CONSEJO NACIONAL DE RECTORES AUDITORÍA … · 9 de 21 2.5 Matriz de hallazgos Como resultadode la verificación del cumplimiento de las ormas NTécnicas para la estiónG y Control

CONSEJO NACIONAL DE RECTORES AUDITORÍA INTERNA

Informe de Auditoría Interna

INF-001-2008

Unidad de Cómputo:

“Evaluación del cumplimiento de las Normas Técnicas para la Gestión y el Control de las Tecnologías de Información”

Abril, 2008

CONTENIDO

I. DESCRIPCIÓN DEL ESTUDIO REALIZADO - METODOLÓGICA .......................... 4

II. RESUMEN DE HALLAZGOS .............................................................................................. 10

III. DESCRIPCIÓN DE LOS HALLAZGOS .......................................................................... 11

IV. CONCLUSIÓN ...................................................................................................................... 18

V. ANEXOS ................................................................................................................................. 19

VI. SEGUIMIENTO Y PLAN DE IMPLEMENTACIÓN ....................................................... 21

Unidad de Computo Informe de Auditoría Interna INF-001-2008

3 de 21

I. DESCRIPCIÓN DEL ESTUDIO REALIZADO - METODOLÓGICA .......................... 4

1. INTRODUCCIÓN .............................................................................................................. 4

1.1 ORIGEN ............................................................................................................................. 4

1.2 OBJETIVO GENERAL ..................................................................................................... 4

1.3 OBJETIVOS ESPECÍFICOS ............................................................................................. 4

1.4 ALCANCE Y NATURALEZA ......................................................................................... 5

1.5 RESPONSABILIDAD DE LA ADMINISTRACIÓN ...................................................... 5

1.6 REGULACIONES DE LA LEY GENERAL DE CONTROL INTERNO N# 8292 ........ 6

2. PROCEDIMIENTOS APLICADOS .................................................................................... 8

2.1 ENTREVISTAS ................................................................................................................. 8

2.2 REVISIÓN DE DOCUMENTOS ...................................................................................... 8

2.3 MATRIZ DE CUMPLIMIENTO ....................................................................................... 8

2.4 MATRIZ DE SEGUIMIENTO .......................................................................................... 8

2.5 MATRIZ DE HALLAZGOS ............................................................................................. 9

2.6 OBSERVACIONES DE EVIDENCIA IN SITU ............................................................... 9


4 de 21

I. Descripción del estudio realizado - Metodológica 1. INTRODUCCIÓN

1.1 Origen

El presente estudio se encuentra fundamentado en el cumplimiento del Plan de Trabajo de la

Auditoría Interna del CONARE, bajo el propósito de cumplimiento de la Ley Orgánica de la

Contraloría General de la República 7428, y de la Ley General de Control Interno N 8292.

Rigiéndonos por estos lineamientos hemos clasificado esta auditoría dentro de los atributos de

servicios de auditoría de carácter especial. Las actividades realizadas han sido ejercidas con total

independencia funcional y de criterio, respecto al jerarca y de los demás órganos de la

administración activa.

1.2 Objetivo General

La presente auditoría pretende obtener información y conocimiento del nivel de cumplimiento del

proceso realizado por la Unidad de Cómputo del CONARE para la implementación de las

Normas Técnicas para la Gestión y el Control de Tecnologías de Información N-2-2007-CO-

DFOE, aprobadas mediante resolución de la Contraloría General de República, Nº R-CO-26-

2007 del 7 de junio del 2007.

1.3 Objetivos Específicos

1) Medir el grado de implementación de las Normas Técnicas para la gestión y el control de

las tecnologías de información dentro del CONARE.

2) Dar seguimiento a las recomendaciones indicadas en el informe emitido por AUDISEG

en el mes de Mayo del 2007 y en el informe emitido por Deloitte en el mes de diciembre del

2007.


5 de 21

1.4 Alcance y Naturaleza

Por medio de la investigación inicial se estableció que el estudio será enfocado al análisis de la

implementación y valoración del avance de las Normas Técnicas para la Gestión y el Control de

las Tecnologías de Información de la Unidad de Cómputo del CONARE. Para la obtención de la

información desarrollamos nuestro trabajo de campo con la colaboración de la Unidad de

Cómputo, la Sección Administrativa y la Asesoría Legal de Auditoría Interna. Nuestro estudio

comprendió un período de nueve meses, partiendo de la fecha en que la normativa fue aprobada

(Junio del 2007).

