necesarias para la reestructuración de la Dirección de TI. 4.5 Instruir la reestructuración del personal con perfil de informática para que sea dada en un corto plazo, para garantizar el cumplimiento de lo establecido desde el año 2009 en las disposiciones de la Contraloría General de la República y las recomendaciones del Informe de la Auditoría General, elaborado en ese mismo año por la Firma Deloitte.”

13.-

Ministerio de Obras Públicas y Transportes Auditoría General

Informe de Control Interno No. AG-I-15-2014

Se consultó a la Dirección de Planeamiento Administrativo acerca de la Unidad de Informática de Recursos Humanos, y nos indican que existe aunque de manera informal el proceso de informática de la Dirección de Gestión Institucional de Recursos Humanos (GIRH), pero a la fecha no está mapeado, ya que esto forma parte del estudio de reorganización del Ministerio. La estructura ya fue presentada a MIDEPLAN. LasNormas técnicas para la gestión y el control de las Tecnologías de Información (N-2-2007-CO-DFOE), en el Capítulo II Planificación y organización, apartado 2.4 Independencia y recurso humano de la Función de TI, habla del papel gestionador de TI. “El jerarca debe asegurar la independencia de la Función de TI respecto de las áreas usuarias y que ésta mantenga la coordinación y comunicación con las demás dependencias tanto internas y como externas.”

14.-

Ministerio de Obras Públicas y Transportes Auditoría General

Informe de Control Interno No. AG-I-15-2014

3.- CONCLUSIONES 3.1.- Según la identificación de programas realizada se concluye que existen múltiples sistemas que sirven como insumo para generar información que será incluida en el Sistema General de Recursos Humanos, esto implica un reproceso, porque el trámite demanda que el operario pase la información al informático para que él la incluya en el Sistema. El Sistema debería permitir que el operario realice los cálculos e incluya la información el mismo, el riesgo presente en esta situación es que la funcionalidad y los datos comunes a los sistemas, no están debidamente integrados, dándose la repetición de trabajos y funciones que podrían estar orientadas a la simplificación de tareas. (ref. 2.2) 3.2.- Sobre el funcionamiento de los sistemas desarrollados por la Unidad de Informática de Recursos Humanos, tenemos que existe todavía mucha dependencia del personal de informática para concluir procesos que deben funcionar en forma automatizada, ya que debe estar actualizando bases de datos, o ingresando información cuando esta no aparece, debido a esto no se ha llegado a automatizar los sistemas en un grado aceptable porque se debe recurrir a la mediación humana para concluir ciertas tareas. (ref. 2.3) 3.3.- La Unidad de Informática de Recursos Humanos no tiene relación con la Dirección de Informática, lo cual hace que se trabaje sin dirección técnica que permita establecer las prioridades de los proyectos que deben ser atendidos y los recursos que se deben destinar para tal fin. (ref. 2.4) 3.4.- No se ha recibido suficiente capacitación en lo que respecta al uso de la metodología para documentar (desarrollos, modificaciones, atención de incidencias),ni para el uso de la herramienta para el diseño de software, que permita modernizar los desarrollos que se realizan, generando que se continúe sin documentar las solicitudes de desarrollos, modificaciones ni las atenciones realizadas, que permitan determinar si es factible proceder con un nuevo diseño o si un sistema está funcionando mal. Tampoco se conoce una mejor alternativa para el desarrollo de sistemas que permita modernizar o integrar los existentes. (ref. 2.1) 3.5.- Es claro que existe una obsolescencia de los sistemas, por el lenguaje de programación que se ha venido usando, Visual Basic, lo cual ofrece pocas garantías de seguridad y no brinda la posibilidad de hacer aplicaciones que se puedan acceder por medio de internet, esto provoca que los módulos o sistemas vayan perdiendo vigencia en el mercado y

