RESUMEN EJECUTIVO

INFORME I-AIG-03-11
INFORME FINAL CONTENTIVO DE LOS RESULTADOS DEL ESTUDIO SOBRE EL
DISEO DE SISTEMAS EN PUNTO A SU ESTRUCTURA DE CONTROL CON
ADICIN DEL CUMPLIMIENTO DE LAS NORMAS DE TI EVALUADAS
DURANTE EL ESTUDIO


1 INTRODUCCIN
El estudio se realiz de acuerdo con el Plan
General de Auditora de esta Auditora Interna y
es un producto de su Proceso de Auditora. Su
objetivo fue evaluar el cumplimiento de Normas
tcnicas para la gestin y el control de las Tecno-
logas de Informacin
1
vigentes emitidas por el
rgano Contralor.
Su desarrollo se efectu de forma concomi-
tante al objetivo dirigido a evaluar si las aplica-
ciones desarrolladas por la UTI se disean con
inclusin de controles que garanticen la exactitud,
integridad, oportunidad y autorizacin de entra-
das, procesamiento y salidas, puesto que dicha
normativa le es inherente.
El anlisis vers sobre el cumplimiento de las
Normas tcnicas para la gestin y el control de las
Tecnologas de Informacin, comprendidas en las
evaluaciones que realiz esta Auditora Interna en
relacin con:
La creacin de sistemas en un ambiente
controlado de desarrollo y el correspondien-
te pase de los mismos al ambiente de pro-
duccin una vez terminado su desarrollo.
Los controles implementados en el Sistema
de Activos Fijos.
Las rutinas para controlar y pagar el monto
por concepto de anualidades en el Sistema
de Pago de Salarios.

1
Publicado en la Gaceta No. 119 del 21/06/07.
La implantacin efectiva de estndares y
procesos que permitan rutinas de adminis-
tracin de la calidad en el desarrollo de sis-
temas.
La integridad de la informacin contenida
en las bases de datos de los sistemas en
produccin relativos a Vacaciones, Sumi-
nistros, Presupuesto Interno y Control de
Asistencia.
Los procedimientos y controles de acceso
establecidos para validar la entrada a los
sistemas en produccin solo por personal
autorizado.
La separacin de los ambientes de desarro-
llo y produccin as como los privilegios y
accesos controlados del personal de la UTI
cuyas responsabilidades conllevan el desa-
rrollo de sistemas.
El establecimiento de las rutinas y requeri-
mientos de control definidos e implementa-
dos en los sistemas para garantizar el ingre-
so slo de datos completos y correctos.
El estudio se efectu de acuerdo con las
Normas Internacionales para el Ejercicio Profe-
sional de la Auditora Interna, el Manual de Nor-
mas Generales de Auditora para el Sector Pblico
y el Manual de Normas para el Ejercicio de la
Auditora Interna en el Sector Pblico. El pero-
do objeto de revisin abarc el comprendido de
los aos 2008 al 2010, amplindose cuando se
estim pertinente.
Su valor agregado consiste en coadyuvar a
que la administracin y control de las tecnologas
de informacin logren un modelo de madurez
Informe I-AIG-03-11
2
escalable cuyo impulso propicie que las herra-
mientas y soluciones automatizadas se conviertan
en pilar fundamental del quehacer institucional,
cumpliendo de manera permanente con criterios
de informacin fundamentales como lo son la
efectividad, eficiencia, confidencialidad, integri-
dad, disponibilidad y confiabilidad.

2 RESULTADOS
2.1 PRIMER INFORME No. I-AIG-02-09
El primer informe
2
aborda el tema relativo al
pase de sistemas del ambiente de desarrollo al de
produccin, de vital importancia por cuanto el
mantener estos ambientes independientes tiene
como propsito fundamental separar la informa-
cin utilizada para el desarrollo, de la transaccio-
nal o de produccin diaria, en salvaguarda de su
integridad.
Se determinaron, en punto a las actividades
del pase del ambiente de desarrollo a produccin,
una serie de condiciones que no respondan a lo
estipulado en las Polticas para el uso del servi-
dor de desarrollo y traslado de objetos al servidor
de produccin, impactaban de manera negativa
los controles destinados a asegurar el debido tras-
lado de sistemas a produccin y, a su vez, consti-
tuan evidencia que uno de los procesos significa-
tivos el ciclo de vida del desarrollo de sistemas no
estaba sujeto a un debido control de gestin.
Sobre el particular fueron giradas por esta
Auditora, y aceptadas por la Unidad de Tecnolog-
a e informacin (UTI), cuatro recomendaciones,
las cuales al 15 de marzo del ao en curso no
estn an implementadas. Al respecto, la Jefatura
de la UTI, inform que estarn implementadas al
1 de abril, segn consta en su oficio DGA-UTI-
0051 del 15 de marzo del ao en curso, lo cual
ser objeto de un estudio de seguimiento por esta
Auditora prximamente. Consecuentemente, la
Norma 1.4.6 Seguridad en la implementacin y

2
Remitido al Lic. Miguel Aguilar Zamora, Jefe
de la UTI, el 19/10/09.
mantenimiento de software e infraestructura tec-
nolgica, se califica como parcialmente cumplida.
En lo que respecta a la Norma 4.2 Adminis-
tracin y operacin de la plataforma tecnolgica,
inciso f, su cumplimiento es satisfactorio puesto
que efectivamente se cuenta con un ambiente de
desarrollo y prueba separado del de produccin.