1.5 Responsabilidad de la Administración

Las Tecnologías de Información (en adelante TI) constituyen uno de los elementos de mayor

importancia dentro de la gestión administrativa y operativa del CONARE. Mediante las

actividades cotidianas de TI es que la Institución maneja toda la información de sus transacciones

contables, operativas y administrativas.

La Contraloría General de la República emitió las Normas Técnicas para la gestión y el control

de las Tecnologías de Información, el cual entró en vigencia desde su publicación en la Gaceta

del día 7 de junio del año 2007, las cuales son de acatamiento obligatorio para la Contraloría

General de República y las instituciones y órganos sujetos a su fiscalización, razón por la cual, el

jerarca y demás titulares subordinados, como responsables de las gestiones de control, deberán

establecer, mantener, evaluar y perfeccionar la gestión institucional de las normas de TI, bajo la

luz de lo establecido en la Ley General de Control Interno Nº 8292.

La administración debe asegurar el logro de los objetivos propuestos como parte de la gestión de

TI, para lo cual debe establecer un marco de referencia y un proceso de seguimiento en los que

defina el alcance, la metodología y los mecanismos para vigilar la gestión de TI. Asimismo, debe

determinar las responsabilidades del personal a cargo de dicho proceso.

Esta normativa es de acatamiento obligatorio para la Contraloría General de la República y las

instituciones y órganos sujetos a su fiscalización, y su inobservancia generará las

responsabilidades que correspondan de conformidad con el marco jurídico que resulte aplicable.


6 de 21

1.6 Regulaciones de la Ley General de Control Interno N# 8292

En el entendido de poder aclarar y divulgar de manera más clara los aspectos vinculantes de la

normativa de TI con la ley, haremos mención de que el artículo 3 de la Ley General de Control

Interno Nº8292 del 31de julio de 2002, refuerza las facultades de la Contraloría General de la

República para emitir la normativa técnica necesaria para el funcionamiento efectivo del sistema

de control interno de los entes y órganos sujetos a esa ley.

“Artículo 3º—Facultad de promulgar normativa técnica sobre control interno. La Contraloría General de la República dictará la normativa técnica de control interno, necesaria para el funcionamiento efectivo del sistema de control interno de los entes y de los órganos sujetos a esta Ley. Dicha normativa será de acatamiento obligatorio y su incumplimiento será causal de responsabilidad administrativa.

La normativa sobre control interno que otras instituciones emitan en el ejercicio de competencias de control o fiscalización legalmente atribuidas, no deberá contraponerse a la dictada por la Contraloría General de la República y, en caso de duda, prevalecerá la del órgano contralor.”

1.6.1 Los informes de auditoría Artículo 36. —Informes dirigidos a los titulares subordinados. Cuando los informes de auditoría contengan recomendaciones dirigidas a los titulares subordinados, se procederá de la siguiente manera: a) El titular subordinado, en un plazo improrrogable de diez días hábiles contados a partir

de la fecha de recibido el informe, ordenará la implantación de las recomendaciones. Si discrepa de ellas, en el transcurso de dicho plazo elevará el informe de auditoría al jerarca, con copia a la auditoría interna, expondrá por escrito las razones por las cuales objeta las recomendaciones del informe y propondrá soluciones alternas para los hallazgos detectados.

b) Con vista de lo anterior, el jerarca deberá resolver, en el plazo de veinte días hábiles

contados a partir de la fecha de recibo de la documentación remitida por el titular subordinado; además, deberá ordenar la implantación de recomendaciones de la auditoría interna, las soluciones alternas propuestas por el titular subordinado o las de su propia iniciativa, debidamente fundamentadas. Dentro de los primeros diez días de ese lapso, el auditor interno podrá apersonarse, de oficio, ante el jerarca, para pronunciarse sobre las objeciones o soluciones alternas propuestas. Las soluciones que el jerarca ordene implantar y que sean distintas de las propuestas por la auditoría interna, estarán sujetas, en lo conducente, a lo dispuesto en los artículos siguientes.

c) El acto en firme será dado a conocer a la auditoría interna y al titular subordinado

correspondiente, para el trámite que proceda.