15.-

Ministerio de Obras Públicas y Transportes Auditoría General

Informe de Control Interno No. AG-I-15-2014

llegan a ser inservibles en las nuevas tecnologías, como versiones más recientes de sistemas operativos. (ref. 2.1) 3.6.- El repositorio de información que utilizan las aplicaciones de Visual Basic, es el paquete de Office llamado Access, que no está diseñado para ofrecer niveles de seguridad de la información que garanticen su integridad, disponibilidad y confidencialidad, ni para procesar eficientemente grandes flujos de datos, lo que presenta el riesgo de la inseguridad en la información que se custodia, así como el procesamiento ineficiente de grandes cantidades de información. (ref. 2.1) 3.7.-Se deben descentralizar operaciones para que no se dependa de la recepción en físico de boletas en las Oficinas Centrales para su trámite, por ejemplo las boletas de incapacidades de la CCSS, incapacidades del INS, anulación de permisos sin salario, permisos de lactancia, permisos con salario, permisos sin salario, cuando vienen de zonas rurales pueden demorar considerablemente, y generan cobros a destiempo de sumas que han sido giradas con anticipación. Dados los progresos tecnológicos, es posible contar con un registro inmediato de esta información sin importar el lugar de donde se haga, por medio de internet, el riesgo de no agilizar este trámite consiste en el cobro retrasado de estas boletas lo que puede llegar a ocasionar pérdidas económicas a la Institución en los casos donde no es posible ubicar al responsable. (ref. 2.2) 3.8.-Los sistemas no cuentan con el diseño de bitácoras o pistas de auditoría que permitan determinar, cuando un usuario modifica un dato del sistema, la fecha en que lo hizo, ni el valor que tenía antes de la modificación, por esta razón no es posible realizar una trazabilidad adecuada de los datos, ni establecer los cambios que efectúan los usuarios. (ref. 2.1) 3.9.-Resulta contradictorio que el Jefe de la Unidad de Informática de Recursos Humanos, sea el encargado de elaborar el anteproyecto de presupuesto del MOPT, siendo esta una labor más financiero-contable, ya que no es una función propia de un informático, el riesgo es que se desvían esfuerzos y recursos para la atención de una tarea que no debe ser competencia exclusiva y directa de un informático. (ref. 2.2) 3.10.-A partir de los informes que la Firma Deloitte contratada por ésta Auditoría, ha realizado en ésta Institución en los años 2009 y 2013, se ha llegado a determinar que hace falta la implementación del mando técnico de la Dirección de Informática en las Unidades informáticas existentes en las distintas dependencias, siendo el presente caso una de ellas. (ref. 2.4)

16.-

Ministerio de Obras Públicas y Transportes Auditoría General

Informe de Control Interno No. AG-I-15-2014

4.- RECOMENDACIONES: De conformidad con los resultados y las conclusiones se emiten las siguientes recomendaciones: AL DIRECTOR DE LA DIRECCIÓN DE GESTIÓN INSTITUCIONAL DE RECURSOS HUMANOS 4.1.- Se deben incorporar al Sistema General de Recursos Humanos, todos aquellos módulos que le brindan un insumo que han sido desarrollados en Visual Basic 6.0., de forma que trabajen sobre la plataforma Natural Carácter o en una más moderna, que integre los datos reales del Sistema General de Recursos Humanos, sin necesidad de hacer copias de información adicionales, lo anterior en un plazo de 3 meses. (ref. 3.2) 4.2.- En coordinación con la Dirección de Informática, se debe elaborar un cronograma de trabajo para el desarrollo e implementación de menús de mantenimiento, en el Sistema General de Recursos Humanos, que permita que los usuarios responsables de manipular la información, sean los responsables de su inclusión, lo anterior en un plazo de 1 mes. Se debe tomar en cuenta que ingresan 2 personas, que deben ser capacitadas en materia de desarrollo y metodología de documentación. (ref. 3.2) 4.3.- La Unidad de Informática de la Dirección de Gestión Institucional de Recursos Humanos debe coordinar con la Dirección de Informática para la implementación un cronograma inicial de trabajo que logre la modernización de los sistemas informáticos, al atender los siguientes puntos: -La implementación de bitácoras y/o pistas de auditoría en el Sistema General de Recursos Humanos, así como un manual de usuario para que los encargados de remitir la información al personal de informática de la Unidad de Informática de la Dirección de Gestión Institucional de Recursos Humanos para su inclusión, lo hagan ellos mismos, de forma que los encargados de la información sean los responsables de su inserción. -La implementación de un módulo para registrar aquellos trámites que afectan el pago de rebajos de planilla del empleado como las boletas de permisos, de forma que se pueda tener la información actualizada y el trámite se aplique en la quincena correspondiente.

17.-

Ministerio de Obras Públicas y Transportes Auditoría General

Informe de Control Interno No. AG-I-15-2014

-Automatización de la información que maneja la Dirección de Recursos Humanos en forma manual, por medio de Excel como es el Cálculo de Diferencias Profesionales. -Creación de manuales de usuario para que el personal de la Dirección de Recursos Humanos, maneje los procesos. (ref. 3.3) 4.4.- Disponer el personal necesario, para que el encargado de elaborar el anteproyecto de presupuesto, de la Unidad de Informática de la Dirección de la Gestión Institucional de Recursos Humanos, capacite y traslade el conocimiento necesario para que el nuevo personal asuma esa tarea. (ref. 3.9) 4.5.- En acatamiento a las recomendaciones emitidas en los citados informes contratados a la Firma Deloitte con respecto al mando técnico de por parte de la Dirección Informática para el personal informático ubicado en distintas dependencias, gestionar lo correspondiente. (ref. 3.10) 4.6.- Comunicar en un plazo de diez días, posteriores a la recepción del presente informe, de acuerdo con lo que establece el artículo 36 de la Ley General de Control Interno, las gestiones realizadas en atención a lo recomendado.

