Estudio especial en el CONASSIF y la SUGESE sobre … · * De conformidad con Artículo 24 y Artículo 2, Inciso c) Ley de Control Interno y Oficio DM-1402-2005 de 13/09/2005 de MIDEPLAN

T: (506) 2501-8000 F: (506) 2501-8100 C: [email protected] S : http://www.cgr.go.cr/ Apdo. 1179-1000, San José, Costa Rica

INFORME No. DFOE-EC-IF-10-2011 11 DE NOVIEMBRE, 2011

DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA

ÁREA DE FISCALIZACIÓN DE SERVICIOS ECONÓMICOS

INFORME SOBRE LOS RESULTADOS DEL ESTUDIO EFECTUADO EN EL INSTITUTO NACIONAL DE VIVIENDA Y URBANISMO RELACIONADO

CON LA GESTIÓN DE TECNOLOGÍAS DE INFORMACIÓN.

2011

http://www.cgr.go.cr/


CONTENIDO

Página No.

RESUMEN EJECUTIVO 1. INTRODUCCIÓN ..................................................................................................... 1

1.1 Origen del estudio ............................................................................................. 1

1.2 Objetivo del estudio ........................................................................................... 1

1.3 Naturaleza y alcance del estudio ....................................................................... 1

1.4 Aspectos positivos que favorecieron la ejecución del estudio ............................ 1

1.5 Comunicación preliminar de los resultados del estudio ..................................... 1

1.6 Generalidades acerca del estudio ..................................................................... 2

1.7 Metodología aplicada ........................................................................................ 4

2. RESULTADOS DEL ESTUDIO ................................................................................ 4

2.1 Ausencia de una visión integral de la gestión de las tecnologías

de información. .................................................................................................. 4

2.1.1. Impacto en el comportamiento de los recursos asignados y ejecutados ....... 7

2.1.2. Impacto en el comportamiento de las inversiones ......................................... 9

2.2 Sistema de Ahorro y Préstamo en riesgo por equipo servidor obsoleto. .......... 13

2.3 Carencia de un Plan de Continuidad e imposibilidad de acceso

a los respaldos. ............................................................................................... 14

2.4 Inconsistencias y limitaciones operacionales en el Sistema

de Ahorro y Préstamo ...................................................................................... 15

2.4.1. Limitación de usuarios conectados simultáneamente ................................. 16



2.4.2. Claves de usuario compartidas y carencia de bitácoras .............................. 16

2.4.3. Limitación en la capacidad de almacenamiento .......................................... 17

2.4.4. Otras deficiencias en los sistemas de información ...................................... 18

2.5 Inconsistencias que atentan contra la calidad de la información en los archivos de

datos del Sistema de Ahorro y Préstamo ......................................................... 19

2.5.1 Información inconsistente en los campos de las tablas analizadas: ............ 20

2.5.2 Diferencias en el recálculo correspondiente a las Carteras de Ahorro y de

Préstamos. ...................................................................................................... 27

2.6 Debilidades y riesgos en la Infraestructura tecnológica desarrollada

en el INVU ....................................................................................................... 29

2.6.1 Riesgos en las salas de servidores ............................................................. 29

2.6.2 Control de ingreso Área de Informática ....................................................... 30

2.6.3 Área para mantenimiento de equipos.......................................................... 30

2.6.4 Equipos accesorios ..................................................................................... 30

2.6.5 Inseguridad del Archivo Central y sótano del edificio .................................. 31

2.6.6 Componentes de detección de riesgos ....................................................... 31

2.7 Eficacia del servicio de soporte técnico. .......................................................... 31

3. CONCLUSIONES .................................................................................................. 34

4. DISPOSICIONES ................................................................................................... 35

5. ANEXO FOTOGRAFICO........................................................................................ 38



INFORME No. DFOE-EC-IF-10-2011

RESUMEN EJECUTIVO

El objetivo del presente estudio consistió en analizar la gestión de tecnologías de información (TI) efectuada por el Instituto Nacional de Vivienda y Urbanismo (INVU), durante el período comprendido del 1 de julio del 2007 al 30 de abril de 2011.

Determinando que dicha Institución presenta una serie de debilidades en materia de

tecnologías de información, que la colocan en una situación vulnerable en cuanto a la seguridad, suficiencia e integridad de la información, así como a la continuidad de los servicios; debido principalmente a que sus sistemas están soportados en una plataforma y lenguaje que se encuentran obsoletos.

Sobre este particular, cabe destacar que, dicho sistema está soportado en el equipo

servidor denominado “AVIION”, el cual a la fecha, ha superado tres veces su vida útil. La utilización de un servidor como “AVIION” representa un alto riesgo debido a que la institución no se encuentra preparada para enfrentar una falla técnica de importancia, máxime que la adquisición de repuestos se dificulta conforme pasan los años, situación que ya se presentó a inicios del 2011, ante una falla en la tarjeta del CPU del equipo, que implicó que la institución no contase con sistema hasta 15 días después de generada dicha falla.

Adicionalmente se identificaron riesgos como la limitada capacidad en el número de usuarios que pueden accesar el sistema, así como, la reducida capacidad de almacenamiento del servidor que solo permite transacciones por la cantidad de 21.000.000 de colones, por lo que si una transacción se eleva de ese monto se deben registrar en varios tractos, lo que incrementa los costos para la institución. A su vez, se determinó que, los funcionarios que manejan los sistemas comparten las claves de acceso y todavía algunas labores se realizan en forma manual.

Además, se encontró que el INVU carece de una adecuada visión estratégica, no cuenta

con un marco estratégico de Tecnologías de Información (TI) vinculado con el marco estratégico institucional, las asignaciones presupuestarias anuales desde el año 2008 hasta el 2010 para las tecnologías de información no han llegado al 1% del presupuesto definitivo.

Así las cosas, se tiene que el Sistema de Ahorro y Préstamo del INVU es eventualmente

el más afectado por las limitaciones de esta plataforma tecnológica, y es a su vez el que administra una de las actividades sustantivas de este Instituto. Específicamente está conformado por aproximadamente 10,288 clientes en el área de préstamos y 61.603 clientes en contratos de ahorro, con una cartera que asciende a ¢50.122.453.476.14 y ¢40.410.222.332.68 respectivamente, al 30 de abril del 2011.

En virtud de lo expuesto, esta Contraloría General está ordenando acciones inmediatas a la Junta Directiva del INVU, con el fin de que elabore un Plan de modernización de la gestión de tecnologías de información que incluya entre otras cosas la sustitución de la plataforma tecnológica y el fortalecimiento del marco estratégico de TI

.



INFORME No. DFOE-EC-IF-10-2011

INFORME SOBRE LOS RESULTADOS DEL ESTUDIO EFECTUADO EN EL

INSTITUTO NACIONAL DE VIVIENDA Y URBANISMO RELACIONADO CON LA GESTIÓN DE TECNOLOGÍAS DE INFORMACIÓN.

1. INTRODUCCIÓN

1.1 Origen del estudio

Este estudio se realizó con fundamento en las competencias que se le confieren a la

Contraloría General de la República en los artículos 183 y 184 de la Constitución Política, 17, 21 y 37 de su Ley Orgánica No. 7428, en cumplimiento del programa anual de trabajo de la División de Fiscalización Operativa y Evaluativa (DFOE).

1.2 Objetivo del estudio

De acuerdo con lo establecido en la “Estructura para la conceptualización y

formulación de procesos y proyectos de la Contraloría General de la República” y en cumplimiento de los estudios de fiscalización comprendidos para el año 2011; el objetivo de este estudio consistió en analizar la gestión de tecnologías de información (TI) efectuada por el Instituto Nacional de Vivienda y Urbanismo (INVU).

1.3 Naturaleza y alcance del estudio

El estudio abarcó el análisis de las actividades realizadas por la Administración en lo

que respecta a la gestión de tecnologías de información, durante el período comprendido entre el 1 de julio de 2007 y el 31 de marzo de 2011, y se amplió en los casos en que se consideró necesario.

La fiscalización se desarrolló con fundamento en el Manual de Normas Generales de

Auditoría para el Sector Público, así como lo establecido en el “Manual General de Fiscalización Integral (MAGEFI)”. A su vez para la ejecución de los procedimientos de auditoría y como criterios de evaluación se utilizaron las “Normas Técnicas para la gestión y el control de las tecnologías de información” emitidas por la Contraloría General de la República, así como otras fuentes de normativa, doctrina y prácticas generalmente aceptadas que resulten aplicables.

1.4 Aspectos positivos que favorecieron la ejecución del estudio

Esta Contraloría General resalta la amplia colaboración recibida por parte de los

funcionarios del INVU, situación que coadyuvo con el cumplimiento de los objetivos del

estudio.

1.5 Comunicación preliminar de los resultados del estudio

En reunión celebrada en la Presidencia Ejecutiva del Instituto Nacional de Vivienda y

Urbanismo, el 20 de setiembre del 2011, se expusieron los resultados del este informe a la Ing. Eugenia Vargas Gurdián, Presidenta Ejecutiva, a la Licda. María del Carmen Redondo


2


Solís, Gerente General, Licda. María Amalia Pessoa Araya, Jefe del Proceso de informática, Lic. Fernando Pérez Brenes, Auditor Interno, entre otros funcionarios.

Mediante oficio Nro. DFOE-EC-0494-2011 del 20 de octubre de 2011, se remitió el

borrador del presente informe y se le concedieron 5 días hábiles a la Administración para que realizara las observaciones y objeciones que considerara pertinentes.

Mediante oficio Nro. C-GG-481-2011, del 28 de octubre del año en cursos la administración remitió las observaciones al borrador del informe las cuales se tomaron en cuenta y a solicitud de la administración se ajustaron los plazos de las disposiciones inicialmente establecidos.

1.6 Generalidades acerca del estudio

El Instituto Nacional de Vivienda y Urbanismo se creó mediante Ley Nro. 1788, del 24

de agosto de 1954, con carácter de institución autónoma. La misión y visión1 del INVU se han establecido de la siguiente forma:

“Misión : El INVU es una institución de servicio cuyo objetivo es facilitar soluciones de vivienda de interés social, erradicando tugurios, conforme a las diferentes modalidades de solución y necesidades de las familias de menores recursos económicos, velando así por el desarrollo y la conservación de la salud física y mental de sus moradores. …También atiende el problema de vivienda de la clase media, promoviendo y revitalizando el Sistema de Ahorro y Préstamo De igual manera contribuye activamente en el ordenamiento territorial del país, y asesorando a las municipalidades en el planeamiento del mejor uso de la tierra

Visión: El INVU se convertirá en una institución altamente eficiente y eficaz en la atención de los problemas de vivienda de los costarricenses; lo que abarca tanto el brindar soluciones de vivienda de interés social para la erradicación de tugurios y la atención de emergencias, como el atender el problema habitacional de la clase media a través del Sistema de Ahorro y Préstamo.”

La estructura orgánica del INVU se ha definido tal como se ilustra a continuación:

1 Fuente: Plan Anual Operativo para el 2011, suministrado por la Unidad Asesora de Planificación


3


Nivel Político

Instancias Asesoras

Nivel Directivo

Nivel Departamental

Unidad Organizacional

permanente

Línea de Autoridad formal

Línea de Asesoría (Staff)

Aprobado por MIDEPLAN en Oficio No. DM-205-99 del 3 de noviembre de 1999. Línea de asistencia o

* De conformidad con Artículo 24 y Artículo 2, Inciso c) Ley de Control Interno y Oficio DM-1402-2005 de 13/09/2005

de MIDEPLAN

** Según Ley de Planificación Urbana No. 4240, artículo No. 7

*** Aprobado por MIDEPLAN en oficio DM-1402-2005 de fecha 13 de setiembre del 2005.

subordinación

INSTITUTO NACIONAL DE VIVIENDA Y URBANISMO

SIMBOLOGIA

JUNTA

DIRECTIVA

AUDITORIA

PLANIFICACION

ASESORIA

LEGAL

GERENCIA

AREA VIVIENDA

INTERES SOCIAL

PROYECTOS

TERMINADOS

EJECUCIÓN DE

PROYECTOS

AREA DE

AHORRO Y

PRESTAMO

AREA GESTION

ADMINISTRACION

Y FINANZAS

AREA

PLANIFICACION

URBANA

PRESIDENCIA

EJECUTIVA

JUNTA

DIRECTIVA

AUDITORIA*

PLANIFICACION

ASESORIA

LEGAL

GERENCIA

AREA VIVIENDA

INTERES SOCIAL

PROYECTOS

TERMINADOS

EJECUCIÓN DE

PROYECTOS

AREA DE

AHORRO Y PRESTAMO

AREA GESTION

ADMINISTRACION

Y FINANZAS

**DIRECCIÓN DE

URBANISMO

PRESIDENCIA

EJECUTIVA

*** INFORMÁTICA

Como parte de las áreas sustantivas del INVU se encuentran el área de Ahorro y

Préstamo, la Dirección de Urbanismo y el Área de Vivienda de Interés Social. El Área de Ahorro y Préstamo, tiene como objetivo según su marco estratégico “administrar el sistema contractual de ahorro y préstamo, velando por la sanidad de sus finanzas, en completo apego de las leyes y reglamentos que lo regulan”.