7 de 21

Artículo 37. —Informes dirigidos al jerarca. Cuando el informe de auditoría esté dirigido al jerarca, este deberá ordenar al titular subordinado que corresponda, en un plazo improrrogable de treinta días hábiles contados a partir de la fecha de recibido el informe, la implantación de las recomendaciones. Si discrepa de tales recomendaciones, dentro del plazo indicado deberá ordenar las soluciones alternas que motivadamente disponga; todo ello tendrá que comunicarlo debidamente a la auditoría interna y al titular subordinado correspondiente. Artículo 38. —Planteamiento de conflictos ante la Contraloría General de la República. Firme la resolución del jerarca que ordene soluciones distintas de las recomendadas por la auditoría interna, esta tendrá un plazo de quince días hábiles, contados a partir de su comunicación, para exponerle por escrito los motivos de su inconformidad con lo resuelto y para indicarle que el asunto en conflicto debe remitirse a la Contraloría General de la República, dentro de los ocho días hábiles siguientes, salvo que el jerarca se allane a las razones de inconformidad indicadas. La Contraloría General de la República dirimirá el conflicto en última instancia, a solicitud del jerarca, de la auditoría interna o de ambos, en un plazo de treinta días hábiles, una vez completado el expediente que se formará al efecto. El hecho de no ejecutar injustificadamente lo resuelto en firme por el órgano contralor, dará lugar a la aplicación de las sanciones previstas en el capítulo V de la Ley Orgánica de la Contraloría General de la República, N° 7428, de 7 de septiembre de 1994.

1.6.2 Causales de Responsabilidad Administrativa

Artículo 39. — Causales de responsabilidad administrativa. El jerarca y los titulares subordinados incurrirán en responsabilidad administrativa y civil, cuando corresponda, si incumplen injustificadamente los deberes asignados en esta Ley, sin perjuicio de otras causales previstas en el régimen aplicable a la respectiva relación de servicios. […] Igualmente, cabrá responsabilidad administrativa contra los funcionarios públicos que injustificadamente incumplan los deberes y las funciones que en materia de control interno les asigne el jerarca o el titular subordinado, incluso las acciones para instaurar las recomendaciones emitidas por la auditoría interna, sin perjuicio de las responsabilidades que les puedan ser imputadas civil y penalmente.


8 de 21

2. PROCEDIMIENTOS APLICADOS

2.1 Entrevistas

Se realizaron entrevistas a los funcionarios de la Unidad de Cómputo, con el fin de obtener

información de la estructura organizativa del área, los procedimientos ejecutados, la existencia de

procedimientos escritos y el desarrollo de las actividades para la implementación de la normativa

de TI.

2.2 Revisión de documentos

Para la investigación inicial del presente estudio se revisaron varios documentos de la normativa

en relación con el tema de TI, además se solicitaron algunos compendios vinculados con el tema,

los cuales fueron analizados con el fin de obtener un panorama más amplio al respecto.

2.3 Matriz de cumplimiento

Se elaboró una matriz donde se muestra el resultado obtenido de la aplicación de la encuesta

titulada “Herramienta 03”, la cual fue aplicada a los cuatro funcionarios de la Unidad de

Cómputo del CONARE. Los resultados obtenidos reflejaron claramente la situación actual con

respecto a la aplicación de la normativa de TI, dichos resultados serán detallados más adelante en

el resumen de los hallazgos. (Ver Anexo 1)

2.4 Matriz de Seguimiento

Se realizó una entrevista al encargado de la Unidad de Cómputo, con el fin de obtener

conocimiento sobre los avances en el cumplimiento de las recomendaciones emitidas en el

informe de AUDISEG y de DELOITTE. La información obtenida de la aplicación de esta

herramienta fue esquematizada por medio de una matriz de seguimiento la cual está contemplada

en nuestras observaciones finales.


9 de 21

2.5 Matriz de hallazgos

Como resultado de la verificación del cumplimiento de las Normas Técnicas para la Gestión y

Control de Tecnologías de Información, se obtuvieron varias observaciones, las cuales se detallan

en una matriz de hallazgos dentro del informe.

2.6 Observaciones de evidencia in situ

Se visitaron las áreas asignadas a la Unidad de Cómputo para obtener evidencia física de los

cambios actuales en relación con tema del espacio físico, seguridad perimetral, accesos a las

áreas de trabajo, separación adecuada de las áreas y riesgos asociados con el ambiente.