2.2 SEGUNDO INFORME
No. I-AIG-02-10
El segundo informe
3
refiere a que el Sistema
de Activos Fijos (SAF) report un total de 357
activos asignados a funcionarios que no ostenta-
ban tal condicin pues haban dejado de laborar
para la entidad en el perodo comprendido del 1
de enero del 2008 al 31 de enero del 2010; por
ende, la situacin de los activos en cuestin no se
conoca. Sobre el particular seal esta Auditora
que la asignacin de un bien a un funcionario no
es slo un acto de registro, sino que es inherente a
ello la ejecucin de la adecuada custodia del mis-
mo.
Dicha situacin incide de manera negativa en
el cumplimiento del Artculo 26 del Reglamento
para la Administracin de los Bienes y Derechos
de Propiedad Intelectual de la Contralora General
de la Repblica y de la Norma 4.3.2 Custodia de
activos, de las Normas de control interno para el
Sector Pblico y, a su vez, impacta en el mismo
sentido la administracin de los datos en materia
de activos e incrementa el riesgo de integridad de
la informacin registrada en el SAF, pues no de-
viene en confiable, oportuna y til, atributos fun-
damentales de la calidad de la informacin.
En razn de lo anterior, la Auditora Interna
procedi a girar a la Jefatura de la UGA tres re-
comendaciones, que fueron por ella aceptadas y
debidamente implementadas segn consta en el
Informe de seguimiento No. I-AIG-S-7-10 del 02
de setiembre del 2010.

3
Remitido al Ing. Ronald Monge Salazar, Jefe de
la UGA, el 19/03/10.
Informe I-AIG-03-11
3
Si bien las situaciones disfuncionales aborda-
das en el informe de cita no son resorte fundamen-
tal de la UTI, el cumplimiento pleno de las reco-
mendaciones por parte de la UGA, contribuye a
lograr el cumplimiento de la Norma 4.3 Adminis-
tracin de los datos, por cuanto con la normaliza-
cin de la situacin de los activos, la informacin
contenida en el SAF ofrece una garanta razonable
respecto de la situacin de los activos propiedad
del rgano Contralor. Por ende, en cuanto al SAF
la Norma 4.3 se da por cumplida.

2.3 TERCER INFORME
No. I-AIG-03-10
En el tercer informe
4
se refiere puntualmente
a la evaluacin de la integridad de los datos sobre
el pago de anualidades en el Sistema de Pagos de
Salarios.
Se determin que los controles incorporados
en las rutinas establecidas para el pago de anuali-
dades no detectaron el conteo incorrecto de las
anualidades para dos funcionarias y, producto de
ello, no reciban el pago que por ese concepto les
corresponde segn los datos que constan en sus
respectivos expedientes de personal, que mantiene
la Unidad de Gestin de Potencial Humano.
Con el propsito de promover el cumplimien-
to de la normativa aplicable al pago de salarios a
saber, el Estatuto Autnomo de Servicios
5
y la
Ley de Salarios y Rgimen de Mritos de la Con-
tralora General de la Repblica No. 3724
6
, corre-
gir las situaciones salariales de las funcionarias y
fortalecer la estructura de control del sistema de
pagos, en lo que compete a la gestin de las anua-
lidades y con ello propiciar que la informacin
contenida en el Sistema de pagos mantenga su
integridad, cumplimiento y confiabilidad esta

4
Remitido al Gerente de la Divisin de Gestin
de Apoyo, Lic. Manuel Martnez Sequeira el
18/05/10
5
Publicado en la Gaceta No. 94 del 17/05/96.
6
Publicada en La Gaceta No. 180 del 2/08/66 y
actualizada el 20/03/02.
Auditora Interna gir tres recomendaciones a la
Gerencia de la Divisin de Gestin de Apoyo.
La toma de acciones por parte de tres depen-
dencias Unidad de Gestin de Potencial Huma-
no, Unidad de Tecnologas de Informacin, Uni-
dad de Administracin Financiera, integrantes de
la Divisin de Gestin de Apoyo fue necesaria y
se efectu de manera coordinada y pronta, dando
lugar a un cumplimiento efectivo de las recomen-
daciones, constatado por esta Auditora Interna al
18 de mayo del 2010 segn consta en su Informe
de seguimiento N I-AIG-S-06-10. Por lo tanto, en
cuanto a la rutina de pago de anualidades del Sis-
tema de Pagos, la Norma 4.3, Administracin de
los datos se califica como cumplida a satisfaccin.

2.4 CUARTO INFORME
No. I-AIG-01-11
Con el cuarto informe
7
se abord el tema de
la definicin e implantacin efectiva de estndares
y procesos que permitan rutinas de administracin
de la calidad durante el desarrollo de sistemas.
El estudio en particular permiti determinar
que la UTI como producto de las acciones acome-
tidas para el cumplimiento de las Normas tcnicas
emitidas por esta Contralora General en materia
de TI y, en particular, para la gestin y asegura-
miento de la calidad durante el desarrollo y evolu-
cin de las soluciones tecnolgicas, formul el
documento denominado Marco General para la
Gestin de la Calidad en TIC
No obstante lo anterior, ese Marco General
no ha sido debidamente implementado y tampoco,
los procedimientos o rutinas de registro formales
que deben acompaar ese tipo de normativa para
asentar de manera razonable su cumplimiento y
propiciar su mejoramiento continuo durante el
desarrollo de sistemas; aunado a ello, no se deter-
min su promulgacin oficial, ni la fecha a partir
de la cual rige.

7
Remitido al Jefe de la Unidad de Tecnologas de
Informacin, Lic. Miguel Aguilar Zamora, el
23/03/11.
Informe I-AIG-03-11
4
Con el objetivo de regular la situacin sobre
la normativa y los procedimientos de control de
calidad; al efecto de coadyuvar en la mejora con-
tinua del proceso de desarrollo de sistemas y te-
niendo como valor agregado promover la defini-
cin e implantacin efectiva de estndares y pro-
cesos que permitan rutinas de administracin de la
calidad, esta Auditora emiti tres recomendacio-
nes, aceptadas por la UTI y cuya implementacin
program, segn consta en su oficio No. DGA-
UTI-0076 del 6 de abril de 2011. En consecuen-
cia, la Norma 1.2 Gestin de la calidad se califica
en proceso de cumplimiento hasta tanto sean eva-
luadas por esta Auditora, las acciones que efecti-
vamente implemente la UTI con motivo de las
recomendaciones a ella formuladas.

2.5 OTRAS NORMAS EVALUADAS
DURANTE EL ESTUDIO
Como resultado del estudio se debe sealar
que tambin fueron evaluadas otras Normas a
efecto de determinar su implementacin, segn se
detalla de seguido.