De conformidad con lo que establece el Artículo 5, inciso k) de la Ley Nº 1788 "Ley

Orgánica del Instituto Nacional de Vivienda y Urbanismo", el Instituto ha establecido el Sistema de Ahorro y Préstamo, el cual se destina exclusivamente a financiar operaciones relacionadas con casas de habitación de las personas que se suscriban a dichos sistemas. El Sistema de Ahorro y Préstamo es administrado por la Dirección de Ahorro y Préstamo.

Entre sus principales funciones tiene establecido:

Preparar la información contable del Sistema de Ahorro y Préstamo (SAP), requerida para la elaboración de los estados financieros y las estadísticas correspondientes.

Resolver y operar los créditos del SAP.

Realizar y supervisar la recaudación y liquidación oportuna de ahorros de los suscriptores del SAP.

Establecer los controles necesarios que permitan conocer rápida y claramente, sobre el estado de los valores y reservas del SAP.

Preparar y formular el Flujo de Caja del SAP, para definir los recursos disponibles e invertirlos en las mejores condiciones de liquidez, seguridad y rendimiento.

Velar por la sana administración del SAP, vigilando que éste, mantenga el equilibrio actuarial económico y financiero.


4


1.7 Metodología aplicada

Para alcanzar los objetivos del estudio se utilizó la metodología establecida en el

Manual de Normas Generales de Auditoria para el Sector Público2, y lo establecido en el “Manual General de Fiscalización Integral (MAGEFI)”.

La labor de ejecución incluyó la realización de entrevistas, pruebas analíticas,

confirmaciones, comprobaciones, inspecciones físicas, análisis documentales, pruebas efectuadas con ayuda de un software de extracción de datos y la correspondiente comunicación de los resultados.

2. RESULTADOS DEL ESTUDIO

2.1 Ausencia de una visión integral de la gestión de las tecnologías de información.

El estudio efectuado permitió determinar que el INVU no ha logrado consolidar la función de las tecnologías de información desde el punto de vista estratégico, ya que no cuenta con un proceso integral que derive en una visión de planificación estratégica de TI formalmente establecida, la cual considere las necesidades y opiniones de toda la organización, con el respaldo y compromiso de la jerarquía, y que permita lograr un desarrollo institucional con los beneficios de las tecnologías de información como herramienta de apoyo a los procesos institucionales.

A la fecha la institución no cuenta con un documento aprobado por los niveles superiores en donde se plasme la estrategia que se quiere seguir en lo que respecta a TI, ya que los planes operativos con que se cuenta están dirigidos exclusivamente a establecer los proyectos relacionados con las soluciones de vivienda.

Al respecto es importante destacar, que la conceptualización de la gestión de

tecnologías de información debe planificarse considerando la integración y convergencia entre la computación, las telecomunicaciones y la técnica para el procesamiento de datos, con apoyo del factor humano, los contenidos de la información, el equipamiento, la infraestructura, el software, los mecanismos de intercambio de información, los elementos de política y regulaciones, además de los recursos financieros.

Sobre este particular, es importante destacar que la norma 2.1 de Gestión y Control de

las tecnologías de información3, literalmente establece lo siguiente:

2.1 Planificación de las tecnologías de información La organización debe lograr que las TI apoyen su misión, visión y objetivos estratégicos mediante procesos de planificación que logren el balance óptimo entre sus requerimientos, su capacidad presupuestaria y las oportunidades que brindan las tecnologías existentes y emergentes.

Entre las causas que han originado esta debilidad institucional, de acuerdo con lo

establecido por la administración, se identifican los siguientes aspectos:4

2 Aprobada mediante Resolución Nro. R-CO-94-2006 del 17 de noviembre del 2006.

3 Resolución Nro. R-CO-26-2007 del 7 de junio, 2007, Publicada en la Gaceta Nro. 119 del 21 de julio de 2007.

4 Oficio Nro. GG-256-2011, del 9 de junio del 2011, suscrito por la Gerencia General del INVU.


5


“- La difícil situación financiera del INVU, indujo a que, los recursos escasos se

contrajeran y se dirigieran hacia la inversión de las necesidades básicas. - La limitada cantidad de recursos, limitó el interés de las autoridades del INVU

en invertir en un plan estratégico informático, por la posibilidad de invertirlos en acciones y necesidades que permitieran la continuidad del negocio del INVU.

- La utilización de recursos de capital en el 2008, destinados para la compra de

equipo de cómputo, para cubrir necesidades básicas de operación, incidió en la ejecución presupuestaria”.

No obstante lo anterior, sin que se pretenda ignorar esa realidad financiera, es

opinión de esta Contraloría General, que las altas jerarquías, no han logrado proyectar las tecnologías de información como un instrumento de apoyo en el cumplimiento de los objetivos institucionales, mediante acciones concretas que permitieran establecer el marco orientador de las TI como el eje central en la consecución de los objetivos de la Institución. Situación ya advertida por la propia auditoría interna del INVU mediante informe I-AI-022-2011, de febrero del 2011.

La situación comentada ha impactado en los siguientes aspectos:

- Se determinó que no existe un Plan Estratégico de TI vinculado a un Plan

Institucional, ni con herramientas de planificación básicas como lo son el Plan táctico de tecnologías de información alineado con el PETI, ni tampoco con una adecuada gestión de proyectos de TI, que incluya al menos la metodología y el portafolio de proyectos, que permitan lograr una integración armónica con el Plan Estratégico Institucional.

- De acuerdo con lo anterior, esta Contraloría General, no pudo acceder a un

documento que compile la aspiración del nivel superior en materia de tecnologías de información, en donde se establezca la dirección de TI, y que sea el documento de referencia consultiva y de toma de decisiones para las altas jerarquías. Por su parte, la ausencia de un Plan Táctico, limita observar y verificar la propuesta de prioridades de ejecución de los proyectos de TI, los requerimientos, costos, la programación y las fechas de inicio y finalización de cada proyecto derivado del PETI.

- No se tiene definida una estructura orgánica de TI adecuada y ajustada a las

nuevas tendencias. En la actualidad las tecnologías de información se gobiernan a través del denominado “Proceso de Informática”, que depende de la Gerencia General, diseñada bajo una conformación orgánica plana compuesta por una Jefatura y con la siguiente distribución:


6


PERSONAL DEL PROCESO DE INFORMÁTICA

Subprocesos Cantidad

Recurso Humano Funciones

Análisis y programación

1 Profesional en Informática 1 Programador 2

- Realiza funciones de analista / programador - Programador y en ocasiones realiza funciones de análisis

Soporte técnico

1 Programador 2 - Realiza funciones de Oficial de Seguridad, soporte de redes y soporte de equipo de cómputo y periféricos.

1 Técnico de Servicio Civil1 - Realiza funciones de cableado y soporte de equipo de cómputo y periféricos

1 Técnico en Informática 3 - Realiza funciones de cableado y soporte de equipo de cómputo y periféricos. Operaciones

1 Programador 3 - Realiza funciones de Encargado de operaciones (servidores ALPHAS y AVIION)

1 Operador de cómputo 1

Es opinión de esta Contraloría General, que dicha estructura no se ajusta a los

estándares actuales en cuanto a conformación orgánica de las unidades de tecnologías de información, ya que no tiene definidas ciertas áreas temáticas que hoy en día son primordiales para una adecuada gobernabilidad de las tecnologías de información, como por ejemplo telemática, desarrollo, calidad y seguridad, entre otras.

La estructura actual, en nuestro criterio, genera una confusión institucional respecto al

ejercicio de la autoridad y la distribución de la responsabilidad, limita el establecimiento de responsabilidades por área de trabajo, no incentiva el cumplimiento de objetivos y limita la evaluación del desempeño, aparte de la afectación en los sistemas de control interno institucionales en cuanto a la adecuada segregación de funciones como principio básico de control.

Sobre este aspecto, según se pudo constatar durante el estudio, la administración ha efectuado intentos para que dicha estructura se modernice, pero no se ha llevado a la realidad debido a la espera de la ejecución de proyectos de reestructuración, que no se han concretado y que no han pasado de ser proyectos durante aproximadamente 10 años.

La carencia de esta proyección ha impactado además en las inversiones de

tecnologías de información del INVU, por cuanto se constató insuficiencia en la asignación de recursos, bajas ejecuciones presupuestarias, y por ende incapacidad institucional para lograr actualizar la plataforma tecnológica.

Esta Contraloría General constató que las autoridades del INVU tienen identificados

los riesgos que enfrenta la institución, sin embargo, los esfuerzos por llevar a cabo una modernización no han pasado de ser propuestas, ya que no se han efectuado acciones concretas para mejorar la eficiencia en los procesos de negocios5.

5 Oficio Nro. DI-016-2011, del 24 de marzo del 2011, suscrito por la Jefe del Proceso de Informática y Matriz de

riesgo del 24 y 29 de julio del 2011.


7


En lo que se refiere al tema de inversiones y asignaciones presupuestarias, a continuación se desarrollan en forma más amplia los aspectos que han sido impactados por esta debilidad institucional.

2.1.1. Impacto en el comportamiento de los recursos asignados y ejecutados

El estudio efectuado por esta Contraloría General comprobó que durante los

años 2008, 2009 y 2010, los recursos asignados o presupuestados, así como la ejecución real de los mismos, reflejan porcentajes que no llegan al 1% del presupuesto total definitivo y el realmente ejecutado. A continuación se comentan aspectos relativos al comportamiento de los recursos asignados y ejecutados identificados en el estudio de fiscalización.

Si se relacionan los gastos asignados a tecnologías de información con rubros

como: el presupuesto definitivo institucional y el presupuesto real o ejecutado, se observan porcentajes de ejecución muy bajos, tal y como se indica en el siguiente cuadro:

Cuadro Nro.1

Instituto Nacional de Vivienda y Urbanismo (INVU)

Inversiones en tecnologías de información versus presupuesto definitivo, ejecutado y superávit

Años 2008-2011

(en millones de colones)

Año 2008 Año 2009 Año 2010 Año 2011

Presupuesto definitivo 53.992.67 59.546.46 61.773.66 54.035.25

Presupuesto ejecutado 33.553.71 45.671.68 38.475.02 ND

TI Presupuestado 350.52 485.12 328.15 476.8

TI real ejecutado 152.21 200.07 83.5 ND

TI presupuestado Presupuesto definitivo

0.6% 0.8% 0.5% 0.9%

TI real ejecutado presupuesto Ejecutado

0.5% 0.4% 0.2% ND

FUENTE: Elaborado por Contraloría General con datos suministrados por el INVU confrontados con el SIPP y Presupuestos Ordinarios y liquidaciones (2008 al 2010)

De acuerdo con los resultados obtenidos en los análisis desarrollados para

esos años, se determinó que los porcentajes en lo que respecta a la asignación de recursos presupuestarios dedicados a TI fueron de 0.6%, 0.8% y el 0.5%, con respecto del presupuesto definitivo. Para ese período y en ese mismo orden, en lo que respecta, a la ejecución real presupuestaria en materia de TI, se presentaron porcentajes en el orden de 0.5%, 0.4%, 0.2%.


8


Gráfico Nro.1

100%

0,6%

100%

0,8%

100%

0,5%0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

2008 2009 2010

Presupuesto Total vrs Presupuesto de Inversión en TI

2008 - 2010

Presupuesto definitivo TI / Presupuestado

Gráfico Nro.2

100%

0,5%

100%

0,4%

100%

0,2%0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

2008 2009 2010

Presupuesto Total Ejecutado vrs Presupuesto Ejecutado en TI

2008 - 2010

Presupuesto ejecutado TI / Ejecutado

Tal como se observa en los gráficos anteriores, la relación del presupuesto

definitivo de TI versus el presupuesto definitivo institucional para los años 2008 al 2010 arroja porcentajes que no alcanzan el 1% anual, lo que determina cifras muy bajas en inversiones de TI, con respecto a las referencias del mercado, tal y como se detalla en los siguientes párrafos del presente informe. En este orden de ideas, llama la atención que los porcentajes de la relación TI ejecutado versus presupuesto ejecutado presentan una tendencia a la baja, siendo un 0.5% el correspondiente al año 2008, un 0.4% para el 2009 y un 0.2% en el año 2010.

Sobre este particular, considerando las distancias técnicas, políticas y

económicas de otros países diferentes al nuestro, se destaca a manera de referencia algunos posibles parámetros sobre los porcentajes que se acostumbra destinar a las tecnologías de información. El estudio efectuado por Penteo ICT Analyst, indica que para el 2011 se detecta


http://www.penteo.com/

9


un porcentaje aproximado del 2% en España y a nivel mundial los índices se esperan entre el 3 y 4%.6

En otros resultados obtenidos en páginas especializadas, la información sobre

porcentajes empleados en diferentes tipos de industrias y empresas tanto públicas como privadas determinó, que en ningún caso los gastos destinados a TI fueron inferiores al 2% y para el caso de instituciones gubernamentales las inversiones alcanzaron casi el 10% del presupuesto7. Por su parte, para el Lic. Camilo Daccash Tawil Consultor Internacional,

experto en Tecnologías de Información, la inversión en esta materia debe rondar entre el 3% y el 5%.

