Plantilla de Oficios DGAI · Web viewNos permitimos presentarle el informe INF-DGAI-008-2012 sobre la Evaluación de las licencias de programas informáticos en el Ministerio de Hacienda,

Dirección General de Auditoría Interna“Un Equipo de Trabajo comprometido con la excelencia y la integridad”

San José, 23 abril de 2012INF-DGAI-008-2012

LicenciadoManuel Enrique Ramos Campos,DirectorDirección General de Informática

Asunto: Servicios de Auditoría Informe de control interno

Estimado Manuel Enrique:

Nos permitimos presentarle el informe INF-DGAI-008-2012 sobre la Evaluación de las licencias de programas informáticos en el Ministerio de Hacienda, que contiene algunos aspectos de control que requieren ser revisados y fortalecidos conforme las recomendaciones que se formulan, y se incorporen como parte de la mejora continua que lleva a cabo esa Dirección.

Las recomendaciones contenidas en este informe, están sujetas a las disposiciones del artículo 36 de la Ley Nº 8292 Ley General de Control Interno, que establecen un plazo improrrogable de diez días hábiles, contados a partir de la fecha de recibo del informe, para ordenar la implantación de las recomendaciones o si discrepa de ellas, debe elevar la objeción y soluciones alternas al señor Ministro en el plazo establecido.

Por lo anterior, conforme con esa normativa y el Manual para la atención de informes de la Contraloría General de la República y la Dirección General de Auditoría Interna vigente en la institución, le agradecemos comunicar a esta Dirección la decisión que se tome al respecto dentro del plazo antes señalado, así como en un tiempo razonable el plan de acción que se defina para su implantación.

Atentamente,

Olman Saborío AlfaroDirector General

c. Estudio 013-2011


INFORME SOBRE LA EVALUACIÓN DE LAS LICENCIAS DEPROGRAMAS INFORMÁTICOS

INF-DGAI-008-2012

Abril, 2012

_________________________________________________________________



TABLA DE CONTENIDO

RESUMEN EJECUTIVO................................................................................................................................i

1. INTRODUCCIÓN....................................................................................................................................1

1.1 Origen..............................................................................................................................................1

1.2 Objetivo del estudio.........................................................................................................................1

1.3 Alcance............................................................................................................................................1

1.4 Comunicación oral de resultados.....................................................................................................1

1.5 Normativa relacionada con trámite del informe..............................................................................1

1.6 Generalidades...................................................................................................................................2

2. RESULTADOS.........................................................................................................................................3

2.1. Necesidad de establecer controles sobre la adquisición de licencias de programas informáticos.......3

2.2. Necesidad de mantener un inventario actualizado de licencias de software........................................4

2.3. Sobre los procedimientos de seguimiento y control.............................................................................5

2.4. Sobre la divulgación de software autorizado.......................................................................................6

2.5. Sobre la presentación del informe anual a la Oficina de Derechos de Autor y Derechos Conexos....6

3. CONCLUSIONES....................................................................................................................................7

4. RECOMENDACIONES..........................................................................................................................8



RESUMEN EJECUTIVO

El estudio se realizó de conformidad con el Plan de Trabajo Anual 2011, a fin de evaluar los controles establecidos sobre las licencias de los sistemas informáticos del Ministerio de Hacienda, a fin de determinar si estos son adecuados para garantizar el uso autorizado, la salvaguarda de los recursos públicos, y el cumplimiento de la normativa.

Como resultado del estudio se determinaron algunos aspectos que requieren ser revisados y fortalecidos para garantizar en forma razonable que los procesos de adquisición y uso de licencias de software que se realizan en la institución, sean efectuados de conformidad con la normativa vigente, así como las sanas prácticas administrativas, a saber:

La disponibilidad de información en la Dirección General de Informática de la totalidad de las compras de software que se realicen en el Ministerio y sobre el software en uso.

Un inventario de licencias de software, con información actualizada sobre las licencias según su tipo y condiciones de uso, y donde se pueda identificar la cantidad en existencia, y el costo que representa para el Ministerio la adquisición y uso de esas de las mismas.

La definición y puesta en operación del procedimiento para el seguimiento y control del cumplimiento de las directrices contenidas en la Política de Seguridad de TIC, y en la Política sobre uso y control de software autorizado, y de los lineamientos establecidos en el Decreto Nº 30151-J sobre derechos de autor.

La divulgación periódica del software autorizado, tanto el adquirido por el Ministerio de Hacienda como el software de código abierto cuyo uso se autorice en función de las actividades laborales que se realicen.