10 de 21

II. Resumen de Hallazgos

Núm. Hallazgo Nivel de Riesgo

Alto Medio Bajo

1 Incumplimiento de los tiempos establecidos por la CGR para la implementación de las Normas Técnicas de Información. X

2 Inadecuada gestión en la implementación de las normas de aplicación general establecidas por la CGR. X

3 Inadecuada gestión en la aplicación de las normas de planificación y organización, establecidas por la CGR. X

4 Inadecuada gestión en la aplicación de las normas de implementación tecnológicas. X

5 No hay una adecuada gestión en la aplicación de las normas relacionadas a la prestación de servicios y mantenimiento. X

6 Las recomendaciones indicadas en el informe de AUDISEG en el mes de mayo de 2007 en su mayoría no han sido implementadas. X

7 Falta de una adecuada comunicación entre la administración y la Unidad de Cómputo. No se han implementado las mejoras propuestas por Deloitte.

X


11 de 21

III. Descripción de los Hallazgos

Dependencia Unidad de Cómputo

Proceso Valoración de la aplicación de las normas generales

Hallazgo Nº 1 Incumplimiento de los tiempos establecidos por la CGR para la implementación de las Normas Técnicas de Información.

Objetivo de control Operativo Financiero Cumplimiento Nivel de Riesgo

Alto Medio Bajo

x x

Descripción del Hallazgo En seguimiento de lo establecido por la CGR en la publicación de la normativa N-2-2007-CO-DFOE, la Unidad de Cómputo en el mes de agosto del 2007 presentó un documento el cual describía las etapas de implementación de la normativa de TI en dos etapas: la primera etapa sería de Julio 2007 a Julio 2008 y el segunda etapa en el siguiente año, sin embargo a la fecha de nuestro estudio se observó que no se ha iniciado dicha gestión, por lo que no se ha cumplido con los tiempos establecidos por la Unidad de Cómputo del CONARE para la, implementación y monitoreo de la normativa.

Causas La Unidad de Cómputo no cuenta en la actualidad con los recursos humanos, económicos y demás para llevar a cabo el plan de implementación de la normativa en CONARE. Impacto En la actualidad la Institución se encuentra totalmente desvinculada de las normativas existentes en el sector público en cuanto a tecnologías de información, efecto que trae graves repercusiones sobre los controles administrativos poniendo en riesgo el desempeño de la Institución y el logro de sus objetivos, además, la inobservancia de la normativa podría generar responsabilidades legales a la Institución y sus responsables.

Recomendación o Actividad de Control por Implementar Dotar a la Unidad de Cómputo de los recursos humanos, económicos y tecnológicos necesarios para la implementación, divulgación y monitoreo de la normativa de tecnologías de información. El jerarca deberá implementar un proceso continuo de promulgación y divulgación de las normas de TI en el CONARE y presentar un plan de acción. La administración debe mantener la integridad de los procesos de implementación y mantenimiento de software e infraestructura tecnológica y evitar el acceso no autorizado, daño o pérdida de información.


12 de 21


Proceso Valoración de la aplicación del Capítulo I . Normas Generales de TI

Hallazgo Nº 2 Inadecuada gestión en la implementación de las normas de aplicación general establecidas por la CGR.


Alto Medio Bajo

X X

Descripción del Hallazgo De la verificación del cumplimiento de los trece componentes vinculantes de las normas de Aplicación General, se pudo observar que sólo se ha implementado uno (Control de acceso), quedando cinco componentes en proceso y ocho pendientes de implementar. (Ver Anexo 1)

Causa La administración del CONARE no ha dotado a la Unidad de Cómputo de los recursos humanos, tecnológicos, físicos y económicos necesarios para el desarrollo las actividades establecidas en ésta normativa. Impacto El incumplimiento de las normas de aplicación general amenaza a la Institución en la gestión de valoración el riesgo institucional, la gestión de calidad, de seguridad, de gestión de los proyectos y todo lo relacionado con asuntos estratégicos. La inobservancia de esta norma generará las responsabilidades de conformidad con el marco jurídico que resulte aplicable.