Ante dicho escenario, resulta meridianamente claro que el INVU está en una

posición de desventaja respecto de las proyecciones y tendencias tecnológicas de otros referentes, ya que como se ha dicho, los recursos asignados en tecnologías de información en el INVU, durante los últimos tres años no han llegado al 1% de su presupuesto, por lo que de continuar con esa tendencia, se incrementaría el nivel de riesgo para la información y procesos de negocio de la Institución.

Por su parte, además de las bajas asignaciones de recursos, las ejecuciones

de los presupuestos a todas luces resultan también bajas, dadas las necesidades que enfrenta la Institución en materia de TI.

Los argumentos que suministra la Institución, antes mencionados, a criterio de

esta Contraloría General, resultan también preocupantes a no ser que se cambie la visión a futuro en relación con las tecnologías de información y se reconozca su importancia para las labores sustantivas de la institución, al punto que se asignen los recursos que sean necesarios para que, una institución como el INVU, no colapse en sus procesos de negocio.

2.1.2. Impacto en el comportamiento de las inversiones

En lo que respecta a las inversiones en tecnologías de información, el análisis

mostró los siguientes resultados:

6 http://www.computing.es/Opinion/201101270004/CIOS-Oportunidades-post-crisis.aspx

7 http://www.itmweb.com/blbenchbgt.htm


10


CUADRO No. 2

INSTITUTO NACIONAL DE VIVIENDA Y URBANISMO (INVU)

Inversiones en tecnologías de información

Años del 2008 al 2011

(cifras en millones de colones)

AÑOS 2008 2009 2010 2011

Concepto Monto

presupuesto Gasto real

Monto presupuesto

Gasto real

Monto presupuesto

Gasto real

Monto presupuesto

Gasto real

Servicios de desarrollo de sistemas informáticos

106.08 43.85 137.72 92.84 32.8 7.78 179.5 N/A

Mantenimiento y reparación de equipo de comunicación

1.8 0.27 2.59 0.64 1.11 0.43 1.5 N/A

Mantenimiento y reparación de equipo de cómputo y sistemas de información

70.88 36.16 73.42 34.42 67.48 27.78 87.2 3.6

Equipo de comunicación

12.25 0.47 18.31 7.9 28.83 1.13 36.0 0.0087

Equipo y programas de cómputo

159.51 71.46 253.08 64.27 197.93 46.38 172.6

TOTALES 350.52 152.21 485.12 200.07 328.15 83.5 476.8 3.68

Porcentaje

ejecución 43% 41% 25% 0.007%

FUENTE: Elaborado por Contraloría General con datos extraídos del SIPP

GRÁFICO No.3

350,52

152.21

(43%)

485,12

200.07

(41%)

328,15

83.50

(25%)

-

50,00

100,00

150,00

200,00

250,00

300,00

350,00

400,00

450,00

500,00

2008 2009 2010

Inversión en Tecnologías de Información

2008- 2010

(en millones de colones)

Monto presupuestado Gasto real


11


De acuerdo con el cuadro y gráfico precedentes, durante el año 2008 se registró un presupuesto para tecnologías de información por la suma de ¢350.52 millones de colones, del cual se ejecutó la suma de ¢152.21 millones, que corresponde a un 43% del monto presupuestado.

Durante el 2009, se incorporó al presupuesto la suma de ¢485.12 millones

(38% más de lo presupuestado en el 2008) y se registró una ejecución del 41% de ese presupuesto (¢200.07 millones).

Para el año 2010, el presupuesto para TI se disminuye en un 32%, ya que se

presupuestó la suma de ¢328.15 millones y se registró una ejecución por la suma de ¢83.5 millones, el cual representa el 25% del total presupuestado, porcentaje sustancialmente menor que el del año anterior.

Por su parte, cabe destacar que, con el propósito de observar el impacto en el

Área de Ahorro y Préstamo, que corresponde al Programa Nro.4 del INVU, se llevó a cabo un análisis para ese mismo período, cuyos resultados se presentan a continuación.

CUADRO No. 3

INSTITUTO NACIONAL DE VIVIENDA Y URBANISMO (INVU)

Inversiones en tecnologías de información

PROGRAMA #4 AHORRO Y PRÉSTAMO

Años del 2008 al 2011

(cifras en millones de colones)

AÑOS 2008 2009 2010

# cuenta

Concepto Monto

presupuesto Gasto real

Monto presupuesto

Gasto real

Monto presupuesto

Gasto real

1.04.05

Servicios de desarrollo de sistemas informáticos

93.00 43.85 122.77 92.84 7.0 2.98

1.08.06

Mantenimiento y reparación de equipo de comunicación

1.0 0.25 1.50 0.63 1.0 0.42

1.08.08

Mantenimiento y reparación de equipo de cómputo y sistemas de información

2.5 0.00 1.0 0.32 3.0 0.49

5.01.03 Equipo de comunicación

5.5 0.13 0.5 0.25 5.5 0.55

5.01.05 Equipo y programas de cómputo

23.00 15.40 10.0 4.25 15.0 0.17

TOTALES 125.0 59.63 135.77 98.29 31.5 4.61

Porcentaje ejecución 48% 72% 15%

FUENTE: Elaborado por Contraloría General con datos extraídos de las liquidaciones presupuestarias de los años 2008, 2009 y 2010, las cuales fueron facilitadas por la Unidad de Planificación y la de Contabilidad del INVU.


12


GRÁFICO No. 4

125,00

59,63(48%)

135,77

98,29

(72%)

31,50

4,61(15%)

0,00

20,00

40,00

60,00

80,00

100,00

120,00

140,00

2008 2009 2010

PROGRAMA #4, AHORRO Y PRESTAMO

en millones de colones

Monto presupuestado Gasto real

De acuerdo con el Cuadro No.3 y el Gráfico No.4, durante el año 2008 se

registró un presupuesto para tecnologías de información por la suma de ¢125.00 millones de colones, del cual se ejecutó la suma de ¢59.63 millones, que corresponde a un 48% del monto presupuestado, cifras que no difieren en mucho con lo analizado para el presupuesto total del INVU.

Durante el 2009, se incorporó al presupuesto de Ahorro y Préstamo la suma de

¢135.77 millones (8% más de lo presupuestado en el 2008), el cual representó un 30% del presupuesto total institucional para TI. Se registró una ejecución del 72% de ese presupuesto (¢98.29 millones), suma que resulta apreciable, dadas las bajas ejecuciones determinadas en análisis anteriores.

Dado lo anterior, si se observa, en el cuadro Nro.2 precedente, el total

institucional presupuestado, para la subpartida de “Servicios de desarrollo de sistemas informáticos”, fue la suma de ¢137.72 millones, con un gasto real de ¢92.84 millones (67%).

Específicamente, del cuadro Nro. 3 se tiene que la ejecución mayor se dio en la

subpartida de “Servicios de desarrollo de sistemas informáticos”, donde se presupuestaron ¢122.77 millones y lo ejecutado fue de ¢92.84 millones (76%), o sea, el mismo monto ejecutado que se dio a nivel institucional, por lo que se puede concluir que todo lo ejecutado institucionalmente fue realizado por el Programa Nro.4, por eso se refleja la alta ejecución presupuestaria.

El INVU, en el tema de TI, según el Cuadro Nro. 4, ha erogado en los tres

últimos años (del 2008 al 2010) la suma de ¢435.78 millones8 y la ejecución del gasto estuvo dirigida, de acuerdo a montos de importancia, a los siguientes rubros o subpartidas: Servicios Profesionales, mantenimiento y reparación de equipo, compra de computadoras y portátiles, compra de impresoras y licencias, como se refleja en el siguiente cuadro:

8 Datos obtenidos del Sistema de Información sobre Planes y Presupuestos (SIPP) y validados con la

Contabilidad General y el Proceso de Planificación del INVU.


13


Cuadro Nro. 4 Instituto Nacional de Vivienda y Urbanismo (INVU) Inversiones y gastos en bienes y servicios de TI

Período del 2008 a 2010 en miles de colones

Año 2008 2009 2010

Bienes y Servicios Total gastado Total gastado Total gastado TOTALES

Servicios profesionales 28.203.00 12.674.28 8.220.20 49.097,48

Mantenimiento y reparación 37.431.00 85.173.79 25.971.27 148.576,47

Compra de computadoras 27.625,00 24.746,00 7.547,00 59.918,00

Compra de impresoras 10.177.50 4.472.56 7.403.23 22.053,29

Licencias 11.986.21 42.990.22 24.982.08 79.958,51

Otros 36.787.29 30.013.15 9.376.26 76.176,70

TOTALES 152.210.00 200.070.00 83.500.00 435.780,00

De acuerdo con lo analizado en el estudio en lo que respecta a bienes y

servicios de TI las contrataciones llevadas a cabo durante ese período corresponden a necesidades basadas en iniciativas de cada unidad y no como parte de un programa integral institucional.

Si bien es cierto, el INVU ha venido agregando componentes, aplicaciones y

accesorios adicionales a la plataforma que soporta sus sistemas, con ello no se ha logrado la innovación sustancial o radical, que le permita alcanzar una plataforma moderna, con una mejor seguridad para la información y con riesgos más controlados.

2.2 Sistema de Ahorro y Préstamo en riesgo por equipo servidor obsoleto.

El Sistema de Ahorro y Préstamo, el cual forma parte de una de las áreas sustantivas

que sostienen la razón de ser de la institución, alberga aproximadamente 10.288 clientes en el área de préstamos y 61.603 clientes en contratos de ahorro, que conforman una cartera de ahorro de ¢40.410.222.332.68 y una cartera de préstamos de ¢50.122.453.476.14 al 30 de abril del 2011.

Dicho sistema está soportado en el equipo servidor denominado “AVIION”, el cual a la

fecha, ha superado tres veces su vida útil. Aspecto que incumple lo establecido en las normas de gestión y control de las tecnologías de información números 3.3 Implementación de Infraestructura tecnológica y 4.2 Administración y operación de la plataforma tecnológica; las cuáles establecen que la organización debe adquirir, instalar y actualizar la infraestructura necesaria tecnológica y minimizar el riesgo de fallas.

La utilización de un servidor como “AVIION” representa un alto riesgo debido a que la

institución no se encuentra preparada para enfrentar una falla técnica de importancia, máxime que la adquisición de repuestos se dificulta conforme pasan los años, tal y como ocurrió a inicios del 2011, que debido a una falla en la tarjeta del CPU del equipo, la institución contó con sistemas hasta que se logró encontrar el repuesto fuera del país 15 días después de la emergencia.


14


Esta situación es de conocimiento de las autoridades del INVU, puesto que, se le ha indicado, por parte de la empresa que suministra el servicio de mantenimiento, que éste se brindará hasta que la obsolescencia y la escasez de repuestos lo permitan. La deficiencia comentada cobra relevancia por cuanto se trata de un equipo “propietario” cuyos sistemas no pueden ejecutarse en otro equipo que no tenga idénticas características y los cuáles ya no existen en el mercado.

Además, el sistema se desarrolló en el lenguaje de programación Business Basic,

lenguaje que no es de dominio de ningún funcionario en el INVU, por lo que para llevar a cabo el mantenimiento del sistema ha sido necesario contratar externamente los servicios de un técnico que había sido funcionario del INVU hasta el año 2001. Circunstancia que ha colocado a este consultor durante estos años como proveedor único de la institución, además dicho profesional tiene acceso irrestricto a los sistemas, lo cual, no resulta apropiado desde el punto de vista de control interno.

Dentro de este panorama, este Órgano Contralor reitera su preocupación por las

situaciones comentadas y señala a esa Administración sobre el alto riesgo al cual se están enfrentando los recursos económicos del Sistema de Ahorro y Préstamo del INVU.

En lo que respecta a la obsolescencia de la plataforma y el tema de proveedor único

esta Contraloría General elaboró un informe puntual denominado “Estudio sobre las contrataciones realizadas por el Instituto Nacional de Vivienda y Urbanismo y vinculadas con su plataforma tecnológica”.

2.3 Carencia de un Plan de Continuidad e imposibilidad de acceso a los respaldos.

El estudio determinó que el INVU no ha desarrollado un Plan de Continuidad que

permita administrar adecuadamente los riesgos y reducir el impacto por interrupciones en el servicio o el eventual colapso de la plataforma actual.

Sobre este particular, la norma de gestión y control de tecnologías de información 1.4.7

Continuidad de los servicios de TI contenida en la resolución R-CO-26-2007, establece la obligación para la administración de hacer los esfuerzos para garantizar la continuidad de los servicios.

De acuerdo con el criterio de la administración en diferentes ocasiones se ha

gestionado la contratación e implementación de sistemas en una plataforma abierta, pero no ha sido posible dicha contratación por diferentes razones. En el año 2001 por un proceso de reestructuración institucional y en el año 2009 por la apertura de un procedimiento administrativo de resolución contractual ante un aparente incumplimiento de las empresas contratistas, se postergó la contratación a la espera del resultado de la investigación y de las decisiones finales.

La situación de riesgo que enfrenta la institución al contar con una plataforma

tecnológica inapropiada y carecer de un Plan de Continuidad, se agrava todavía más dado que según pudo constatar este Órgano Contralor en caso de colapso de la plataforma tecnológica no se podrían accesar los respaldos con la información9, a pesar de que se mantienen respaldos de la información desde el año 1995, dado que el dispositivo de lectura es de tecnología antigua muy difícil de conseguir en el mercado, además, los sistemas

9 Oficio Nro. DI-072-2011 del 20 de junio del 2011, suscrito por la Jefe del Proceso de Informática


15


actuales solo pueden ejecutarse en el equipo servidor AVIION, u otro equipo similar y no en una plataforma más actualizada, por lo que en caso de que el servidor sufra un desperfecto la

institución corre el peligro de perder información fundamental.