Norma 1.4.5 Control de acceso
Sobre este particular se debe acotar que du-
rante la revisin ejecutada sobre el esquema de
seguridad definido por la UTI para las aplicacio-
nes desarrolladas con Oracle Application Express
(APEX) a partir del ao 2008, se constat que el
esquema utilizado para otorgar roles y privilegios
a usuarios fue evaluado por esta Auditora Interna
brinda una seguridad razonable por lo que la
Norma 1.4.5 Control de acceso, se considera cum-
plida con respecto a la proteccin de la confiden-
cialidad, integridad y disponibilidad de la infor-
macin, contra uso, divulgacin o modificaciones
no autorizadas.

Norma 4.3 Administracin de los datos
Con motivo de la evaluacin de la integridad
de los datos de los sistemas de Vacaciones, Sumi-
nistros, Presupuesto Interno y Control de Asisten-
cia contenidos en sus respectivas base de datos, se
determin que la informacin derivada de tales
aplicaciones ofrece una garanta razonable que sus
datos son correctos, completos y vlidos de acuer-
do con las especificaciones y requerimientos para
los cuales fueron originados. Por lo anterior la
Norma 4.3 referida a continuacin se considera
cumplida en lo que compete a los sistemas anali-
zados.

Norma 3.2 Implementacin de software
Respecto de esta Norma, de alcance particu-
larmente amplio, la evaluacin realizada en punto
a sus incisos b, c y d, permiti comprobar que la
UTI realiza esfuerzos importantes y sostenidos
que han propiciado su cumplimiento.
Puntualmente esas acciones realizadas por la
UTI mantienen, tal como lo establece el inciso b.
de la Norma, una Metodologa para el Desarrollo
de Proyectos de Tecnologas de Informacin y
Comunicaciones, actualizada, que comprende
mtodos y procedimientos que abonan en la cali-
dad del desarrollo de sistemas.
Consta en las pruebas realizadas por esta Au-
ditora Interna que los funcionarios a cargo del
desarrollo y mantenimiento de sistemas no tienen
asignados permisos especficos en el ambiente o
base de datos de produccin; situacin que es
congruente con lo sealado en el inciso c. de la
Norma 3.2, lo cual adems tiene un valor agrega-
do cual es el de contribuir a la integridad en esa
base de datos de produccin, pues garantiza de
manera razonable que los datos de produccin no
podrn ser modificados mediante accesos no auto-
rizados por parte del personal antes mencionado.
Asimismo, es importante acotar en cuanto al
inciso d. de la misma Norma 3.2, que efectiva-
mente en la UTI se mantienen separados los am-
bientes de desarrollo y produccin como, ya se
indicara, lo que tambin permite a esta Unidad
tener un control efectivo sobre los sistemas que
son desarrollados y posteriormente emigrados al
ambiente de produccin.

Informe I-AIG-03-11
5
3 CONCLUSIN
Con un enfoque orientado a fortalecer el
cumplimiento de las Normas tcnicas para la ges-
tin y el control de las Tecnologas de Informa-
cin, se giraron un total de trece recomendaciones
a diferentes dependencias administrativas de la
entidad, cuya respuesta a las acciones de mejora-
miento promovidas se caracteriz por su positiva
apertura y disposicin as como por acciones im-
plementadas o compromisos asumidos a ese fin,
en aras de una estructura de control interno robus-
ta, garante de que la informacin procesada y
mantenida por los sistemas automatizados y su
administracin ofrecen una garanta razonable de
que la misma responde a principios de efectivi-
dad, eficiencia, integridad y confiabilidad, entre
otros. Lo anterior, deviene en aspectos claves en
el escalamiento por la Administracin Activa de
un nivel de madurez cada vez mayor en cuanto al
control y a la administracin de los recursos de TI,
lo cual corresponde con el valor agregado motivo
de la gestin de la Auditora Interna.

Es de especial relevancia manifestar que en
este Informe Final especficamente no se
formulan nuevas recomendaciones, por lo tanto,
su trmite no est sujeto a lo dispuesto en el
artculo 36 o 37 de la Ley General de Control
Interno. S se somete a lo dispuesto en los
artculos 35 de esta Ley, 40 y 41 del Reglamento
de Organizacin y Funcionamiento de la
Auditora Interna y la Norma 205 del Manual de
Normas Generales de Auditora para el Sector
Pblico, en razn de lo cual media la conferencia
final con esa Jefatura de previo a su remisin
oficial.

4 OBSERVACIONES DE LA
ADMINISTRACIN
De conformidad con los artculos 40 y 41 del
Reglamento de Organizacin y Funcionamiento
de la Auditora Interna, el borrador del presente
Informe No. I-AIG-03-11 fue remitido
8
al Lic.
Miguel Aguilar Zamora, Jefe de la UTI previo a la
conferencia final, con la finalidad de propiciar una
mayor comprensin y anlisis de su contenido y
brindarle un debido soporte a los comentarios a
realizar. Dicha reunin se realiz el 13 de mayo
del ao en curso, sin que se presentaran observa-
ciones escritas

8
Mediante oficio No. AIG-025 del 10/05/11.
INFORME I-AIG-03-11
i
Contenido

1 INTRODUCCIN ..................................................................................................................... 1
1.1 ORIGEN DEL ESTUDIO ................................................................................................ 1
1.2 OBJETIVO ...................................................................................................................... 1
1.3 ALCANCE DEL ESTUDIO ............................................................................................ 1
1.4 VALOR AGREGADO DE LA GESTIN DE LA AUDITORA INTERNA ............................... 2
1.5 SITUACIN AFRONTADA EN LA REALIZACIN DEL ESTUDIO
INHERENTE A CAMBIOS INTERNOS DE LA AUDITORA INTERNA ................... 3