Recomendación o Actividad de Control por Implementar La administración deberá de monitorear el avance del cumplimiento de las Normas Técnicas y dar el soporte que requiere la Unidad de TI, a fin de poder cumplir con lo establecido por la CGR. Realizar una planificación que considere las actividades por ejecutar, los plazos establecidos para cada una, los responsables, los costos estimados, así como cualquier otro requerimiento asociado (tales como infraestructura, personal y recursos técnicos) y quedar debidamente documentada, de conformidad con lo indicado por la CGR.

Dependencia Informe de Auditoría Interna (Ref. informe)

13 de 21


Proceso Verificación de los aspectos de dirección, información, planificación, independencia, recursos humanos y financieros.

Hallazgo Nº 3 Inadecuada gestión ¡en la aplicación ¡de las normas de planificación y organización, establecida por la CGR.


Alto Medio Bajo

X X

Descripción del Hallazgo De la verificación del cumplimiento de los cinco componentes de la normativa referente a las normas de planificación y organización, se observó que sólo se ha implementado un componente, dos están en proceso y dos no se han implementado. (ver Anexo 1)

Causas 1- La Unidad de Cómputo no cuenta con los fondos necesarios para poder implementar las normas técnicas. A pesar de que anualmente hace su presupuesto, éste no ha sido considerado dentro del presupuesto de CONARE. 2- CONARE posee un organigrama que ubica la Unidad de Cómputo en línea directa con la oficina administrativa y bajo el mando de la dirección ejecutiva pero en materia de ejecución el organigrama no refleja la realidad institucional, debido a que la Unidad de Cómputo opera bajo el mando de la División de Sistemas y con total dependencia de la misma, excluyéndola de los procesos de planificación de las TI. Impacto En ausencia de recursos financieros y de un organigrama aplicable a la realidad Institucional, la Unidad de Cómputo enfrenta grandes problemas de dependencia para desarrollar sus funciones, lo cual pone a la misma en un punto crítico de funcionamiento, sin potestad para tomar decisiones de importancia para la organización, quedando la Institución sin controles adecuados en los sistemas y al margen de el marco jurídico.

Recomendación o Actividad de Control por Implementar Se recomienda a la administración que analice las necesidades de la Unidad de Cómputo y tome las medidas necesarias en la elaboración del presupuesto de tal forma que le de contenido presupuestario a dicha unidad. Se recomienda llevar a cabo una modificación de las acciones administrativas para dar a la Unidad de Cómputo, una conceptualización diferente sobre sus funciones, con total independencia de función, y con un nivel jerárquico adecuado para la toma de decisiones en materia de planificación, dirección e información de tecnologías.


14 de 21

Causas La Unidad no cuenta con los recursos necesarios para hacerle frente a lo que solicitan las normas técnicas en cuanto a la implementación de tecnologías. Impacto Formular y ejecutar estrategias de implementación que no incluyan todas las medidas para minimizar el riesgo de que los proyectos no logren sus objetivos, no satisfagan los requerimientos o no cumplan con los términos de tiempo y costo preestablecidos Recomendación o Actividad de Control por Implementar La administración debe implementar y mantener las TI requeridas en concordancia con su marco estratégico, planificación, modelo de arquitectura de información e infraestructura tecnológica, de conformidad con lo indicado en la normativa.


Proceso Cumplimiento de las normas de implementación de tecnologías

Hallazgo Nº 4 Inadecuada gestión en la aplicación de las normas de implementación tecnológicas.


Alto Medio Bajo

X X

Descripción del Hallazgo Se observó que de los cuatro componentes que conforman la norma de implementación de tecnología no se ha implementado ninguna.


15 de 21


Proceso Valoración del proceso de implementación de tecnologías de información.

Hallazgo N. 5 No hay una adecuada gestión en la aplicación de las normas relacionadas a la prestación de servicios y mantenimiento.


Alto Medio Bajo

X x

Descripción del Hallazgo Se observó que sólo un 50% de los componentes de la norma de prestación de servicios y mantenimiento se han implementado. Ver anexo adjunto.

Causa La Unidad no cuenta con el personal necesario para poder implementar y dar seguimiento a la normativa. Impacto El no aplicar estas normas, puede hacer que la Institución realice contrataciones de servicios inadecuados para el cumplimiento de sus objetivos, además de la pérdida de recursos económicos por la falta de roles y responsabilidades de terceros. Pérdida de información vital de la Institución que no sea recuperable, al no tener una adecuada seguridad en las bases de datos. Contratación de servicios que no cumplan con las expectativas de la Institución. Riesgo de imagen y reputación de la institución.