2.4 Inconsistencias y limitaciones operacionales en el Sistema de Ahorro y Préstamo

El Sistema de Ahorro y Préstamo ejecutado en el equipo servidor AVIION, presenta

una serie de inconsistencias, limitaciones y dificultades operacionales, como por ejemplo limitaciones a los usuarios en acceso simultáneo al sistema, debilidades en el uso de las claves de acceso y limitaciones en los campos de registro.

Estas inconsistencias y limitaciones van en detrimento de lo establecido en las normas

de gestión y control de las tecnologías de información entre las que se pueden citar:10

2.2 Modelo de arquitectura de información La organización debe optimizar la integración, uso y estandarización de sus sistemas de información de manera que se identifique, capture y comunique, en forma completa, exacta y oportuna, sólo la información que sus procesos requieren. 3.2 Implementación de software “La organización debe implementar el software que satisfaga los requerimientos de sus usuarios y soporte efectivamente sus procesos,…..” 4.4 Atención de requerimientos de los usuarios de TI La organización debe hacerle fácil al usuario el proceso para solicitar la atención de los requerimientos que le surjan al utilizar las TI. Asimismo, debe atender tales requerimientos de manera eficaz, eficiente y oportuna; y dicha atención debe constituir un mecanismo de aprendizaje que permita minimizar los costos asociados y la recurrencia.

Las dificultades presentadas en el INVU, atentan contra la seguridad, suficiencia e

integridad de la información de los ahorrantes y prestatarios que conforman dicho sistema. Desde el punto de vista técnico la importancia relativa de las debilidades que presenta

el sistema se convierten en una amenaza de alto riesgo, contrario a lo que se pretendió en su momento que fuera una herramienta de apoyo a las labores del Área de Ahorro y Préstamo. Esta situación hoy en día más bien se convierte en una preocupación para la administración, por las dificultades diarias que tienen que enfrentar los usuarios de dicho sistema, con el correspondiente impacto en la atención a los clientes. A continuación se comentan en detalle algunos de los aspectos comprobados en el estudio.

10

Resolución Nro. R-CO-26-2007 del 7 de junio, 2007, Publicada en la Gaceta Nro. 119 del 21 de julio de 2007


16


2.4.1. Limitación de usuarios conectados simultáneamente

Uno de los principales problemas del sistema, es que cuenta únicamente con

una capacidad de 64 usuarios para toda la institución, los cuales no es posible ampliar por la antigüedad del sistema, debido a esto se tiene una gran limitación de acceso al sistema en forma simultánea por parte de los usuarios.

De acuerdo con información suministrada a esta Contraloría General, la

limitación comentada ha obligado a algunos funcionarios del Área de Ahorro y Préstamo a presentarse a laborar hasta una hora antes del horario normal de trabajo (7:00 am) con el propósito de poder ingresar al sistema antes de los demás funcionarios, de lo contrario, no podrán accesar al sistema durante todo el día.

Sin embargo, dicha situación no garantiza que el funcionario vaya a tener total

acceso a la información, porque aún estando conectado al sistema puede presentarse una saturación que le impida acceder a los reportes de información.

Otro aspecto a considerar, es que en el Área de Ahorro y Préstamo no se

cuenta con una fuente de poder ininterrumpido (UPS) por lo que si hay un corte de corriente, algunos de los funcionarios que llegaron temprano para tener acceso al sistema, podrían quedar sin sistema tras la reconexión, porque todos los funcionarios del INVU estarán intentando ingresar al sistema al mismo tiempo.

El Área de Ahorro y Préstamo cuenta con 40 funcionarios administrativos, de

los cuales un aproximado de 35 trabajan en la atención de clientes y necesitan constantemente del sistema para sus labores. Cuando se presenta la problemática de no poder acceder al sistema por limitación de usuarios, deben recurrir a pedir prestada la computadora a otro compañero que sí haya logrado ingresar, o bien, se envía el cliente a donde el compañero que sí tiene acceso al sistema, lo cual evidentemente genera ineficiencia en la atención del cliente, con el correspondiente daño a la imagen institucional y por ende una práctica a todas luces contraria a la eficiencia de las operaciones y al desempeño laboral de los funcionarios de esa Área de trabajo.

2.4.2. Claves de usuario compartidas y carencia de bitácoras

El estudio determinó que las claves de usuario son compartidas por los

funcionarios del Área de Ahorro y Préstamo, y que los sistemas no cuentan con bitácoras que permitan registrar información acerca de las consultas, entradas o cambios que se produzcan en el sistema.

En detalle la problemática que presenta el sistema es el empleo de un mismo

“usuario” por distintas personas, por ejemplo como sucede con el utilizado por todos los administrativos del Área de Ahorro y Préstamo, para consultar e imprimir contratos y préstamos. Debido a esto no se pueden identificar los funcionarios que consultan el sistema, y por ende podría significar una limitante a la aplicación del régimen de responsabilidades por una eventual causal de inimputabilidad por el uso incorrecto de la información o de los sistemas.


17


El sistema prevé que cada mes se solicita un cambio de clave, por lo tanto al existir un usuario y una única clave que es utilizada por varios funcionarios del Área de Ahorro y Préstamo, los funcionarios deben averiguar cuál de los compañeros ingresó de primero ese día y realizó el cambio de la clave, de lo contrario no podrían acceder al sistema.

Aunado a esta limitante de identificar a los usuarios de la información, el

sistema tampoco admite llevar un control por medio de bitácoras, que permita fiscalizar el acceso a la información y las modificaciones que se realizan a ésta. La ausencia de pistas de auditoría que permitan llevar el control del acceso a la información pone en riesgo la información de los ahorrantes y prestatarios almacenada en el equipo.

2.4.3. Limitación en la capacidad de almacenamiento

En el sistema del equipo servidor AVIION existe una limitación en relación con el monto máximo que permite el sistema para registrar las transacciones, ya que solamente permite la cantidad de 21.000.000, esta circunstancia estará presente hasta que el INVU realice un cambio en la plataforma tecnológica.

Esta limitación se debe a que el sistema se creó en la década de los años

setenta y que en ese momento el espacio en disco era sumamente caro, por lo que el espacio diseñado para agrupar la información era muy pequeño, por lo tanto en la actualidad esta forma de almacenamiento de información no se puede modificar.

Sobre este mismo particular, la Jefe del Proceso de Informática nos informó

que la situación es conocida por los usuarios del sistema, por lo que en caso de necesitar registrar montos mayores al límite, deben dividirlo en tantos registros como múltiplos de 21.000.000 se requieran. Si un usuario ingresa un monto mayor al límite, la información ingresada en el sistema se modificará.

Por esta razón, los usuarios deben tener mucho cuidado con los montos que

registran en el sistema, por ejemplo, si a un cliente se le aprueba un préstamo de ¢100.000.000 (cien millones de colones), este debe registrarse como 5 operaciones de crédito individuales, generando mayores costos para el Área de Ahorro y Préstamo, debido a que tendrá que llevar un control más exhaustivo sobre una mayor cantidad de contratos y cuentas por cobrar.

Además, de las implicaciones anteriores, esta situación le da la oportunidad al

cliente de cancelar algunas cuotas de los 5 contratos y no la totalidad de las cuotas que realmente le corresponde cancelar, afectando de esta forma el índice de morosidad.

En oficio DI-083-2010 del 30 de julio del 2010, la Jefe del Proceso de

Informática le indicó a la Gerencia General, que este problema lo están presentando, debido a que los montos máximos se han visto afectados según las necesidades de la institución y que son sistemas que cumplieron su vida útil y nunca fueron reemplazados.

Adicionalmente se pueden presentar otros problemas, los cuales fueron

confirmados por la Jefe del Proceso de Informática, la cual literalmente nos indicó:


18


“..de mantenerse en funcionamiento estos sistemas, empezarán a fallar otras aplicaciones, como por ejemplo las historias de los contratos que hoy están en línea por más de 10 años, en algún momento tendrán que borrarse porque las “ligas” que las unen presentarán los mismos inconvenientes y tendrán que empezar de cero, como se hacía cada año antes de 1999. Otro problema latente y que pronto empezará a fallar son las fechas, por ahorro de espacio y porque en la herramienta de programación DG Business Basic no existen campos fecha, estás se almacenan en 2 Bytes, en 1999 previendo que los sistemas podrían atrasarse procedimos a utilizar un truco para solventar momentáneamente la problemática del 2YK, esto nos ha dado un respiro de 10 años pero muy pronto empezará a presentar los mismos inconvenientes, prácticamente todos los sistemas del AVIION van a colapsar.”

2.4.4. Otras deficiencias en los sistemas de información

Además de las inconsistencias y debilidades comentadas anteriormente, tanto

en el equipo servidor el AVIION, como en el Sistema de Ahorro y Préstamo, esta Contraloría General detectó problemas adicionales en los sistemas de información en el INVU, los cuales se comentan a continuación:

- El Sistema de Ahorro y Préstamo como ya se mencionó fue diseñado hace

muchos años, momento en el cual las tendencias tecnológicas eran muy diferentes a las actuales, por lo que tampoco se consideró la posibilidad de integración del sistema con otros sistemas y entre sí.

En razón de lo anterior, esta Contraloría General constató que no existe integración en el sistema que permita llevar por ejemplo un registro actualizado de los pagos que realizan los clientes, siendo que al momento de realizar un pago, el cliente lo pueda ver reflejado inmediatamente en su estado de cuenta, sin embargo, esto no es posible, porque el registro de los pagos del día se realiza hasta el día siguiente ya que cada comprobante de ingreso debe digitarse por parte de los funcionarios de la Unidad de Digitación.

- Según la información suministrada por los usuarios del Sistema de Ahorro y

Préstamo, éstos consideran que el sistema es muy rígido, que puede utilizarse únicamente como medio de consulta, debido a que los usuarios no tienen acceso a modificaciones o solicitudes de información adicionales a las existentes, y que para esto deben recurrir al Proceso de Informática para que les genere nuevos reportes de acuerdo a las necesidades de cada unidad.

- El sistema no es una herramienta oportuna para la toma de decisiones

institucional y no apoya eficientemente las operaciones de las distintas Unidades, teniendo que recurrir a procedimientos manuales para la confección de estados de cuenta, registros de asientos contables y elaboración de los Estados Financieros, procesos que implican mayores controles y riesgos al ser realizados en forma manual y los cuales se podrían fortalecer con el uso de un sistema más automatizado, integral y que permita dar seguimiento de las modificaciones realizadas por los usuarios.


19


- Por su parte la encargada del Proceso de Crédito, considera que lo antiguo del sistema informático lo hace deficiente, situación que limita brindar la información que solicitan los clientes, tanto internos como externos, porque se debe recurrir a procedimientos manuales, para recopilar la información requerida, como sucede con las constancias de contratos de ahorro, constancias de préstamos, estudios de pago por concepto de préstamos, análisis de maduración de contratos, entre otros informes solicitados por los mismos funcionarios de la institución para la ejecución de sus labores.

- El sistema no guarda la información del tipo de plan original que tienen los

contratos, sino que muestra el último tipo de plan que se cambio, perdiendo la información original del contrato en el sistema, por lo que si en algún momento se requiere dicha información, se tiene que recurrir a la búsqueda de los documentos físicos históricos para recopilar esta información.

2.5 Inconsistencias que atentan contra la calidad de la información en los archivos de datos del Sistema de Ahorro y Préstamo

Debido al grado de vulnerabilidad que comprobó esta Contraloría General en este

estudio en relación con la plataforma tecnológica que soporta los sistemas más relevantes en el INVU, se procedió a realizar algunas pruebas sobre la integridad de la información de los archivos de datos de las carteras de Ahorro y Préstamo.

Al respecto se determinó la existencia de una serie de inconsistencias en la

información que se encuentra almacenada en el Sistema, así como otras que se generan en la extracción de los datos debido a la antigüedad del servidor el AVIION.

Las pruebas de análisis de datos se llevaron a cabo con la información de las carteras

de ahorro y préstamo tanto al 31 de diciembre del 2007 como al 30 de abril del 2011, así como los movimientos para el periodo comprendido entre el 1º de enero del 2008 y el 30 de abril del 2011.

La existencia de estas inconsistencias atentan contra lo establecido en la Norma de

Gestión y Control de Tecnologías de Información, 4.3 Administración de los datos, la cual indica entre otras cosas que la organización debe asegurarse que los datos procesados mediante TI, correspondan a transacciones válidas

Las razones por las cuales se presentan estas inconsistencias según nos informó la

Jefe del Proceso de Informática se debe a varias circunstancias entre las que se destacan, la ausencia de medios de control originados por la antigüedad de los equipos y errores al momento de extraer la información del servidor AVIION.