2 RESULTADOS .......................................................................................................................... 4
2.1 PRIMER INFORME, NO. I-AIG-02-09 RELATIVO A LA PUESTA EN
PRODUCCIN DE LOS SISTEMAS DE INFORMACIN .......................................... 4
2.2 SEGUNDO INFORME, NO. I-AIG-02-10 RELATIVO A LOS ACTIVOS QUE
PERMANECEN ASIGNADOS A FUNCIONARIOS QUE HAN DEJADO DE
LABORAR PARA LA INSTITUCIN ........................................................................... 6
2.3 TERCER INFORME, NO. I-AIG-03-10 SOBRE EL PAGO INCORRECTO DE
ANUALIDADES A DOS FUNCIONARIAS .................................................................. 8
2.4 CUARTO INFORME, NO. I-AIG-01-11 RELATIVO A LA IMPLANTACIN
EFECTIVA DE ESTNDARES Y PROCESOS QUE PERMITAN RUTINAS
DE ADMINISTRACION DE LA CALIDAD .................................................................. 9
2.5 OTRAS NORMAS EVALUADAS DURANTE EL ESTUDIO. ................................... 11

3 CONCLUSIN ........................................................................................................................ 15

4 OBSERVACIONES DE LA ADMINISTRACIN .............................................................. 16




INFORME I-AIG-03-11
1
1 INTRODUCCIN

1.1 ORIGEN DEL ESTUDIO
El estudio se realiz de acuerdo con el Plan General de Auditora de esta
Auditora Interna y es un producto de su Proceso de Auditora, constituyendo
este documento el informe final.

1.2 OBJETIVO
Evaluar el cumplimiento de Normas tcnicas para la gestin y el control de las
Tecnologas de Informacin
1
vigentes emitidas por el rgano Contralor.
Su desarrollo se efectu de forma concomitante al objetivo dirigido a evaluar si
las aplicaciones desarrolladas por la UTI se disean con inclusin de controles
que garanticen la exactitud, integridad, oportunidad y autorizacin de entradas,
procesamiento y salidas, puesto que dicha normativa le es inherente.

1.3 ALCANCE DEL ESTUDIO
El anlisis se llev a cabo sobre el cumplimiento de las Normas tcnicas para la
gestin y el control de las Tecnologas de Informacin, comprendidas en las
evaluaciones que realiz esta Auditora Interna en relacin con:
La creacin de sistemas en un ambiente controlado de desarrollo y el
correspondiente pase de los mismos al ambiente de produccin una vez
terminado su desarrollo.
Los controles implementados en el Sistema de Activos Fijos.
Las rutinas para controlar y pagar el monto por concepto de anualidades
en el Sistema de Pago de Salarios.
La implantacin efectiva de estndares y procesos que permitan rutinas de
administracin de la calidad en el desarrollo de sistemas.

1
Publicado en la Gaceta No. 119 del 21/06/07.
INFORME I-AIG-03-11
2
La integridad de la informacin contenida en las bases de datos de los
sistemas en produccin relativos a Vacaciones, Suministros, Presupuesto
Interno y Control de Asistencia.
Los procedimientos y controles de acceso establecidos para validar la
entrada a los sistemas en produccin solo por personal autorizado.
La separacin de los ambientes de desarrollo y produccin as como los
privilegios y accesos controlados del personal de la UTI cuyas
responsabilidades conllevan el desarrollo de sistemas.
El establecimiento de las rutinas y requerimientos de control definidos e
implementados en los sistemas para garantizar el ingreso slo de datos
completos y correctos.

Lo anterior en cumplimiento a su Norma 5.3 Participacin de la Auditora
Interna que al efecto indica:
La actividad de la Auditora Interna respecto de la gestin de las
TI debe orientarse a coadyuvar, de conformidad con sus
competencias, a que el control interno en TI de la organizacin
proporcione una garanta razonable del cumplimiento de los
objetivos en esa materia.

El perodo objeto de revisin abarc el perodo comprendido de los aos 2008
al 2010, amplindose cuando se estim pertinente.
El estudio se efectu de acuerdo con las Normas Internacionales para el
Ejercicio Profesional de la Auditora Interna, el Manual de Normas Generales
de Auditora para el Sector Pblico y el Manual de Normas para el Ejercicio de
la Auditora Interna en el Sector Pblico.

1.4 VALOR AGREGADO DE LA GESTIN DE LA AUDITORA INTERNA
Coadyuvar a que la administracin y control de las tecnologas de informacin
logren un modelo de madurez escalable cuyo impulso propicie que las
herramientas y soluciones automatizadas se conviertan en pilar fundamental del
quehacer institucional, cumpliendo de manera permanente con criterios de
informacin fundamentales como lo son la efectividad, eficiencia,
confidencialidad, integridad, disponibilidad y confiabilidad.
INFORME I-AIG-03-11
3
1.5 SITUACIN AFRONTADA EN LA REALIZACIN DEL ESTUDIO
INHERENTE A CAMBIOS INTERNOS DE LA AUDITORA INTERNA
La Auditora Interna ha estado abocada a pasar de un ambiente manual a uno
automatizado en los procesos relativos a sus servicios de auditora, de manera
que el anlisis, desarrollo e implantacin de formas de trabajo que respondan a
sus calidades de operacin demand, tanto a lo interno de la Auditora como
por la gestin con otras instancias internas y externas a la entidad, una intensa y
recurrente labor, concomitante a la ejecutoria de tales servicios, en especial por
parte del personal calificado en tecnologas de informacin a cargo del presente
estudio. Es as como en este particular estudio la situacin en comentario
gener una extensin en el tiempo para cubrir las respectivas actividades, en
razn de lo cual se estima procedente brindar dicha explicacin.