La presentación regular del informe anual ante el Registro Nacional de Derechos de Autor y Derechos Conexos, en el que se haga constar que el Ministerio de Hacienda cumple con la protección de los derechos de autor relativos a los programas de cómputo en apego a lo dispuesto en el Decreto Nº30151-J.

En razón de lo anterior, se emiten las recomendaciones correspondientes, las cuales están sujetas a las disposiciones del artículo 36 de la Ley N° 8292 Ley General de Control Interno y al Manual para la atención de informes de la Contraloría General de la República y de la Dirección General de Auditoría Interna en este Ministerio, según Decreto Nº 34323-H, y su reforma, publicado en La Gaceta No. 38 del 22 de febrero del 2008.

INF-DGAI-008-2011 Pág. i



1. INTRODUCCIÓN

1.1 Origen

El estudio se realizó de conformidad con el Plan de Trabajo anual 2011, como una auditoría operativa.

1.2 Objetivo del estudio

Evaluar los controles establecidos sobre las licencias de los sistemas informáticos del Ministerio, a fin de determinar si estos son adecuados para garantizar el uso autorizado, la salvaguarda de los recursos públicos y el cumplimiento de la normativa.

1.3 Alcance

Comprende la evaluación de los controles existentes en la Dirección General de Informática sobre las licencias de los sistemas informáticos del Ministerio de Hacienda , así como de las acciones realizadas por esa Dirección para cumplir con las disposiciones contenidas en el decreto de uso legal de software en el Gobierno Central, N° 30151-J, extendiéndose cuando se consideró necesario.

El desarrollo del estudio se realizó con sujeción a las normas de auditoría para el Sector Público, en la medida en que las circunstancias permitieron su aplicación, y las disposiciones del Decreto N° 34573-H Reglamento de Organización y Funcionamiento de la Dirección General de la Auditoría Interna del Ministerio de Hacienda.

1.4 Comunicación oral de resultados

Los resultados y recomendaciones que contiene este informe fueron comunicados al Lic. Manuel Enrique Ramos Campos, Director, Dirección General de Informática, Licda. Vanessa Bolaños Castro, Directora de Planificación Técnica y Seanny Amerling Quesada, Asesora Dirección de Servicios Técnicos de la DGI, el 19 de abril del 2012. Las observaciones realizadas por los participantes, en lo procedente, fueron consideradas en este informe.

1.5 Normativa relacionada con trámite del informe

A fin de prevenir efectos negativos por inobservancia de la legislación vigente, se transcriben a continuación los artículos de la Ley General de Control Interno N° 8292, que regulan los deberes del jerarca y de los titulares subordinados en el sistema de control interno y en el trámite de informes, y los plazos que deben observarse, así como las posibles responsabilidades en que se puede incurrir por incumplimiento injustificado de esas disposiciones.

“Artículo 10.—Responsabilidad por el sistema de control interno. // Serán responsabilidad del jerarca y del titular subordinado establecer, mantener, perfeccionar y evaluar el sistema de control interno institucional. Asimismo, será responsabilidad de la administración activa realizar las acciones necesarias para garantizar su efectivo funcionamiento.”

INF-DGAI-008-2011 Pág. 1 de 8


“Artículo 36. —Informes dirigidos a los titulares subordinados.// Cuando los informes de auditoría contengan recomendaciones dirigidas a los titulares subordinados, se procederá de la siguiente manera: a) El titular subordinado, en un plazo improrrogable de diez días hábiles contados a partir de la fecha de recibido el informe, ordenará la implantación de las recomendaciones. Si discrepa de ellas, en el transcurso de dicho plazo elevará el informe de auditoría al jerarca, con copia a la auditoría interna, expondrá por escrito las razones por las cuales objeta las recomendaciones del informe y propondrá soluciones alternas para los hallazgos detectados .b) Con vista de lo anterior, el jerarca deberá resolver, en el plazo de veinte días hábiles contados a partir de la fecha de recibo de la documentación remitida por el titular subordinado; además, deberá ordenar la implantación de recomendaciones de la auditoría interna, las soluciones alternas propuestas por el titular subordinado o las de su propia iniciativa, debidamente fundamentadas. Dentro de los primeros diez días de ese lapso, el auditor interno podrá apersonarse, de oficio, ante el jerarca, para pronunciarse sobre las objeciones o soluciones alternas propuestas. Las soluciones que el jerarca ordene implantar y que sean distintas de las propuestas por la auditoría interna, estarán sujetas, en lo conducente, a lo dispuesto en los artículos siguientes. c) El acto en firme será dado a conocer a la auditoría interna y al titular subordinado correspondiente, para el trámite que proceda.”