Como consecuencia de lo anterior, esta Contraloría General identificó algunos campos

numéricos negativos y campos con fechas inválidas, registros duplicados, falta de uniformidad en el uso de los campos por parte de los usuarios, registros con fechas de cancelación superiores al 30 de abril del 2011, que fue la fecha de corte de la información solicitada, inclusive en algunos casos con fechas del año 2020 y 2026, así como fechas de los años 2100 y 2191 y en otros casos fechas de pago de años 3201 y 4201. Adicionalmente, se identificaron 6 contratos que no aparecen registrados en la tabla de contratos, los cuáles suman ¢2.263.216.00, inconsistencias en el registro de las fechas de inicio ya que el sistema del servidor no cuenta con campos tipo fecha e inconsistencia en los porcentajes de costos administrativos.


20


Se hicieron pruebas específicas para cada uno de los archivos de datos suministrados según la importancia y el papel que cumplen éstas dentro del proceso y se observaron inconsistencias que inciden de forma negativa en la información que se almacena en el equipo servidor AVIION, determinándose una diferencia de aproximadamente ¢32.269.809,71, entre el saldo de la cartera de ahorro al 30 de abril del 2011 y el recálculo efectuado por esta Contraloría General a esa misma fecha.

Por su parte, no fue posible efectuar un recálculo al 30 de abril del 2011 del saldo de la

cartera de préstamos debido a las inconsistencias en la información de los archivos de datos. De acuerdo con lo anteriormente expuesto, a esta Contraloría General no le resulta

posible emitir una opinión sobre la integridad de la información al 30 de abril del 2011, correspondiente a los saldos de las carteras del Sistema de Ahorro y Préstamo, debido a que la inconsistencia de los datos no garantiza la fiabilidad de los resultados que se pudieran determinar al ejecutar las pruebas asistidas por medios electrónicos.

A continuación, se comentan las debilidades más importantes observadas:

2.5.1 Información inconsistente en los campos de las tablas analizadas:

Se analizó la información contenida en los archivos de datos denominados

“Cartera de Préstamos Diciembre 2007”, “Cartera de Préstamos Abril 2011-MAES”, “MOVIM”, “MOVIM CRÉDITO”, “Contratos-AYPCON-2007” y “Contratos-AYPCON”, cuya información es registrada mediante el Sistema de Ahorro y Préstamo.

→ En relación con el archivo de datos denominado “Cartera de Préstamos Diciembre 2007”, se determinó lo siguiente:

El archivo de datos “Cartera de Préstamos Diciembre 2007” contiene un campo

denominado “Inicio” el cual corresponde a la fecha de inicio del préstamo, considerando esto, se determinaron aquellos registros que no cuentan con la fecha de inicio, obteniéndose un total de 36 registros, los cuales su saldo suma un total de ¢109.076.545.43.

Este resultado fue validado con el Proceso de Informática, quiénes indicaron que

debido a la falta de controles que tiene el sistema al ser tan antiguo, los usuarios pueden dejar en blanco este campo o bien pueden ingresar una fecha inválida, la cual al momento de extraer la información del equipo servidor AVIION será extraída como un campo vacío. Además, la certificación de copia fiel de los datos suministrada por el Proceso de Informática a esta Contraloría General, de que el lenguaje en que se captura y procesa la información en el AVIION (servidor principal), no maneja campos tipo fecha, por lo que puede suceder que alguna fecha sea inconsistente y se refleje al momento de realizar la conversión a otros formatos11.

Por su parte, en relación con los campos “Original” y “Saldo” los cuales

corresponden al monto original de la deuda y al monto que está pendiente de pagar, se determinaron 7 y 94 registros, con el monto en negativo, los cuales suman (¢132.647.710.72) y (¢4. 174.973.57), respectivamente. Por medio de la validación, se determinó que en el caso del campo “Original” los montos negativos se deben a la limitación que tiene el sistema de

11

Certificación solicitada por este Órgano Contralor y remitida por la Jefe del Proceso de Informática, mediante oficio Nro. DI-071-2011 de fecha 20 de junio del 2011.


21


ingresar montos máximos hasta por la suma de 21.000.000, limitación que fue expuesta en apartados anteriores de este informe, por lo que cuando un usuario ingresa un monto mayor a éste, los montos se convierten en un monto negativo.

En el caso del campo “Saldo”, se puede presentar que el cliente en su última

cuota cancele más dinero del que debe generando así saldos negativos o bien que el cliente cancele la primer cuota sin que se haya registrado aún el monto original de la deuda. En este sentido, el sistema carece de medios de control que impidan al cliente cancelar un monto superior al saldo de su crédito, así como también, que no permita ingresar el pago de la primer cuota sin que se haya registrado el crédito original.

→ En relación con el archivo de datos denominado “Cartera de Préstamos 2011-MAES”, se determinó lo siguiente:

A pesar de que este archivo de datos corresponde a la Cartera de Préstamos al

30 de abril del 2011, se realizó la misma verificación en el campo de “Inicio” para la cual se obtuvieron un total de 18 registros sin fecha de inicio, los cuales su saldo suma un total de ¢74.482.585.99, como ya se mencionó corresponden a errores en el registro de una fecha inválida o bien a la falta de registro de la fecha de inicio.

En relación con los campos que contienen montos en negativo, se determinó que

los campos “Original”, “Saldo” y “Anterior”, cuentan con 2, 302 y 214 registros con el monto negativo, los cuales suman, (¢35.899.345.92), (¢912.355.67) y (¢915.144.07), respectivamente. Estas inconsistencias se presentan debido a que el sistema no cuenta con mecanismos de control que le impidan registrar montos negativos en estos campos, los cuales según su naturaleza no tiene sentido que muestren montos negativos. Estos resultados afectan en forma negativa el análisis posterior que se realice con las pruebas de datos, así como el uso de la información por parte de los usuarios del INVU.

Adicionalmente, se creó un campo al cual se le denominó “Deuda”, el cual

corresponde a la resta del campo “Original” menos el campo “Prima”, este último registra el monto ahorrado por el cliente durante el periodo de contrato de ahorro. Así mismo, se hizo una validación en la que los campos “Saldo” y “Anterior” debían ser menores o iguales al campo “Deuda”, sin embargo, se obtuvieron 7 registros que no cumplen con esta condición. Según validaciones realizadas existe un mal uso del campo “Original”, ya que algunos usuarios registran en este campo el monto de la deuda, pero otros registran el monto del contrato (lo cual incluye el monto del ahorro), por esta razón para el análisis de los datos no se puede confiar en los montos registrados en el campo “Original”, el cual no es utilizado de manera uniforme por parte de los usuarios del sistema.

→ En relación con el archivo de datos denominado “MOVIM”, se determinó lo siguiente:

El archivo de datos “MOVIM” incluye todos los movimientos de contratos de ahorro

realizados durante el periodo del 1° de enero del 2008 al 30 de abril del 2011. Considerando el periodo que abarcan los movimientos, se realizó una validación de las fechas en el campo “Fecha de Cancelación”, el cual corresponde a la fecha en la que se realizó el movimiento, se obtuvieron un total de 205 registros con una fecha de cancelación superior al 30 de abril del 2011, a continuación se muestra un detalle con las fechas de cancelación superiores a la indicada y la cantidad de registros para cada una de estas:


22


FECHA

CANCELACIÓN

NUMERO DE

REGISTROS

04/05/2011 58

17/07/2011 20

23/12/2011 6

13/02/2020 6

28/02/2020 3

23/07/2020 66

25/10/2026 41

01/12/2100 2

01/02/2191 3

Como se observa en el cuadro anterior, además de encontrarse fechas superiores al 30 de abril del 2011, se registran movimientos con fechas superiores a la fecha de este informe, como lo son los 66 registros con fecha 23 de julio del 2020. Ante la validación de estos resultados, se determinó que puede presentarse debido a los problemas con la fecha al momento de extraer la información del equipo servidor AVIION, así como también, los usuarios pueden haber registrado fechas incorrectas en el campo indicado, ya que el sistema no cuenta con controles que impidan el registro de movimientos con fechas futuras.

Por otro lado, se realizó un análisis del campo “Cuota_paga” el cual corresponde

al número de cuota que se está cancelando con el movimiento registrado, para lo cual se determinaron 23 registros de movimientos realizados mediante las cajas recaudadoras los cuales indican que la “Cuota_paga” es igual a cero. Esta situación se presenta por omisión de la cuota que se está cancelando o bien para el registro de un pago extraordinario del cliente, sin embargo, según la información brindada por funcionarios de Ahorro y Préstamo, se indicó que para registrar los pagos extraordinarios se utiliza el número de cuota “999”, práctica que no está establecida formalmente.

Adicionalmente se realizó una sumarización de los registros según el campo

“Cuota_paga”, considerando para esto que el número de cuotas máximo que debe tener un contrato es de 120 (para los planes de contrato de ahorro de 10 años). Se determinaron un total de movimientos de 344.992 con un número de cuota superior a la 120, los cuales suman un total de monto ahorrado de ¢6.902.710.150.35. Situación que el sistema permite al no tener un control cruzado del campo “Cuota_paga” con el campo “Plan1”, el cual corresponde al periodo de ahorro del cliente.

Se efectuó un cruce de información entre los archivos de datos de “MOVIM” y

“Contratos-AYPCON”, en el cual se determinaron 6 movimientos de contratos que corresponden a registros del periodo 2008 – abril 2011, no obstante, los contratos afectados no se incluyen en la cartera de ahorro al 30 de abril del 2011, a pesar de que dos de estos contratos generaron un saldo total de ¢2.263.216.00.

Según validaciones realizadas con el Proceso de Informática, esto se debe a un

error al momento de extraer la información de la cartera de ahorro, debido a que el proceso de extracción de datos del sistema del equipo AVIION es bastante complicado por el lenguaje que utiliza el sistema y la forma en la que está almacenada la información.


23


→ En relación con el archivo de datos denominado “MOVIM CREDITO”, se determinó lo siguiente:

El archivo de datos “MOVIM CREDITO” incluye todos los movimientos de

préstamos realizados durante el periodo del 1° de enero del 2008 al 30 de abril del 2011. Considerando el periodo que abarcan los movimientos, se validaron las fechas en el campo “Fecha Pago”, el cual corresponde a l a fecha en la que se realizó el movimiento, se obtuvieron un total de 26 registros con una fecha de pago superior al 30 de abril del 2011, a continuación se muestra un detalle con las fechas de cancelación superiores a la indicada y la cantidad de registros para cada una de estas:

FECHA DE

PAGO

NUMERO DE

REGISTROS

13/01/2201 1

22/01/2201 2

21/10/2201 2

22/10/2201 2

13/01/3201 1

22/01/3201 1

22/10/3201 2

13/01/4201 1

22/10/4201 1

02/01/5201 1

02/01/6201 3

13/01/6201 1

13/01/7201 2

21/10/7201 1

02/01/8201 1

13/01/8201 1

21/10/8201 1

02/01/9201 1

21/10/9201 1

Tal como lo muestra el cuadro anterior, las fechas de pago que se detallan corresponden a fechas con años futuros como lo son “2201”, “3201”, “4201”, “5201”, “6201”, “7201”, “8201” y “9201”, registros que muestran la inconsistencia que presenta el campo “Fecha pago” en el archivo de datos analizado. Al igual que las inconsistencias presentadas en los campos tipo fecha de los otros archivos de datos, esta situación se presenta al momento de extraer la información del equipo servidor AVIION o bien corresponden a errores en el registro por parte de los usuarios del sistema.

→ En relación con el archivo de datos denominado “Contratos-AYPCON-2007”, se determinó lo siguiente:

El archivo de datos “Contratos-AYPCON-2007 corresponde a la cartera de ahorro

al 31 de diciembre del 2007, en la cual el campo “Inicio” registra la fecha de inicio del contrato, por lo que fue necesario realizar una validación de este campo, determinando un total de 101 registros con fecha posterior al 31 de diciembre del 2007, los cuales suman un total de ahorrado de ¢1.354.486.00, a continuación se muestra un detalle de las fechas de inicio con la respectiva cantidad de contratos registrados:


24


INICIONUMERO DE

REGISTROS

04/01/2008 14

07/01/2008 14

08/01/2008 13

09/01/2008 13

10/01/2008 36

11/01/2008 4

28/04/2008 1

15/01/2010 2

22/03/2010 1

25/04/2023 3

Como se muestra en el cuadro anterior, a pesar de que la cartera tiene un cierre al 31 de diciembre del 2007, se tienen contratos con fecha de inicio de hasta el 2010 e incluso se registran tres contratos con fecha 25 de abril del 2023. En este caso según la validación realizada, puede presentarse errores al momento de extraer la información del equipo servidor el AVIION, o bien, puede corresponder a contratos que fueron registrados con una fecha incorrecta.

Adicionalmente, se tienen 116 registros en los cuales no se registra una fecha de

inicio, estos registros suman un total ahorrado de ¢24.623.160.80. Para el control de los contratos de ahorro es importante contar con la fecha de inicio del contrato, esta carencia se presenta debido a que el sistema no cuenta con un control de las datos que se incluyen para el campo de inicio, debido a que el lenguaje en el que trabaja el sistema del AVIION, no cuenta con campos tipo fecha, por lo que estos registros pueden deberse a fechas de inicio inválidas o ausencia de estas.