INFORME I-AIG-03-11
4
2 RESULTADOS

2.1 PRIMER INFORME, No. I-AIG-02-09 RELATIVO A LA PUESTA EN
PRODUCCIN DE LOS SISTEMAS DE INFORMACIN
El primer informe dirigido
2
a la Unidad de Tecnologa e informacin (UTI)
aborda el tema relativo al pase de sistemas del ambiente de desarrollo al de
produccin, actividad que reviste vital importancia por cuanto el mantener estos
ambientes independientes tiene como propsito fundamental separar la
informacin utilizada para el desarrollo, de la transaccional o de produccin
diaria, en salvaguarda de su integridad; lo cual permite realizar modificaciones
en los sistemas sin que se afecten los datos o sistemas de uso cotidiano en la
Institucin.
Como resultado del estudio se determinaron, en punto a las actividades del pase
del ambiente de desarrollo a produccin, una serie de condiciones que no
respondan a lo estipulado en las Polticas para el uso del servidor de
desarrollo y traslado de objetos al servidor de produccin, impactaban de
manera negativa los controles destinados a asegurar el debido traslado de
sistemas a produccin y, a su vez, constituan evidencia que uno de los procesos
significativos el ciclo de vida del desarrollo de sistemas no estaba sujeto a un
debido control de gestin.
Sobre el particular fueron giradas por esta Auditora, y aceptadas por la
Administracin, las siguientes recomendaciones:
3.1 Llevar a cabo una revisin de las Polticas para el uso del
servidor de desarrollo y traslado de objetos al servidor de
produccin, emitidas en el 2004, con el propsito de establecer si
las mismas son aplicables al entorno bajo el cual actualmente
opera la UTI y responden claramente a lo establecido en los incisos
b. y c. de la Norma 1.4.6, de las Normas tcnicas para la gestin y
el control de las Tecnologas de Informacin y, proceder de as
requerirse, a realizar las modificaciones necesarias en un plazo
perentorio.
3.2 Establecer si de cara al cumplimiento de la Norma 1.4.6,
referida con anterioridad, se precisa de procedimientos que
complementen las Polticas en lo que respecta a la generacin del
respaldo documental pertinente.

2
Remitido al Lic. Miguel Aguilar Zamora, Jefe de la UTI, el 19/10/09.
INFORME I-AIG-03-11
5
3.3 Realizar, por los canales pertinentes, la comunicacin oficial de
las Polticas debidamente aprobadas que con carcter vinculante,
en adelante, debern observar los diferentes actores del proceso
del pase de desarrollo y prueba de sistemas al ambiente de
produccin.
3.4 Establecer los procedimientos pertinentes mediante los cuales
la jefatura de la UTI, o a quien sta designe, realizar las
actividades de supervisin que garanticen el cumplimiento de las
Polticas emitidas y coadyuven a mantener un enfoque de calidad
con miras al mejoramiento continuo.

Las recomendaciones de cita al 15 de marzo del ao en curso no estn an
implementadas. Al respecto, el Lic. Miguel Aguilar Zamora, Jefe de la UTI,
inform que estarn implementadas al 1 de abril del presente ao, segn consta
en su oficio DGA-UTI-0051 del 15 de marzo del ao en curso de la UTI, lo
cual ser objeto de un estudio de seguimiento por esta Auditora prximamente.
Consecuentemente, la Norma 1.4.6 de las Normas para la gestin y el control
de las TI, abajo transcrita, objeto de evaluacin como parte del estudio, se
califica como parcialmente cumplida.
1.4.6 Seguridad en la implementacin y mantenimiento de
software e infraestructura tecnolgica / La organizacin debe
mantener la integridad de los procesos de implementacin y
mantenimiento de software e infraestructura tecnolgica y evitar el
acceso no autorizado, dao o prdida de informacin.
Para ello debe:
a. Definir previamente los requerimientos de seguridad que deben
ser considerados en la implementacin y mantenimiento de
software e infraestructura.
b. Contar con procedimientos claramente definidos para el
mantenimiento y puesta en produccin del software e
infraestructura.
c. Mantener un acceso restringido y los controles necesarios sobre
los ambientes de desarrollo, mantenimiento y produccin.
d. Controlar el acceso a los programas fuente y a los datos de
prueba. (El subrayado no consta en el original).
INFORME I-AIG-03-11
6
En lo que respecta a la Norma 4.2, inciso f, Administracin y operacin de la
plataforma tecnolgica, transcrita en lo de inters seguidamente, su
cumplimiento es satisfactorio puesto que efectivamente se cuenta con un
ambiente de desarrollo y prueba separado del de produccin.
4.2 Administracin y operacin de la plataforma tecnolgica / La
organizacin debe mantener la plataforma tecnolgica en ptimas
condiciones y minimizar su riesgo de fallas. Para ello debe:

f. Mantener separados y controlados los ambientes de desarrollo y
produccin. (El destacado no consta en el original.)

2.2 SEGUNDO INFORME, No. I-AIG-02-10 RELATIVO A LOS ACTIVOS
QUE PERMANECEN ASIGNADOS A FUNCIONARIOS QUE HAN
DEJADO DE LABORAR PARA LA INSTITUCIN
El segundo informe remitido a la Unidad de Gestin Administrativa
3
(UGA)
refiere a que el Sistema de Activos Fijos (SAF) report un total de 357 activos
asignados funcionarios que no ostentaban tal condicin pues haban dejado de
laborar para la entidad en el perodo comprendido del 1 de enero del 2008 al
31 de enero del 2010; consecuentemente, la situacin de los activos en cuestin
no se conoca. Sobre el particular seal esta Auditora que la asignacin de un
bien a un funcionario no es slo un acto de registro, sino que es inherente a ello
la ejecucin de la adecuada custodia del mismo, entendida sta como la
obligacin que tiene, en primera instancia, la persona a la que se le asigna, de
cuidarlo, protegerlo y responder por l y, en segunda instancia, la de los
encargados de vigilar su ubicacin y condicin.
Dicha condicin incide de manera negativa en el cumplimiento del Artculo 26
del Reglamento para la Administracin de los Bienes y Derechos de Propiedad
Intelectual de la Contralora General de la Repblica y de la Norma 4.3.2
Custodia de activos, de las Normas de control interno para el Sector Pblico y,
a su vez, impacta en el mismo sentido la administracin de los datos en materia
de activos e incrementa el riesgo de integridad de la informacin registrada en
el SAF, pues no deviene en confiable, oportuna y til, atributos fundamentales
de la calidad de la informacin.