Recomendación o Actividad de Control por Implementar Asignar a un responsable con las competencias necesarias que evalúe periódicamente la calidad y cumplimiento oportuno de los servicios contratados. Se recomienda establecer un plan de implementación a corto plazo, con el fin de que, en la medida posible, se pongan en marcha todas estas normas técnicas, que lo que buscan es mitigar riesgos, fortalecer la estructura de control interno y principalmente evitar que la Institución pueda incurrir en pérdidas económicas significativas.


16 de 21


Proceso Seguimiento a las recomendaciones de informes anteriores.

Hallazgo Nº 6 Las recomendaciones indicadas en el informe de AUDISEG en el mes de mayo de 2007 en su mayoría no han sido implementadas.


Alto Medio Bajo

X x

Descripción del Hallazgo Del seguimiento de las diecinueve recomendaciones propuestas por AUDISEG en su informe emitido en mayo de 2007, sólo se han implementado nueve, quedando temas pendientes como seguridad de redes, equipos, software, instalaciones, rediseños de redes, reasignación de tareas y otras más sin ser implementadas.

Causa Por falta de una adecuada coordinación y asignación de recursos humanos y de recursos económicos es que la Unidad no ha podido dar seguimiento a estos temas pendientes. Impacto El desacatamiento de las recomendaciones anteriormente emitidas, podría agravar la situación de retardo tecnológico que atraviesa la Institución en la actualidad y ante una posible valoración de cumplimiento por parte de la Contraloría General de la República la Institución podría verse afectada.

Recomendación o Actividad de Control por Implementar Se recomienda a la administración analizar las necesidades que tiene la Unidad de Cómputo, para implementar a corto plazo las recomendaciones emitidas anteriormente por AUDISEG. La administración debe establecer y mantener el sistema de control interno asociado con la gestión de las TI, evaluar su efectividad y cumplimiento y mantener un registro de las excepciones que se presenten y de las medidas correctivas implementadas.


17 de 21


Proceso Seguimiento a las recomendaciones de informes anteriores.

Hallazgo Nº 7 A falta de una adecuada comunicación entre al administración y la Unidad de Cómputo, no se han implementado las mejoras propuestas por Deloitte


Alto Medio Bajo

X x

Descripción del Hallazgo Se retomaron las recomendaciones emitidas por DELOITTE en el informe, para darles seguimiento y se determinó que, de las 12 recomendaciones emitidas, ninguna ha sido implementada hasta la fecha, sin embargo al dar seguimiento a las mismas se determinó que la Unidad de Cómputo desconocía por completo el documento.

Causa Falta de una adecuada comunicación entre la Sección Administrativa y la Unidad de Cómputo. La administración no realiza una gestión de monitoreo de las actividades realizadas por la Unidad de Cómputo. Impacto El desacatamiento de las recomendaciones anteriormente emitidas, podría agravar la situación de retardo tecnológico que atraviesa la Institución en la actualidad, desmejorando el control interno de dicha Unidad.

Recomendación o Actividad de Control por Implementar Se recomienda que la administración del CONARE informe de manera oportuna a la Unidad de Cómputo, todo lo referido a mejorar la estructura de control interno y que la misma le dé el respectivo seguimiento a fin de velar el cumplimiento de las recomendaciones dadas por la auditoría interna y cumplir con lo dispuesto en la Ley de Control Interno.


18 de 21

IV. Conclusión En la actualidad la mayoría de las instituciones públicas ha determinado la necesidad de un área

de tecnologías de información moderna, segura y de un rol de participación Institucional más

activo.

En CONARE, al inicio de la entrada en vigencia de la normativa de tecnologías de información,

se ofreció un gran apoyo a estos cambios, pero hoy, diez meses después de aprobadas las Normas

Técnicas, el apoyo se ha venido desvaneciendo y con ello todos los aspectos de importancia de

esta nueva normativa.

Es importante recordar que los jerarcas y demás titulares son los más vinculados con el

desarrollo de estos cambios, por tal circunstancia recomendamos no olvidar su papel en los

procesos de coordinación y planeación del trabajo Institucional.