Como parte del análisis de este archivo de datos, se determinaron los registros

que según los campos “CEDULA” y “CONTRATO” se encuentran duplicados, determinando un total de 10 registros duplicados, los cuales según la validación realizada con el Proceso de Informática no deberían presentarse, debido a que no es posible que se repita un número de contrato para un mismo número de cédula. Además, se obtuvieron dos registros que en su campo “Plan2”, el cual corresponde al periodo de cancelación del préstamo se encuentran vacíos, y en uno de ellos se registra un “Plan1” igual a “13”, tipo de plan que ni siquiera existe. Estas inconsistencias evidencian la carencia que tiene el sistema de controles de entrada de la información.

Aunado a lo anterior, el archivo de datos contiene montos negativos en varios de

sus campos, los cuales se detallan a continuación, indicando la cantidad de registros y el monto total del campo respectivo:

CAMPONUMERO DE

REGISTROSTOTAL

MAHORRO 7 (¢826.221)

SUSCRITO 56 (¢102.891.696.59)

TOTAHO 72 (¢1.002.777.53)

TOTING 6 (¢167.020)


25


Los montos negativos, se presentan en primer lugar por la limitación ya señalada en este informe, que presenta el sistema en cuanto al registro de montos inferiores a los 21.000.000, así como también, se debe a que el sistema no controla el registro de movimientos de un contrato según el saldo de éste, por lo que es posible que se disminuya un contrato por un monto mayor de su saldo, generando los registros negativos.

→ En relación con el archivo de datos denominado “Contratos-AYPCON”, se determinó lo siguiente:

El archivo de datos “Contratos-AYPCON corresponde a la cartera de ahorro al 30

de abril del 2011, en la cual también se realizó una validación del campo “Inicio”, determinando un total de 34 registros con fecha posterior al 30 de abril del 2011, los cuales suman un total de ahorrado de ¢2.245.140.00, a continuación se muestra un detalle de las fechas de inicio con la respectiva cantidad de contratos registrados:

INICIONUMERO DE

REGISTROS

02/05/2011 16

03/05/2011 10

01/09/2011 1

03/11/2011 1

18/11/2011 1

24/11/2011 1

17/12/2011 1

25/04/2023 3

Como se muestra en el cuadro anterior, a pesar de que la cartera tiene un cierre al 30 de abril del 2011, se tienen contratos con fecha de inicio de hasta setiembre, noviembre y diciembre del 2011 e incluso se vuelven a reflejar los tres contratos con fecha 25 de abril del 2023, que se determinaron en el archivo de datos de la cartera de ahorro al 31 de diciembre del 2007.

Adicionalmente, se tienen 120 registros en los cuales no se registra una fecha de

inicio, estos registros suman un total ahorrado de ¢5.468.128.00. Como se indicó para la cartera de ahorro a diciembre 2007, es importante contar con la fecha de inicio del contrato, y por ende es necesario que el sistema de ahorro y préstamo tengan mecanismos de control para la información que se incluye como fecha de inicio.

Como parte del análisis de este archivo de datos, también se determinaron los

registros que según los campos “CEDULA” y “CONTRATO” se encuentran duplicados, determinándose un total de 18 registros duplicados, los cuales no deberían presentarse. Además, se mantienen los dos registros que contienen errores en sus campos “Plan1” y “Plan2”, determinados en la cartera de ahorro anterior. También se determinó la existencia de 80 registros en los cuales se indica que el “CONTRATO” es igual a cero, además el monto total ahorrado para estos contratos es también de cero, por lo que según validaciones con Ahorro y Préstamo, estos registros corresponden a intentos de ingreso de un contrato en el sistema que en su momento no se borraron.


26


Aunado a lo anterior, el archivo de datos contiene montos negativos en varios de sus campos, los cuales se detallan a continuación, indicando la cantidad de registros y el monto total del campo respectivo:

CAMPONUMERO DE

REGISTROSTOTAL

MAHORRO 8 (¢977.613)

SUSCRITO 63 (¢112.061.500.33)

TOTAHO 101 (¢2.531.109.81)

TOTING 11 (¢311.020)

Como se muestra en el cuadro anterior, la problemática de los montos negativos no solo se mantiene, sino que hay un incremento en relación con la cartera de ahorro a diciembre 2007, en la cantidad de registros que presentan esta condición por las causas señaladas en el apartado anterior.

Por otro lado, se realizó una verificación del campo “PORCENTAJE” el cual

registra el monto porcentual que se cobra a los clientes por concepto de costos administrativos, el cual puede ser según la validación de un 2%, 3%, 4%, 5% y 6%, sin embargo, se obtuvieron un total de 54 registros que cuentan con un porcentaje distinto a los indicados, a continuación se muestra un detalle de los registros según el porcentaje:

PORCENTAJENUMERO DE

REGISTROS

SUMATORIA

DEL TOTAL

AHORRADO

0 45 7,478,606.00

1 7 2,090,511.00

7 1 24,168.00

9 1 66,223.00

Como se muestra en el cuadro anterior, existen 45 registros a los cuales no se le asignó un porcentaje de costos administrativos, por lo que el total de lo pagado por el cliente será sumado al total de su ahorro, así mismo, existe un contrato de ahorro con un porcentaje del 9% de costos administrativos. Según validaciones realizadas con funcionarios de Ahorro y Préstamo, es necesario realizar un análisis para cada uno de estos contratos, debido a que estos porcentajes no corresponden a datos válidos para el campo en cuestión.

Adicionalmente, la cartera de ahorro cuenta con el campo “ESTADO” el cual indica

el estado en el que se encuentra el contrato de ahorro, por lo cual se hizo una sumarización según este campo, para determinar el total ahorrado para cada uno de los estados. A continuación se muestra el detalle parcial de los registros por estado incluyendo el total ahorrado para cada uno de estos:


27


ESTADODESCRIPCIÓN DE

ESTADO

NUMERO DE

REGISTROS

SUMATORIA DE

TOTAL AHORRO

SUMATORIA DE

TOTAL INGRESO

0 Sin eventos 68,901 35,741,328,212.16 13,250,574,519.38

1 Primer Préstamo Parcial 74 - 40,000.00

2 Segundo Préstamo Parcial 31 262,092.00 80,000.00

3 Tercer Préstamo Parcial 44 352,524.00 80,000.00

4 Contrato Renunciado 9,797 22,837,182.30 421,917,152.00

5 Contrato Utilizado 59,415 108,856,291.03 6,240,759,378.91

6 Contrato Traspasado 55,231 126,532,109.13 32,676,980.00

7 Contrato Inactivo 47,259 4,407,355,235.64 4,187,824,305.68

8 Paquetes 12 326,688.00 80,000.00

9 Paquetes Inactivo 8 - 40,000.00

En el cuadro anterior no se muestran un total de 56 registros los cuales tienen un tipo de estado numerado desde el “10” hasta el “31”, sin embargo, según la lista de estados solicitada al Proceso de Informática, estos tipos de estado no existen.

Además, llama la atención de este Órgano Contralor, que existen contratos de

ahorro con los estados “Renunciado”, “Utilizado” y “Traspasado” que cuentan con saldos en el total de ahorro, por montos de ¢22.837.182.30, ¢108.856.291.03 y ¢126.532.109.13, respectivamente, los cuales según la naturaleza del estado que indican no deberían tener un saldo de ahorro. Según validaciones con el Proceso de Informática, esta situación refleja un error en el código de estado que muestran estos contratos, debido a que el sistema tampoco cuenta con controles que exijan un saldo de ahorro en cero para los tipos de estado que deberían tener esta condición.

Las inconsistencias presentadas en los archivos de datos analizados, debilitan la

calidad de la información administrada por el INVU, afectando la uniformidad y exactitud de los datos. El sistema de ahorro y préstamo carece de herramientas de control que deben ser consideradas en el desarrollo o adquisición de un nuevo sistema, como lo es el control de registros negativos, fechas inválidas, así como establecer parámetros de información válida para los campos de “Cuota_Paga”, “Plan1”. “Plan2”, “PORCENTAJE” y “ESTADO”.

2.5.2 Diferencias en el recálculo correspondiente a las Carteras de Ahorro y de

Préstamos.

Después de analizar los archivos de datos en forma individual, se procedió a

realizar algunas pruebas utilizando la unión de tablas, que permitieran el cruce de información entre ellas. Con el objetivo de realizar un recálculo del saldo de la cartera de ahorro al 30 de abril del 2011, se unieron las tablas correspondientes a la cartera de ahorro al 31 de diciembre del 2007, los movimientos de ahorro para el periodo del 1° de enero del 2008 al 30 de abril del 2011 y la cartera de ahorros a esta última fecha.

Para realizar el recálculo del saldo de la cartera de ahorro se agregó un campo

numérico, en el cual se estableció como parámetro una fórmula que toma el Saldo al 31 de diciembre del 2007 y le suma el total del monto de ahorro según los movimientos de cada uno de los contratos. Obteniéndose así los siguientes resultados en colones:


28


Saldo al 30 de abril del 2011 según el archivo de datos 40,407,850,334.26

Recálculo del Saldo al 30 de abril del 2011 40,375,580,524.55

Diferencia 32,269,809.71

En el recálculo se determinaron un total de 554 contratos de ahorro que presentan diferencias entre el saldo al 30 de abril del 2011 y el recálculo que se realizó. Es importante recalcar que las inconsistencias analizadas en el apartado anterior, afectan directamente los resultados de esta prueba. Así mismo, los resultados fueron validados con el Proceso de Informática, estas diferencias se pueden presentar por problemas al momento de extraer la información del equipo servidor el AVIION, ya que el proceso de extracción de los datos es muy complicado, al ser el lenguaje del sistema muy antiguo, adicionalmente, tal y como se determinó en el análisis del archivo de datos de “MOVIM” (movimientos de contratos de ahorro), existen problemas con el registro de las fechas de cancelación, por lo que está anuente la posibilidad de que algunos de los contratos con diferencias en el recálculo de su saldo, se deba a movimientos que no fueron extraídos por tener una fecha de cancelación incorrecta.

Debido a las inconsistencias señaladas, esta Contraloría General, determinó

que para establecer las causas especificas de cada una de las diferencias encontradas en los saldos de los contratos de ahorro al 30 de abril del 2011, sería necesario realizar un análisis individual de cada contrato, estudio fuera del alcance de este proyecto de fiscalización en particular.

Por otra parte, en relación con la cartera de préstamos, se realizó una unión de

lo archivos de datos de la cartera de préstamos al 31 de diciembre del 2007, los movimientos de los créditos para el periodo del 1° de enero del 2008 al 30 de abril del 2011 y la cartera de préstamos a esta última fecha. Con el mismo objetivo de realizar un recálculo del saldo de la cartera de préstamos al 30 de abril del 2011, se creó un campo numérico, para el cual se determinó como parámetro la fórmula que toma el saldo del préstamo al 31 de diciembre del 2007 o el monto de la deuda para aquellos créditos que se formalizaron después de esta fecha y se le restó el total de la amortización según los movimientos del crédito.

En esta prueba de un total de 10.288 registros, 10.077 presentan diferencias

entre el saldo del crédito al 30 de abril del 2011 y el recálculo que se realizó de éste. Considerando que un 97% de los registros presentan estas diferencias, se procedió a realizar las validaciones de la prueba con el Proceso de Informática, determinando que en primer lugar debido al mal uso del campo “ORIGINAL” no es posible determinar el monto real de la deuda para aquellos créditos que fueron formalizados después del 31 de diciembre del 2007. Por otro lado, recalcan lo señalado en la certificación de copia fiel de los datos, suministrada por el Proceso de Informática, en la cual se indica:

“Un problema encontrado es que los respaldos son semestrales, la historia de los movimientos, se guarda y limpia por semestre, así podemos encontrar en dos semestres distintos, movimientos idénticos por lo que se sometió a un proceso de depuración tratando de eliminar los duplicados”


29


Considerando lo anterior y lo señalado por el Proceso de Informática, así como existe la posibilidad de que en el archivo de datos suministrado existan movimientos duplicados que estén afectando la prueba del recálculo, también sucede que algunos movimientos de crédito se pierdan al momento de realizar el respaldo semestral, a pesar de esto, los movimientos perdidos sí afectan como corresponde al saldo del crédito. Adicionalmente, los errores analizados para el archivo de datos “MOVIM CREDITO” en relación con el uso de fechas inválidas, también afectan los resultados de esta prueba.

Finalmente, no fue posible recalcular los saldos de la cartera de préstamos al

30 de abril del 2011, debido a las inconsistencias en la información de los archivos de datos.

2.6 Debilidades y riesgos en la Infraestructura tecnológica desarrollada en el INVU

Como parte de las pruebas realizadas esta Contraloría General llevó a cabo una inspección física en las instalaciones en donde se ubica el proceso de Informática y los principales equipos que apoyan las tecnologías de información en el INVU.

De acuerdo con lo anterior, se determinó que existen limitaciones al espacio donde se

ubica la unidad de tecnologías de información, no se dispone del área necesaria para acondicionar los diferentes ambientes ni espacios para almacenar y archivar información. Los equipos en servicio y las unidades principales de tecnologías, se encuentran en áreas reducidas, donde pueden afectarse por el eventual ingreso de personal, ya sea por labores de mantenimiento y reparación de equipos.