3
Remitido al Ing. Ronald Monge Salazar, Jefe de la Unidad de Gestin Administrativa (UGA) el
19/03/10.
INFORME I-AIG-03-11
7
En razn de lo anterior, la Auditora Interna procedi a girar a la Jefatura de la
UGA las recomendaciones siguientes, que fueron por ella aceptadas y
debidamente implementadas segn consta en el Informe de seguimiento No.
I-AIG-S-7-10 del 02 de setiembre del 2010:
3.1 Determinar, en coordinacin con las Unidades que estime
necesario, la cantidad de activos que segn el Sistema de Activos
Fijos ostentan la condicin de estar asignados a personas que ya
no laboran para esta Contralora General e inspeccionar
fsicamente el estado actual de los mismos.
3.2 Girar las instrucciones a quien corresponda para que mediante
los mecanismos que procedan y con la documentacin pertinente,
ejecute la reasignacin de los activos a los funcionarios que
actualmente son los titulares de los mismos.
3.3 Establecer en coordinacin con las Unidades de Gestin del
Potencial Humano y de Tecnologas de Informacin y cualesquier
otra que estime pertinente, los mecanismos manuales o
automatizados para que en adelante no se presenten situaciones
similares a las abordadas en el presente documento.

Si bien las situaciones disfuncionales abordadas en el informe de cita no son
resorte fundamental de la UTI, el cumplimiento pleno de las recomendaciones
por parte de la UGA, contribuye a lograr el cumplimiento de la Norma 4.3
Administracin de los datos, de las Normas para la gestin y el control de las
TI, evaluada en el estudio, por cuanto con la normalizacin de la situacin de
los activos, la informacin contenida en el SAF ofrece una garanta razonable
respecto de la situacin de los activos propiedad del rgano Contralor. Por
ende, en cuanto al SAF la Norma 4.3 transcrita de seguido se da por cumplida.
4.3 Administracin de los datos / La organizacin debe
asegurarse de que los datos que son procesados mediante TI
corresponden a transacciones vlidas y debidamente autorizadas,
que son procesados en forma completa, exacta y oportuna, y
transmitidos, almacenados y desechados en forma ntegra y
segura. (El subrayado no consta en el original.)



INFORME I-AIG-03-11
8
2.3 TERCER INFORME, No. I-AIG-03-10 SOBRE EL PAGO INCORRECTO DE
ANUALIDADES A DOS FUNCIONARIAS
En el tercer informe remitido al Gerencia de la Divisin de Gestin de Apoyo
4
se
refiere puntualmente a la evaluacin de la integridad de los datos sobre el pago de
anualidades en el Sistema de Pagos de Salarios.
Al respecto, se determin que los controles incorporados en las rutinas establecidas
para el pago de anualidades no detectaron el conteo incorrecto de las anualidades
para dos funcionarias y, producto de ello, no reciban el pago que por ese concepto
les corresponde segn los datos que constan en sus respectivos expedientes de
personal, que mantiene la Unidad de Gestin de Potencial Humano.
Con el propsito de promover el cumplimiento de la normativa que aplica al pago de
salarios a saber, el Estatuto Autnomo de Servicios
5
y la Ley de Salarios y Rgimen
de Mritos de la Contralora General de la Repblica No. 3724
6
, corregir las
situaciones salariales de las funcionarias y fortalecer la estructura de control del
sistema de pagos, en lo que compete a la gestin de las anualidades y con ello
propiciar que la informacin contenida en el Sistema de pagos mantenga su
integridad, cumplimiento y confiabilidad esta Auditora Interna gir las
recomendaciones siguientes:
3.1 El anlisis de las anualidades de las servidoras indicadas en el
aparte de Resultados del presente documento y correccin, segn
proceda, de su remuneracin salarial.
3.2 La evaluacin documentada del rubro de anualidades de los
funcionarios que segn la normativa aplicable les corresponde, a efecto
de determinar la existencia de estados similares y proceder a su
correccin segn sea pertinente.
3.3 La determinacin de las razones que originaron el conteo indebido de
anualidades para establecer los controles necesarios que garanticen, de
manera razonable, que situaciones como la abordada en el presente
informe no se repitan a futuro.



4
Remitido al Gerente de la Divisin de Gestin de Apoyo, Lic. Manuel Martnez Sequeira el 18/05/10
5
Publicado en la Gaceta No. 94 del 17/05/96.
6
Publicada en La Gaceta No. 180 del 2/08/66 y actualizada el 20/03/02.
INFORME I-AIG-03-11
9
En este caso particular fue necesaria la toma de acciones por parte de tres
dependencias de la Institucin Unidad de Gestin de Potencial Humano, Unidad de
Tecnologas de Informacin, Unidad de Administracin Financiera, integrantes de la
Divisin de Gestin de Apoyo la cual se llev a cabo de manera coordinada y pronta
dando lugar a un cumplimiento efectivo de las recomendaciones, constatado por esta
Auditora Interna al 18 de mayo del 2010 y comunicado mediante el informe
I-AIG-S-06-10. Por lo tanto, en cuanto a la rutina de pago de anualidades del Sistema
de Pagos, la Norma 4.3, Administracin de los datos, de las Normas tcnicas para la
gestin y el control de las TI, evaluada en el estudio y transcrita en el punto
inmediato anterior, se califica como cumplida a satisfaccin.

2.4 CUARTO INFORME, No. I-AIG-01-11 RELATIVO A LA IMPLANTACIN
EFECTIVA DE ESTNDARES Y PROCESOS QUE PERMITAN RUTINAS
DE ADMINISTRACION DE LA CALIDAD
Con el cuarto informe
7
se abord el tema de la definicin e implantacin efectiva de
estndares y procesos que permitan rutinas de administracin de la calidad durante el
desarrollo de sistemas.
El estudio en particular permiti determinar que la UTI como producto de las
acciones acometidas para el cumplimiento de las Normas tcnicas emitidas por esta
Contralora General en materia de TI y, en particular, para la gestin y aseguramiento
de la calidad durante el desarrollo y evolucin de las soluciones tecnolgicas,
formul el documento denominado Marco General para la Gestin de la Calidad en
TIC, segn consta en el informe intitulado Normas Tcnicas en Tecnologas de
Informacin y Comunicaciones, Informe final, Versin 1.0.0. Expresamente
consigna ese Marco que:
2.2.1. Generalidades /Para que el sistema opere consistentemente, se
mantenga y pueda mejorarse, se deben establecer, documentar e
implantar, documentos que incluyen:
a. Las declaraciones documentadas de una Poltica y objetivos de la
calidad,
b. El presente Marco de Gestin de la Calidad,
c. Los documentos y procedimientos requeridos por la organizacin para
asegurar la planificacin, operacin y control efectivo de las actividades

7
Remitido al Jefe de la Unidad de Tecnologas de Informacin, Lic. Miguel Aguilar Zamora, el
23/03/11.
INFORME I-AIG-03-11
10
propias del proceso de Gestin de tecnologas de informacin y
comunicacin (El subrayado no consta en el original).