18.-

Ministerio de Obras Públicas y Transportes Auditoría General

Informe de Control Interno No. AG-I-15-2014

Anexo No.1

19.-

Ministerio de Obras Públicas y Transportes Auditoría General

Informe de Control Interno No. AG-I-15-2014

N°1.

Nombre del Sistema: Autenticación: Estado: Funcionamiento:

Cálculo de tiempo extraordinario. Contraseña pero nunca se ha cambiado. Funcional. Se digita cédula del funcionario y se despliega información que proviene de la base de datos.

El sistema realiza cálculos previos para el pago de tiempo extraordinario en el sistema del Ministerio de Hacienda y conforme se registra en Integra. Principales problemas: Si se están realizando revaloraciones y se va la luz, el cálculo de tiene que hacer manualmente. Modificaciones Cambian los sistema de roles, antes se hacía por solicitadas: medio de tiempo y medio, ahora funcionan H0, H1, H3 para guardas que trabajan por roles de acuerdo al código de trabajo ordinario, jornada diurna, mixta, nocturna. Plataforma de Visual Basic 6.0. desarrollo: Repositorio de base de Access 2007. datos: Observación: El módulo es un insumo para grabar en Integra y funciona como un respaldo de la información que se grabó. Se usa para la generación de reportes. Se usa quincenalmente.

20.-

Ministerio de Obras Públicas y Transportes Auditoría General

Informe de Control Interno No. AG-I-15-2014

N°2.

Nombre del Sistema: Autenticación: Estado: Funcionamiento:

Principales problemas:

Modificaciones solicitadas:

Cálculo de diferencias profesionales. No se cuenta con este módulo. No se cuenta con este módulo. Se utiliza un Excel para generar tablas dinámicas, que según informan hacia el 2011 se manejaba una interfaz pero como no se dio seguimiento ni desarrollo, cayó en desuso. Todos los movimientos de personal se comunican al Jefe de la Unidad de Informática de Recursos Humanos, que hace la inclusión en el sistema. Se solicitó creación de módulo pero no se ha ejecutado a la fecha.

Cuando se paga se agrega información a Emulación de forma manual, trámite que realiza el Jefe de la Unidad de Informática de Recursos Humanos. de No se cuenta con este módulo.

Plataforma desarrollo: Repositorio de base de La información se maneja en Excel. datos: Observación: El módulo se reporta como en funcionamiento a la fecha, pero al realizar la comprobación física se nos indica que, “no existe sistema para este procedimiento, sino que se maneja en Excel, utilizando tablas dinámicas. Se dice que se manejaba una interfaz en el 2011, pero no se le dio seguimiento”

21.-

Ministerio de Obras Públicas y Transportes Auditoría General

Informe de Control Interno No. AG-I-15-2014

N°3.

Nombre del Sistema: Autenticación: Estado: Funcionamiento:

Cartas de Presentación. Contraseña pero nunca se ha cambiado. Funcional. Se digita cédula del funcionario y se despliega información que proviene de la base de datos.

Principales problemas:

Se utiliza para confeccionar las cartas de presentación de traslado, ubicación y actualización de la base de datos de Recursos Humanos. Cuando un dato no despliega información de la base de datos se recurre al técnico para que haga una actualización de la información.

Si se corta el fluido eléctrico, el trámite se hace manualmente. Ajustes a la hora de imprimir, con respecto a los márgenes de la hoja. de Visual Basic 6.0.

Modificaciones solicitadas: Plataforma desarrollo: Repositorio de base de Access 2007. datos:

22.-

Ministerio de Obras Públicas y Transportes Auditoría General

Informe de Control Interno No. AG-I-15-2014

N°4. Nombre del Sistema: Autenticación: Estado: Funcionamiento:

Flujo de documentos. Contraseña pero nunca se ha cambiado. Funcional. Se registran las boletas, permisos, licencias que ingresan a la recepción, donde primero se clasifican según el tipo de documento. Se realizan 2 cortes al mes.