El presente estudio de auditoría especial efectuado durante el mes de marzo del año en curso,

permitió determinar que la Institución ha venido desarrollando estudios y proyectos de

implementación de la normativa de TI, sin embargo a falta de una adecuada coordinación con la

administración, la Unidad de TI no cuenta con los recursos económicos necesarios para

implementar dicha normativa, mostrando un bajo nivel de implementación de las mismas, razón

por la cual la Unidad de Cómputo debe trabajar en un plan de implementación en donde se

muestren las fechas y las personas responsables, con el fin de poder cumplir en el tiempo

solicitado por la Contraloría General de la Republica y que CONARE no se vea afectado por el

incumplimiento de esta normativa.

Cabe señalar que la administración contará con dos años a partir de la entrada en vigencia de las

normas técnicas para cumplir con lo regulado en la normativa, lapso en el cual, dentro de los

primeros seis meses, deberá planificar las actividades necesarias para lograr una implementación

efectiva y controlada.


19 de 21

V. ANEXOS


20 de 21

NORMATIVA COMPONENTES

1.1 Marco estrategico1.2 Gestión de la calidad1.3 Gestión de Riesgos1.4 Gestión de la seguridad de la información1.4.1 Implementación de un marco de seguridad de la información1.4.2 Compromiso del personal con la seguridad de información1.4.3 Seguridad Física y ambiental1.4.4 Seguridad en las operaciones y comunicaciones1.4.5 Control de acceso1.4.6 Seguridad en la implementación y mantenimiento de Sofware e infraestructura tecnológica1.4.7 Continuidad de los servicios de TI1.5 Gestión de Proyectos1.6 Decisiones sobre asuntos estratégicos de TI1.7 Cumplimiento de obligaciones relacionadas con la gestión de TI

2.1 Planificación de las tecnológias de información.2.2 Modelo de arquitectura de información2.3 Infraestructura tecnológica2.4 Independencia y recurso humano de la Función de TI2.5 Administración de Recursos financieros

3.1 Consideraciones generales de la implementación de TI3.2 Implementación de software 3.3 Implementación de infraestructura tecnológica3.4 Contratacíon de terceros para la impletación y mantenimiento de sofware e infraestructura

4.1 Definición y administración de acuerdos de servicio4.2 Administración y operación de la plataforma tecnológica4.3 Administración de los datos4.4 Atención de requerimientos de los usuarios de TI4.5 Manejo de incidentes4.6 Administración de servicios prestados por terceros

Implementada VerdeEn proceso AmarilloNo implementada Roja

Nota: Esta matriz de cumplimiento, muestra el grado de avance que la unidad de Cómputo ha gestionado en la implemntación de las normas técnicas de TI.

Nor

mas

de

aplic

ació

n ge

nera

l

Planificación y organicación

Implementación de tecnologías

Prestacíon de servicios y mantenimiento

Abril 2008

Nilvel de Cumplimiento

Anexo 1 CONARE

Matriz de CumplimientoNormas técnicas para la Gestión y el Control de las tecnologías de información

Unidad de cómputo


21 de 21

VI. Seguimiento y Plan de Implementación

Nº Hallazgo Riesgo Comentarios de la Administración

Plan de Implementación Responsable Fecha Estimada de

Implementación 1 Incumplimiento de los tiempos establecidos por la

CGR para la implementación de las Normas Técnicas de Información.

Alto Unidad de TI y Jerarcas

2 Inadecuada gestión en la implementación de las normas de aplicación general establecidas por la CGR.


3 Inadecuada gestión en la aplicación de las normas de planificación y organización, establecidas por la CGR.


4 Inadecuada gestión en la aplicación de las normas de implementación tecnológicas.


5 No hay una adecuada gestión en la aplicación de las normas relacionadas a la prestación de servicios y mantenimiento.


6 Las recomendaciones indicadas en el informe de AUDISEG en el mes de mayo de 2007 en su mayoría no han sido implementadas.


7 Falta de una adecuada comunicación entre la administración y la Unidad de Cómputo. No se han implementado las mejoras propuestas por Deloitte


Documents

CONSEJO NACIONAL DE RECTORES AUDITORÍA … · 9 de 21 2.5 Matriz de hallazgos Como resultadode la verificación del cumplimiento de las ormas NTécnicas para la estiónG y Control