No obstante lo anterior, ese Marco General no ha sido debidamente implementado y
tampoco, los procedimientos o rutinas de registro formales que deben acompaar ese
tipo de normativa para asentar de manera razonable su cumplimiento y propiciar su
mejoramiento continuo durante el desarrollo de sistemas; aunado a ello, no se
determin su promulgacin oficial, ni la fecha a partir de la cual rige.
Con el objetivo de regular la situacin sobre la normativa y los procedimientos de
control de calidad; al efecto de coadyuvar en la mejora continua del proceso de
desarrollo de sistemas y teniendo como valor agregado promover la definicin e
implantacin efectiva de estndares y procesos que permitan rutinas de
administracin de la calidad, esta Auditora recomend a esa Jefatura lo siguiente:
3.1 Efectuar las diligencias que correspondan, segn sus competencias,
para la promulgacin oficial y vinculante de un marco de gestin de la
calidad de TIC el cual proveer una plataforma bsica para dotar de un
enfoque institucional, estndar y formal de esa gestin y coadyuvar a la
evolucin progresiva del mismo.
3.2 Definir formalmente los procedimientos por medio de los cuales se
propiciar la ejecucin del marco de gestin de la calidad de TIC
incluyendo las pistas documentales pertinentes que se debern generar
ya sea de tipo electrnico o manual.
3.3 Establecer los responsables que, en adelante, debern monitorear los
procedimientos, y realizar la optimizacin permanente del sistema de
gestin de calidad en los diferentes proyectos de desarrollo.

Cabe sealar que las recomendaciones de cita fueron aceptadas por la UTI y su
implementacin programada, lo cual se comunic oficialmente a esta Auditora
mediante el oficio No. DGA-UTI-0076 del 6 de abril de 2011. En consecuencia, la
Norma 1.2 Gestin de la calidad del as Normas tcnicas ya citadas, de obligada
consideracin en el presente estudio, indicativa de que La organizacin debe
generar los productos y servicios de TI de conformidad con los requerimientos de sus
usuarios con base en un enfoque de eficiencia y mejoramiento continuo., se califica
en proceso de cumplimiento hasta tanto sean evaluadas por esta Auditora las
acciones que efectivamente implemente la UTI con motivo de las recomendaciones a
ella formuladas.

INFORME I-AIG-03-11
11
2.5 OTRAS NORMAS EVALUADAS DURANTE EL ESTUDIO.
Como resultado del estudio se debe sealar que tambin fueron evaluadas otras
Normas a efecto de determinar su implementacin, segn se detalla de seguido.
Norma 1.4.5 Control de acceso
Sobre este particular se debe acotar que durante la revisin ejecutada sobre el
esquema de seguridad definido por la UTI para las aplicaciones desarrolladas
con Oracle Application Express (APEX) a partir del ao 2008, se constat que
el esquema empleado consta de una funcin de tipo lgica que se calcula
dependiendo del usuario que est intentando accesar el sistema. Este esquema
utilizado para otorgar roles y privilegios a usuarios fue evaluado por esta
Auditora Interna y se determin que el mismo brinda una seguridad razonable
por lo que la Norma 1.4.5 Control de acceso, abajo transcrita, se considera
cumplida con respecta a la proteccin de la confidencialidad, integridad y
disponibilidad de la informacin, contra uso, divulgacin o modificaciones no
autorizadas.
1.4.5 Control de acceso / La organizacin debe proteger la
informacin de accesos no autorizados.
Para dicho propsito debe:
a. Establecer un conjunto de polticas, reglas y procedimientos
relacionados con el acceso a la informacin, al software de base y
de aplicacin, a las bases de datos y a las terminales y otros
recursos de comunicacin.
b. Clasificar los recursos de TI en forma explcita, formal y
uniforme de acuerdo con trminos de sensibilidad.
c. Definir la propiedad, custodia y responsabilidad sobre los
recursos de TI.
d. Establecer procedimientos para la definicin de perfiles, roles y
niveles de privilegio, y para la identificacin y autenticacin para
el acceso a la informacin, tanto para usuarios como para recursos
de TI.
e. Asignar los derechos de acceso a los usuarios de los recursos de
TI, de conformidad con las polticas de la organizacin bajo el
principio de necesidad de saber o menor privilegio. Los
propietarios de la informacin son responsables de definir quines
tienen acceso a la informacin y con qu limitaciones o
restricciones.
f. Implementar el uso y control de medios de autenticacin
(identificacin de usuario, contraseas y otros medios) que
INFORME I-AIG-03-11
12
permitan identificar y responsabilizar a quienes utilizan los
recursos de TI. Ello debe acompaarse de un procedimiento que
contemple la requisicin, aprobacin, establecimiento, suspensin y
desactivacin de tales medios de autenticacin, as como para su
revisin y actualizacin peridica y atencin de usos irregulares.
i. Establecer controles de acceso a la informacin impresa, visible
en pantallas o almacenada en medios fsicos y proteger
adecuadamente dichos medios.
j. Establecer los mecanismos necesarios (pistas de auditora) que
permitan un adecuado y peridico seguimiento al acceso a las TI.
k. Manejar de manera restringida y controlada la informacin
sobre la seguridad de las TI.

Norma 4.3 Administracin de los datos
Con motivo de la evaluacin de la integridad de los datos de los sistemas de
Vacaciones, Suministros, Presupuesto Interno y Control de Asistencia
contenidos en sus respectivas base de datos, se determin que la informacin
derivada de tales aplicaciones ofrece una garanta razonable que sus datos son
correctos, completos y vlidos de acuerdo con las especificaciones y
requerimientos para los cuales fueron originados. Por lo anterior la Norma 4.3
referida a continuacin se considera cumplida en lo que compete a los sistemas
analizados.
4.3 Administracin de los datos / La organizacin debe
asegurarse de que los datos que son procesados mediante TI
corresponden a transacciones vlidas y debidamente autorizadas,
que son procesados en forma completa, exacta y oportuna, y
transmitidos, almacenados y desechados en forma ntegra y
segura.