Los documentos pueden ingresar de forma extemporánea, sobre todo cuando vienen de zonas rurales, lo que genera cobros o pagos extemporáneos. Principales problemas: Se demora mucho en procesar la información. Problemas de comunicación de red. Modificaciones Entrelazar el sistema con el módulo de asistencia, solicitadas: de forma que se tenga información compartida. Plataforma de Visual Basic 6.0. desarrollo: Repositorio de base de Access 2007. datos:

23.-

Ministerio de Obras Públicas y Transportes Auditoría General

Informe de Control Interno No. AG-I-15-2014

N°5. Nombre del Sistema: Autenticación: Estado: Funcionamiento:

Incapacidades. Contraseña pero nunca se ha cambiado. Funcional. El sistema realiza cálculos de montos, por incapacidades que ingresar a la Dirección de Recursos Humanos. Principales problemas: Cuando se trata de puestos de confianza hay que buscar la información manualmente porque no aparece en el sistema. Modificaciones Antiguamente sólo se registraba el rige y el solicitadas: vence, ahora se realiza un conteo de días, incapacidad de la Caja, del INS, licencia de maternidad, entre otros. Plataforma de Visual Basic 6.0. desarrollo: Repositorio de base de Access 2007. datos: Observación: Para actualizaciones se utiliza el módulo de actualización de datos.

24.-

Ministerio de Obras Públicas y Transportes Auditoría General

Informe de Control Interno No. AG-I-15-2014

N°6. Nombre del Sistema: Autenticación: Estado: Funcionamiento:

Carrera profesional. Contraseña pero nunca se ha cambiado. Funcional. Se digita cédula del funcionario y se despliega información que proviene de la base de datos. El sistema se alimenta cada 6 meses. Cuenta con información de atestados, experiencia, cursos, capacitaciones, etc. Principales problemas: No guarda histórico de los empleados que han estado en algún momento en la Institución por lo que cuando el funcionario tiene un cese, es excluido del sistema automáticamente. Si vuelve a ingresar, hay que buscar nuevamente e ingresar toda su información manualmente. Modificaciones Que considere experiencia de organismos solicitadas: nacionales, junto con grados académicos. Plataforma de Visual Basic 6.0. desarrollo: Repositorio de base de Access 2007. datos:

25.-

Ministerio de Obras Públicas y Transportes Auditoría General

Informe de Control Interno No. AG-I-15-2014

N°7.

Nombre del Sistema: Autenticación: Estado: Funcionamiento:

Sistema de Recuperación de Dinero (SIREDI). Contraseña pero nunca se ha cambiado. Funcional. Sirve para llevar un control de los movimientos generados por Integra (Hacienda) o los generados internamente, como defunciones, permisos sin salario, medida cautelar. Se lleva quincenalmente y empezó a funcionar hace 10 meses. Principales problemas: Ajuste de montos, forma en que lee punto y coma. Modificaciones Ajuste de montos, forma en que lee punto y solicitadas: coma. Plataforma de Visual Basic 6.0. desarrollo: Repositorio de base de Access 2007. datos: Observación: De reciente implementación, utilizado como sistema documental.

26.-

Ministerio de Obras Públicas y Transportes Auditoría General

Informe de Control Interno No. AG-I-15-2014

N°8. Nombre del Sistema: Autenticación: Estado: Funcionamiento:

Principales problemas:

Viáticos. Contraseña pero nunca se ha cambiado. Funcional. Control cruzado donde a principios de cada mes se realiza el rebajo que se aplica hasta el siguiente mes. Pasaje o viáticos. Los jefes administrativos son los encargados de enviar el trámite en papel a las oficinas centrales donde se registra el movimiento. Cuando se filtran las fechas no se registran todos los registros. Corrección de los problemas señalados.

Modificaciones solicitadas: Plataforma de Visual Basic 6.0. desarrollo: Repositorio de base de Access 2007. datos: Observación: De reciente implementación, sirve como sistema documental.

27.-

Ministerio de Obras Públicas y Transportes Auditoría General

Informe de Control Interno No. AG-I-15-2014

N°9.

Nombre del Sistema: Autenticación: Estado: Funcionamiento: Principales problemas:

Acciones de personal. Contraseña pero nunca se ha cambiado. Funcional. Se utiliza para impresión masiva o individual de acciones de personal. De comunicación con la PC donde está instalado. No por el momento.

Modificaciones solicitadas: Plataforma de Visual Basic 6.0. desarrollo: Repositorio de base de Access 2007. datos:

28.-

Ministerio de Obras Públicas y Transportes Auditoría General

Informe de Control Interno No. AG-I-15-2014

N°10.

Nombre del Sistema: Autenticación: Estado: Funcionamiento: Principales problemas:

Sistema General de Recursos Humanos. Contraseña pero nunca se ha cambiado. Funcional. Sistema integrado donde se encuentra la información del personal de la Institución. De comunicación con la base de datos en el momento de experimentar fallas en el flujo eléctrico, producto de rayería o fluctuación eléctrica. Constantemente pero de forma verbal.

Modificaciones solicitadas: Plataforma de Natural Caracter. desarrollo: Repositorio de base de ADABAS 5.1.4. datos:

29.-