Además no se cuenta con áreas seguras para la custodia de equipos en prueba,

respaldos de información y el almacenamiento de los suministros de TI. Lo anterior, debilita el cumplimiento de las normas de gestión y control de las tecnologías de información, en lo que respecta a la arquitectura e infraestructura tecnológica, establecidas en las normas 2.2. y 2.3, las cuales disponen que la organización debe optimizar tanto el uso de los sistemas de información como de su infraestructura tecnológica.

La inspección física se llevó a cabo el día 10 de marzo del año en curso, con la

coordinación de los funcionarios Ing. Gerardo Gómez Carpio, Ing. Carlos Miranda Mora, del Proceso de Informática y con la presencia de los funcionarios de la Contraloría General. En el momento de la visita se observaron los siguientes aspectos:

2.6.1 Riesgos en las salas de servidores

a. En la Sala de Servidores se observaron varias impresoras de líneas, las

cuales generan polvo que puede saturar los aires acondicionados y las unidades de ventilación propias de los servidores, así como dañar cintas magnéticas de respaldo. También se observó una gran cantidad de papel para suplir estas impresoras. (Ver fotografía Nro. 1)

b. Se detectó un anaquel con cajas de papel que bloquea las cajas de

interruptores de corriente en la sala de servidores, lo que impediría una acción oportuna en el caso de que deban accionarse estos interruptores por alguna emergencia. (Ver fotografía Nro. 1,2 y 3).

c. En la sala de servidores, al lado del papel almacenado y de los servidores, se encontró un recipiente con basura, producto de papel y formularios continuos de desecho lo que incrementa la posibilidad de un siniestro. (Ver fotografía Nro. 3)


30


d. En esta misma área bajo los escritorios, al lado de los equipos principales, se almacena gran cantidad de papel y basura, lo cual también incrementa el riesgo de un siniestro. (Ver fotografía Nro. 4).

e. Se encontró gran cantidad de cintas de respaldo en los marcos de las

ventanas y encima de los escritorios en la sala de servidores, práctica no adecuada dado que pone en riesgo la seguridad de la información y la integridad de los respaldos, incrementándose por la presencia de impresoras de matriz de puntos (que generan partículas de papel y polvo) y de las cantidades de basura presentes. (Ver fotografías Nro.4 y 6).

f. En el suelo de la sala de servidores se encontraba una unidad usada para

recarga del aire acondicionado, no siendo el lugar apropiado para su almacenamiento. (Ver fotografía Nro.5).

g. Se detectó la presencia de equipo eléctrico de desecho al lado de los

servidores. (Ver fotografía Nro.6) h. Justo al lado del servidor principal se encuentra un panel de cableado sin

ningún tipo de rotulación, lo que impide un mantenimiento oportuno y eficaz de las estaciones de trabajo conectadas por este medio. (Ver fotografía Nro.7).

2.6.2 Control de ingreso Área de Informática

a. No existe ningún control, ni registro de ingreso al área de informática ni a la

sala de servidores. (Ver fotografías Nro.8 y 10). Esta información fue validada el 26 de mayo del año en curso con los funcionarios del proceso de informática Lic. Gerardo Gómez y el Lic. Carlos Miranda, los cuales confirmaron que efectivamente no existe un control ni registro al área respectiva.

b. No existe ningún dispositivo de control de acceso de seguridad a las áreas

de informática, sala de servidores y cuartos de comunicaciones. (Ver fotografía Nro.8, 10, 20 y 21). Esta información fue validada el 26 de mayo del año en curso con los funcionarios del proceso de informática Lic. Gerardo Gómez y el Lic. Carlos Miranda, los cuales confirmaron que efectivamente no existe un control ni registro de ingreso al área respectiva.

2.6.3 Área para mantenimiento de equipos

No existe un área debidamente acondicionada para dar mantenimiento a los

equipos, encontrándose algunos en el suelo, aumentando el riesgo de mayores deterioros dada su exposición al polvo, la suciedad y a accidentes. (Ver fotografía Nro. 9).

2.6.4 Equipos accesorios

Presencia de desechos, equipos y mobiliario en la entrada a los cuartos de

comunicación y la Sala de Servidores, lo que representa un riesgo en casos de entrada o por emergencia ante un siniestro. (Ver fotografías Nro.11, 12, 20 y 21).


31


2.6.5 Inseguridad del Archivo Central y sótano del edificio

a. En la visita al archivo central se pudieron detectar los paneles eléctricos del

equipo informático justo al lado de todo el papel de los expedientes almacenados en el archivo ubicado en el sótano del edificio, representando un alto riesgo de un siniestro de grandes proporciones debido a cualquier eventual corto circuito en cableados eléctricos viejos, inadecuados, sin rotular y a expensas de funcionarios de archivo y no de técnicos especializados en electricidad que puedan reaccionar en caso de un evento de este tipo. (Ver fotografías Nro.13 y 14)

b. Deficiente control de los paneles de cableado, tanto eléctrico como

telefónico y de red, los cuales se encuentran expuestos y podrían poner en riesgo las comunicaciones institucionales, la continuidad de servicios y la seguridad de la información. (Ver fotografías Nro.14, 18 y 19).

c. Se encontró una gran cantidad de desechos en la parte posterior y sobre

las unidades de poder ininterrumpido que se encuentran en el sótano de la institución y que abastecen a los equipos informáticos, asimismo, al lado de esta sala, cuya puerta llama la atención al visitante de que representa un área de peligro por “alto voltaje”, se encuentra la bodega de papel, ambas salas conjugan un alto riesgo que incrementan la posibilidad de siniestros. Asimismo, las personas que poseen llaves de estos recintos se encuentran en otros niveles del edificio y su desplazamiento en la eventual materialización de un siniestro no sería en los tiempos adecuados para responder de manera eficaz. ((Ver fotografías Nro.15, 16 y 17).

2.6.6 Componentes de detección de riesgos

Ausencia de un adecuado sistema de detección y de supresión de incendios en

la Sala de Servidores y el área de informática, lo cual pone en riesgo equipos, documentación e inclusive la integridad física de los funcionarios.

2.7 Eficacia del servicio de soporte técnico.

La evaluación permitió determinar que uno de los servicios de TI que los usuarios del

INVU perciben con más debilidades, es en el servicio de soporte técnico que brinda el Proceso de Informática.

De acuerdo con la información suministrada a esta Contraloría General, los usuarios

de la información manifiestan que dicho servicio no es oportuno, ni de la calidad deseada, dado que a ese momento algunas boletas de servicio se encontraban pendientes desde al año 2008 inclusive.

De acuerdo con lo anterior, esta Contraloría General procedió a realizar una

verificación respecto de la eficacia del servicio de soporte técnico, utilizando como punto de referencia la documentación que respalda las operaciones del proceso de soporte técnico de la institución. Desde ese punto de vista la verificación de la documentación suministrada por el Área de Ahorro y Préstamo, determinó la existencia de 277 solicitudes de servicio pendientes (Sin incluir las solicitudes pendientes de los agentes) desde el año 2008 al 2011, distribuidas tal como se indica en el siguiente cuadro:


32


Cantidad de Boletas Año Estado

83 2008 Pendientes Agentes




106 2008 Pendientes

10 2008 Atendidas

110 2009 Pendientes

11 2009 Atendidas

41 2010 Pendientes

31 2010 Atendidas

20 2011 Pendientes

18 2011 Atendidas

Tal como se puede observar según los registros del Área de Ahorro y Préstamo las

solicitudes que esa área de trabajo tiene como pendientes se distribuyen en 106, 110, 41 y 20 boletas, pendientes de atención por parte del Proceso de Informática, en los años 2008, 2009, 2010 y 2011, respectivamente.

Los archivos del Área de Ahorro y Préstamo se compararon con los archivos de las

boletas que se encuentran atendidas del servicio de soporte, según el Proceso de Informática, obteniéndose los siguientes resultados:

Pendientes según Área de Ahorro y Préstamo 106

Atendidas según Proceso de Informática 45

Total pendientes 61



Total pendientes 45



Total pendientes 13



Total pendientes 13

TOTAL PENDIENTES 132

2011

BOLETAS DE ASISTENCIA TÉCNICA

2009

2008

2010

Como se puede observar de acuerdo con el análisis desarrollado, se presentan diferencias sustanciales entre los registros del Área de Ahorro y Préstamo y del Proceso de Informática, persistiendo aún una diferencia de boletas de servicios pendientes por la cantidad de 132 solicitudes.


33


De acuerdo con información de la Jefe del Proceso de Informática cuando se reciben las solicitudes de servicios se tiene el procedimiento de estampar un sello con la leyenda “recibido informática”; por tal razón en concordancia con ese control de registro, de las 132 solicitudes de servicios indicadas anteriormente se excluyeron 70 boletas que no cuentan con ese sello del Proceso de Informática; sin embargo, a pesar de esa exclusión el resultado es que existen 62 boletas de asistencia técnica que en apariencia no se han atendido según lo reflejan ambos registros, por lo que sigue siendo una cantidad considerable de boletas que se encuentran pendientes en el Área de Ahorro y Préstamo.

De acuerdo con los datos anteriores, basados en los registros y controles

suministrados por el Área de Ahorro y Préstamo y el Proceso de Informática, es opinión de esta Contraloría General que el servicio de soporte muestra un débil desempeño, toda vez que no solo existen 62 boletas sin atender sino que el 83% de esas boletas corresponden a los años 2008, 2009 y 2010.

Como parte de la revisión se determinaron además otros aspectos relevantes tales

como:

- Que no fue posible conocer la fecha en la que la boleta fue atendida, debido a que en muy pocas boletas se observa la fecha en la que se brindó el servicio.

- Para el control de las boletas se utiliza la fecha en que se solicitó el servicio debido a que dichos formularios no cuentan con número de identificación.

- En la mayoría de las boletas no se indica la acción realizada para solucionar el problema o brindar el servicio, así como tampoco se indica el funcionario que atendió la solicitud.

Al respecto es importante destacar que la norma 4.4 de gestión y control de las tecnologías de información establece literalmente lo siguiente:

“La organización debe hacerle fácil al usuario el proceso para solicitar la atención de los requerimientos que le surjan al utilizar las TI. Asimismo, debe atender tales requerimientos de manera eficaz, eficiente y oportuna; y dicha atención debe constituir un mecanismo de aprendizaje que permita minimizar los costos asociados y la recurrencia.”

Una de las razones por la cual se presenta esa debilidad en la organización se debe a

que el Proceso de Informática no cuenta con los controles suficientes que permitan mantener un registro actualizado y detallado acerca del servicio de soporte técnico que brinda a la organización, así como tampoco se cuenta con manuales o políticas, debidamente aprobados, en los que se incluyan los procedimientos que se deben llevar a cabo para brindar un servicio de calidad a los usuarios de TI.

Además de lo anterior, de acuerdo con el criterio de la Jefe del Proceso de Informática,

un aspecto que está afectando el desempeño en el servicio al usuario es el poco personal con que se cuenta en esa área de trabajo.

Como consecuencia de lo anterior, no es factible analizar tiempos de respuesta, la

oportunidad del servicio, la medición de la calidad del servicio y la satisfacción del usuario. Esta insuficiencia impide a la institución contar con información que le permita medir el desempeño, la suficiencia del personal, los niveles de cargas de trabajo, las necesidades por


34


los requerimientos asociados, estadísticas sobre el estado de los equipos, proyecciones de vida útil, entre otros.

Como ejemplo de lo anterior, se comprobó que en algunas oportunidades han tenido

que llevarse a cabo recordatorios del servicio solicitado por medio de otras boletas, debido a la tardanza en la atención de éstas, situación que se presenta a pesar de que el Área de Ahorro y Préstamo, desembolsa al INVU mensualmente por servicio de informática la suma de ¢9.852.796.12.

Por último, es conveniente indicar que tampoco se llevan controles sobre la atención

de los servicios solicitados por los agentes de ventas, debido a que no existe comunicación por parte de los agentes indicando que los servicios fueron recibidos o en su defecto que no fueron recibidos, por esta razón no es posible para este Órgano Contralor analizar el estado de las boletas, ni se puede emitir una opinión acerca de la calidad del servicio brindado a esos agentes, a pesar de que estas solicitudes se encuentran archivadas como “Boletas pendientes”, en los archivos de Ahorro y Préstamo. En el caso de los agentes en su mayoría los servicios solicitados corresponden a solicitudes de impresión de reportes de la cartera de clientes. 3. CONCLUSIONES

De acuerdo con lo anteriormente expuesto se concluye que el Instituto Nacional de Vivienda y Urbanismo presenta una cantidad importante de debilidades en materia de tecnologías de información, por cuanto esta Contraloría General comprobó que refleja un retraso en su plataforma tecnológica la cual se encuentra obsoleta desde hace aproximadamente 15 años, y además de que la empresa encargada del servicio de mantenimiento ha indicado que éste se brindará hasta que la obsolescencia y la escasez de repuestos lo permitan, lo cual ha ocasionado que cuando se presentan desperfectos se paralizan los sistemas que dependen de él, los cuáles pueden durar hasta 15 días mientras se consiguen los repuestos para su reparación.