Norma 3.2 Implementacin de software, en sus incisos b, c, y d
Respecto de esta norma, de alcance particularmente amplio, la evaluacin
realizada en punto a sus incisos b, c y d, abajo transcritos, permiti comprobar
que la UTI realiza esfuerzos importantes y sostenidos que han propiciado su
cumplimiento.
3.2 I mplementacin de software / La organizacin debe
implementar el software que satisfaga los requerimientos de sus
usuarios y soporte efectivamente sus procesos, para lo cual debe:
INFORME I-AIG-03-11
13

b. Desarrollar y aplicar un marco metodolgico que gue los
procesos de implementacin y considere la definicin de
requerimientos, los estudios de factibilidad, la elaboracin de
diseos, la programacin y pruebas, el desarrollo de la
documentacin, la conversin de datos y la puesta en produccin,
as como tambin la evaluacin post-implantacin de la
satisfaccin de los requerimientos.
c. Establecer los controles y asignar las funciones,
responsabilidades y permisos de acceso al personal a cargo de las
labores de implementacin y mantenimiento de software.
d. Controlar la implementacin del software en el ambiente de
produccin y garantizar la integridad de datos y programas en los
procesos de conversin y migracin.

Puntualmente esas acciones realizadas por la UTI mantienen una Metodologa
para el Desarrollo de Proyectos de Tecnologas de Informacin y
Comunicaciones actualizada que comprende mtodos y procedimientos que
abonan en la calidad del desarrollo de sistemas. Sobre este particular conviene
traer a colacin que esta Auditora Interna corrobor en dieciocho expedientes
de los sistemas evaluados, la recopilacin de los requerimientos funcionales
establecidos por los usuarios tal como lo dispone la Metodologa citada supra,
respecto de que:
Los requerimientos funcionales son las indicaciones de servicio que
el sistema debe proveer en cuanto a actualizacin de datos, opciones de
consulta, reportes a generar, interaccin con otros sistemas
8


Esos requerimientos deben ser: correctos, factibles, necesarios, claros y
verificables, a efecto de permitir un aseguramiento de la calidad
razonable en el software desarrollado localmente.



8
Anexo 4. apartado 1.1.1 Especificacin de requerimientos, inciso a) Requerimientos funcionales.
INFORME I-AIG-03-11
14
Por otra parte, consta en las pruebas realizadas por esta esta Auditora Interna
que los funcionarios a cargo del desarrollo y mantenimiento de sistemas tienen
asignados permisos especficos para crear, modificar, borrar y alterar entidades
nicamente en la base de datos de desarrollo y prueba, no as en el ambiente o
base de datos de produccin; situacin que es congruente con lo sealado en el
inciso c. citado con anterioridad, lo cual adems tiene un valor agregado cual es
el de contribuir a la integridad en esa base de datos de produccin, pues
garantiza de manera razonable que los datos de produccin no podrn ser
modificados mediante accesos no autorizados por parte del personal antes
mencionado.
Asimismo, es importante acotar en cuanto al inciso d. que efectivamente en la
UTI se mantienen separados los ambiente de desarrollo y produccin como, ya
se indicara, lo que tambin permite a esta Unidad tener un control efectivo
sobre los sistemas que son desarrollados y posteriormente emigrados al
ambiente de produccin.



INFORME I-AIG-03-11
15
3 CONCLUSIN
Con un enfoque orientado a fortalecer el cumplimiento de las Normas tcnicas para la
gestin y el control de las Tecnologas de Informacin, se giraron un total de trece
recomendaciones a diferentes dependencias administrativas de la entidad, cuya
respuesta a las acciones de mejoramiento promovidas se caracteriz por su positiva
apertura y disposicin as como por acciones implementadas o compromisos
asumidos a ese fin, en aras de una estructura de control interno robusta, garante de
que la informacin procesada y mantenida por los sistemas automatizados y su
administracin ofrecen una garanta razonable de que la misma responde a principios
de efectividad, eficiencia, integridad y confiabilidad, entre otros. Lo anterior, deviene
en aspectos claves en el escalamiento por la Administracin Activa de un nivel de
madurez cada vez mayor en cuanto al control y a la administracin de los recursos de
TI, lo cual corresponde con el valor agregado motivo de la gestin de la Auditora
Interna.
Es de especial relevancia manifestar que en este Informe Final especficamente no se
formulan nuevas recomendaciones, por lo tanto, su trmite no est sujeto a lo dis-
puesto en el artculo 36 o 37 de la Ley General de Control Interno. S se somete a lo
dispuesto en los artculos 35 de esta Ley, 40 y 41 del Reglamento de Organizacin
y Funcionamiento de la Auditora Interna y la Norma 205 del Manual de Normas
Generales de Auditora para el Sector Pblico, en razn de lo cual media la confe-
rencia final con esa Jefatura de previo a su remisin oficial.
INFORME I-AIG-03-11
16
4 OBSERVACIONES DE LA ADMINISTRACIN
De conformidad con los artculos 40 y 41 del Reglamento de Organizacin y Funcio-
namiento de la Auditora Interna, el borrador de este Informe fue remitido
9
al Lic.
Miguel Aguilar Zamora, Jefe de la UTI previo a la conferencia final, con la finalidad
de propiciar una mayor comprensin y anlisis de su contenido y brindarle un debido
soporte a los comentarios a realizar. Dicha reunin se realiz el 13 de mayo del ao
en curso con el Lic. Aguilar Zamora y los siguientes Licenciados Javier Brenes
Arrieta, Jorge Garnier Rovira, Johnny Umaa Alfaro y Jorge Len Rodrguez, Fisca-
lizadores de esa Unidad. En la citada reunin se discutieron ampliamente los asuntos
expuestos en este informe, sin que se presentaran observaciones escritas.

9
Mediante oficio No. AIG-025 del 10/05/11.