Dicha situación ocasiona que la información de los ahorrantes y prestatarios del sistema

de Ahorro y Préstamo, distribuida en aproximadamente 10.288 clientes en el área de préstamos y 61.603 clientes en contratos de ahorro, que conforman una cartera de ahorro de ¢40.410.222.332.68 y una cartera de préstamos de ¢50.122.453.476.14 al 30 de abril del 2011, se encuentre en un alto riesgo, por cuanto el equipo servidor podría colapsar en cualquier momento, a lo cual se le suma el hecho de que la información que se encuentra en los respaldos solo se puede accesar en un equipo de las mismas características, el cual ya no se distribuye en el mercado. Además se determinó que no se cuenta con un Plan de Continuidad para enfrentar una situación de emergencia técnica en la plataforma tecnológica.

Además, la obsolescencia de la plataforma tecnológica, impacta en la eficiencia de las

operaciones, el servicio al cliente, la seguridad de la información y la productividad de los empleados, al respecto se determinó que el sistema de Ahorro y Préstamo tiene capacidad para 64 usuarios, por lo que los funcionarios han tenido que modificar su horario normal de trabajo ingresando al menos una hora antes de la jornada laboral con el propósito de accesar el sistema, de lo contrario verían limitadas esas posibilidades durante el transcurso del día, excepto que soliciten a préstamo otras computadoras a los compañeros de trabajo, también se determinó que las claves de usuarios son compartidas, lo cual va en detrimento de los controles internos de la organización.


35


La capacidad de almacenamiento del servidor es limitada, a tal punto que solo permite transacciones por la cantidad de 21.000.000.00, por lo que si las transacciones son mayores, se deben llevar a cabo varios registros por esa misma cantidad, lo cual afecta la eficiencia de las operaciones como al aumento de costos en la digitación y los controles asociados.

Se carece de sistemas integrados, por lo que los pagos de los clientes no quedan

registrados el mismo día sino que la actualización de sus cuentas se actualiza hasta que los funcionarios digiten los comprobantes, el sistema no es dinámico por cuanto no permite la generación de nuevos reportes por parte de los usuarios, por lo que en caso de que la institución necesite nuevos requerimientos se tienen que coordinar con el proceso de informática para su generación. El sistema no es una herramienta oportuna para la toma de decisiones toda vez que en caso de nuevos requerimientos se tiene que recurrir a la vía manual para generarlos, además de que por la naturaleza del sistema existe información que no queda respaldada, lo cual obliga a recurrir a los medios físicos para documentarla.

Aunado a todo lo anterior se determinó, que el INVU cuenta con una serie de debilidades

en materia de gestión de tecnologías de información, por cuanto carece de una adecuada visión estratégica, no cuenta con un marco estratégico de TI vinculado con el marco estratégico institucional y las políticas para la optimización de los recursos y la estrategia financiera para hacer frente a las inversiones en tecnologías deben mejorarse, dado que desde el año 2008 al 2010, las asignaciones presupuestarias para las tecnologías de información no han llegado al 1% del presupuesto definitivo. Aunado a ello, dichos recursos tampoco han logrado resultados importantes de ejecución ya que se determinaron que oscilan entre en un 48%, 41% y 25% para esos años, respectivamente.

Lo antes expuesto se considera perjudicial para la institución, debido al papel determinante

de las tecnologías de información como instrumentos que contribuyen al logro de los objetivos institucionales.

Así las cosas, es criterio de esta Contraloría General que el INVU debe formalizar sus

mecanismos de gobernabilidad en relación con las actividades informáticas, fortalecer los componentes fundamentales de la gestión en tecnologías de información, contar con un análisis integral de los riesgos en TI, así como de mejoramiento general del sistema de control interno relacionado con el tema de las tecnologías analizado en este informe, de tal manera que se implemente una solución integral a la problemática comentada.

4. DISPOSICIONES

En razón de todo lo antes expuesto y de conformidad con las competencias asignadas en los artículos 183 y 184 de la Constitución Política y los artículos 12 y 21 de la Ley Orgánica de la Contraloría General de la República, No. 7428, se emiten las siguientes disposiciones:

4.1 A la Junta Directiva

a) Tomar el acuerdo respectivo para que se ordene la elaboración de un Plan de

modernización de la gestión de tecnologías de información con fundamento en los principios de eficiencia y economía en la utilización de los recursos públicos, que incluya entre otros asuntos: la sustitución de la plataforma tecnológica; el fortalecimiento del marco estratégico de TI y de la estructura de la Dirección de TI; la fecha de ejecución estimada; la fecha final de culminación del proyecto; la definición de las estrategias de financiamiento y los recursos que se requieren para su implementación. Todo con el fin de promover mejoras en forma integral


36


para superar las deficiencias comentadas en los puntos 2.1, 2.2, 2.3, 2.4, 2.5 de este informe. Dicho Plan deberá estar elaborado y aprobado por esa Junta Directiva a mas tardar el 31 de marzo del 2012, e informar a esta Contraloría General a esa misma fecha de su elaboración, suministrando copia del acuerdo y del Plan de modernización.

b) Dictar el acuerdo respectivo, con el propósito de que la elaboración del Plan de

modernización, se lleve a cabo en clara coordinación del equipo de trabajo del proyecto de implementación de las Normas de Gestión y Control de las tecnologías de información, comentado en Informe Nro. DFOE-EC-IF-04-2011, remitido por esta Contraloría General el 1 de julio del 2011.

c) Dictar los acuerdos por medio de los cuáles se ordene a la Gerencia General el cumplimiento de las disposiciones contenidas en este Informe y comunicar dicho acuerdo a la citada Gerencia General, en un plazo de tres días hábiles contados a partir de la aprobación en firme del acuerdo de la sesión en donde se conoció este informe.

d) Comunicar a esta Contraloría General, en un plazo de quince días (15) hábiles contados a partir del recibo del presente documento, la decisión adoptada para el cumplimiento de las citadas disposiciones.

4.2 A la Gerencia General

a) Ordenar en un plazo de cinco días hábiles a partir del recibo de este documento la elaboración de un estudio pormenorizado de las inconsistencias reflejadas en este informe, sobre la información que alimenta los archivos de datos del sistema de ahorro y préstamo, con el propósito de garantizar la confiabilidad y razonabilidad de los datos que ahí se almacenan. Dicho estudio habrá de considerar, la optimización del registro y control de los datos incluidos en ese Sistema, así como las actividades de depuración de los datos inconsistentes; entre ellos, los registros incompletos, duplicados, innecesarios o inválidos. Asimismo, identificar aquellos factores asociados a esos procesos manuales y automatizados de registro de documentos, que estén provocando que los datos que se encuentran incorporados en los archivos de datos respectivos, no reúnan un nivel razonable de confiabilidad e integridad. El documento contentivo de los resultados que arroje el citado estudio, así como un plan de acciones a ejecutar con miras a satisfacer esta disposición, deberá remitirse a esta Contraloría General, a más tardar el 31 de marzo de 2012. Sobre el particular, obsérvese lo expuesto en el punto 2.5 de este informe.

b) Ordenar a la brevedad posible la elaboración de un estudio con el propósito de

calificar el impacto de los riesgos que ofrece la infraestructura física de la Institución en donde se compromete la seguridad en las instalaciones, sobre todo en lo que respecta a las fuentes de energía para alimentar los sistemas eléctricos y de informática, la seguridad de las instalaciones en donde se custodian los equipos principales, acceso a espacios restringidos en el proceso de informática y demás aspectos que resulten del estudio. Dicho estudio debe contener como mínimo la calificación de los riesgos por parte de esa administración, las acciones que se van a ejecutar para administrar cada uno de los riesgos determinados, la fecha de ejecución de cada una de las acciones de mitigación establecidas, así como una columna en donde se indique para cada acción las fechas estimada y real en que se ejecutó.


37


El estudio con los resultados obtenidos debe estar elaborado a más tardar el 31 de enero del 2012. Remitir a este órgano contralor, en los cinco días siguientes a ésta última fecha copia del documento con los resultados del estudio, junto con el plan de acciones ejecutado. Al respecto como insumo mínimo para llevar a cabo ese estudio, ver puntos 2.6 de este informe

c) Girar las instrucciones pertinentes, para que personal de esa Gerencia General

elabore un estudio a nivel institucional acerca de la eficacia del servicio de soporte técnico y determine los controles y procedimientos que permitan llevar un registro actualizado y detallado acerca del servicio y como resultado de ello se conozca el estado actual de las boletas que se encuentran pendientes no solo en el Área de Ahorro y Préstamo sino en cualesquier otro servicio pendiente en la organización. Dicho análisis debe elaborarse en estricto apego a los principios de eficiencia, eficacia y economía en el uso de los recursos públicos. El documento contentivo de los resultados que arroje el citado estudio, así como el plan de acciones a ejecutar con miras a satisfacer esta disposición, deberá remitirse a esta Contraloría General, a más tardar el 31 de enero de 2012. Sobre el particular, obsérvese lo

expuesto en el punto 2.7 de este informe.

La información que se solicita en este informe para acreditar el cumplimiento de

las disposiciones anteriores, deberá remitirse, en los (plazos y términos, esto según corresponda) antes fijados, al Área de Seguimiento de las Disposiciones de la Contraloría General de la República.

Se recuerda que las disposiciones señaladas en el aparte 4.1., 4.2 del informe de

cita, son de acatamiento obligatorio y deberán ser cumplidas dentro de los plazos (y/o términos) conferidos para ello. En caso de que se incumpla con esas disposiciones en forma injustificada dentro del tiempo dado para ello, se le reiterará por una única vez y se fijará plazo para su cumplimiento, pero de mantenerse la desobediencia, una vez agotado ese plazo, dicha conducta se reputará como falta grave y podrá dar lugar a la imposición de las sanciones previstas en el artículo 69 de la citada Ley No. 7428, con garantía del debido proceso. Lo anterior, sin perjuicio de incurrir en otras causales de responsabilidad.

De conformidad con lo establecido por los artículos 343, 346 y 347 de la Ley General de la Administración Pública, contra el presente informe caben los recursos ordinarios de revocatoria y apelación, que deberán ser interpuestos dentro del tercer día a partir de la fecha de la sesión de dicho órgano colegiado inmediata posterior al recibo de esta comunicación, correspondiéndole a esta Área de Fiscalización la resolución de la revocatoria y al Despacho Contralor, la apelación. De presentarse conjuntamente los recursos de revocatoria y apelación, esta Área de Fiscalización en caso de rechazo del recurso de revocatoria, remitirá el recurso de apelación al Despacho Contralor para su resolución. Asimismo, una vez firme el presente informe, cabe el recurso extraordinario de revisión ante el (la) Contralor (a) General de la República, de acuerdo con las condiciones y plazos que señalan los artículos 353 y 354 de la indicada Ley General de la Administración Pública.


38


5. ANEXO FOTOGRAFICO

INSPECCIÓN FÍSICA EN LAS INSTALACIONES EN EL INVU 10 DE MARZO DEL 2011

Foto Nro. 1

Sala de servidores

Impresoras en la sala de servidores

Basurero para papel dentro de la sala de

servidores

Anaquel con cajas de papel junto a las cajas de

interruptores eléctricos


39


Foto Nro. 2 Sala de servidores


Basurero para grandes cantidades

de papel

Paneles eléctricos tapados por cajas

de papel


40



Exceso de papel debajo de los

escritorios al lado de los servidores

Cintas de respaldo

expuestas

Cintas de respaldo

expuestas


41




Unidades para recarga de aire

acondicionado en el suelo

Ventilador dañado en el piso de la sala de

servidores, al lado de los servidores

Cintas de respaldo expuestas


42



Foto Nro. 8 Acceso a la sala de servidores

Equipo Aviion

Cableados sin rotular y de cable telefónico,

conexiones al servidor principal

Impresoras de líneas y formularios continuos al lado

del servidor principal.

Acceso a sala de servidores con

llavines inadecuados


43


Foto Nro. 9 Área de Informática

Foto Nro. 10 Acceso a Informática

Llavín en mal estado en el momento de la visita

Equipos en el suelo y almacenados de manera

irregular en los cubículos


44


Foto Nro. 11 Acceso a Informática

Figura Nro. 12 Acceso a Informática

Mobiliario bloqueando el libre acceso a la

informática y a la sala de servidores

Mobiliario bloqueando el libre acceso a la

informática y a la sala de servidores


45


Foto Nro. 13 Archivo central

Archivo central Otra vista cerca de los paneles eléctricos

Paneles eléctricos

Expedientes


46


Foto Nro. 14 Archivo central (paneles eléctricos)


47


Foto Nro. 15 Sótano, Fuentes de Poder (UPS)

Foto Nro. 16

Sótano, Fuentes de Poder (UPS)

Basura y desechos tecnológicos en la parte

de atrás de la UPS

Basura y desechos tecnológicos en la

parte de atrás de la UPS

Cintas viejas y en desuso sobre la UPS


48


Foto Nro. 17 Sótano, Almacenamiento de formularios

Foto Nro. 18 Equipo de comunicación en área usuaria

Almacenamiento de papel al lado de área de alto

voltaje (UPS)


49


Foto Nro. 19 Ductos y cableados expuestos bajo escaleras

Foto Nro. 20 Acceso a cuarto de comunicaciones


50


Foto Nro. 21 Acceso a cuarto de comunicaciones


Documents

Estudio especial en el CONASSIF y la SUGESE sobre … · * De conformidad con Artículo 24 y Artículo 2, Inciso c) Ley de Control Interno y Oficio DM-1402-2005 de 13/09/2005 de MIDEPLAN