“Artículo 39.—Causales de responsabilidad administrativa. //El jerarca y los titulares subordinados incurrirán en responsabilidad administrativa y civil, cuando corresponda, si incumplen injustificadamente los deberes asignados en esta Ley, sin perjuicio de otras causales previstas en el régimen aplicable a la respectiva relación de servicios.//El jerarca, los titulares subordinados y los demás funcionarios públicos incurrirán en responsabilidad administrativa, cuando debiliten con sus acciones el sistema de control interno u omitan las actuaciones necesarias para establecerlo, mantenerlo, perfeccionarlo y evaluarlo, según la normativa técnica aplicable.//(…) Igualmente, cabrá responsabilidad administrativa contra los funcionarios públicos que injustificadamente incumplan los deberes y las funciones que en materia de control interno les asigne el jerarca o el titular subordinado, incluso las acciones para instaurar las recomendaciones emitidas por la auditoría interna, sin perjuicio de las responsabilidades que les puedan ser imputadas civil y penalmente…”

1.6 Generalidades

De conformidad con el Decreto N° 23245-H1, sobre Organización, Objetivos y Funciones de la Dirección General de Informática (DGI) es la dependencia del Ministerio de Hacienda responsable del establecimiento y conducción de la política informática, así como apoyar la gestión de las diferentes unidades y áreas de trabajo del Ministerio de Haciendas, por medio del procesamiento de datos, operación y mantenimiento de sistemas de información.

Mediante documento Código: 2-00-002-001POL09 del 15 de junio del 2009, la DGI emitió una actualización de la Política de Seguridad de TIC del Ministerio de Hacienda, la cual contiene algunos aspectos de control sobre el software, que son retomados en la Política para el uso y control de licencias de software autorizado en el Ministerio de Hacienda, emitida mediante circular DGI-008-2011 del 14 de setiembre del 2011.

Esta última, tiene como objetivo general, brindar las pautas que establezcan el uso a derecho del software en el Ministerio de Hacienda por parte de todos los funcionarios, según lo establece el Decreto de Legalización de Software en el Gobierno Central, número 30151-J; la Ley de Derechos de Autor y Derechos Conexos 6683 y sus reformas; la Ley de Procedimientos de Observancia de los Derechos de Propiedad Intelectual, N°8039; de manera que se utilice en la Institución solamente software licenciado o libres, y que se respeten los términos establecidos en las licencias adquiridas.

1 Publicado en el diario oficial La Gaceta N°96 del 19/05/1994



También comprende dicho objetivo el cumplimiento de la Política de Seguridad de TIC del Ministerio, en lo que respecta, entre otros, en sus apartados 8.8 y 8.9, Control de inventario del software y Control de versiones de software, respectivamente. 8.8. Control del inventario de software “El inventario de software debe mantenerse actualizado a la fecha, de manera que se pueda identificar, entre otras cosas, la cantidad en existencia, ubicación física y el responsable del uso.” 8.9. Control de versiones de software: “Debe utilizarse un procedimiento formal para controlar en forma comprensiva las versiones de los programas y sistemas operativos.”

El uso legal de programas informáticos y los mecanismos de control correspondientes se encuentra regulados en el Decreto 30151-J2, emitido para prevenir y combatir el uso ilegal de programas de cómputo, con el fin de cumplir con las disposiciones sobre derecho de autor que establece la Ley N° 6683 “Ley sobre Derechos de Autor y Derechos Conexos” y la Ley N° 8039, “Ley de Procedimientos de Observancia de los Derechos de Propiedad Intelectual” acatando las provisiones pertinentes de los acuerdos internacionales, incluyendo el “Acuerdo sobre los Aspectos de los Derechos de Propiedad Intelectual relacionados con el Comercio” y también las otras disposiciones de la normativa nacional vigente.

Se establecen en los artículos Nº 6 y N°7 de dicho decreto una serie de regulaciones relacionadas con la instalación de los programas de cómputo y con las reglas con que debe cumplir el experto en informática de cada ministerio del Gobierno Central, para la adquisición y utilización de programas de cómputo.

De acuerdo con lo expuesto en esa normativa es clara la responsabilidad de la DGI en mantener información sobre la adquisición y utilización de programas de cómputo con sus respectivas licencias de uso. Sin embargo, no se ha establecido los mecanismos de comunicación y coordinación pertinentes que le permitan obtener esa información de las compras que al respecto realizan las diferentes dependencias del Ministerio, con el propósito de llevar un control de la totalidad de licencias y dar cumplimiento al objetivo planteado en el Decreto 30151-J de prevenir y combatir el uso ilegal de programas de computo.

2. RESULTADOS

2.1. Necesidad de establecer controles sobre la adquisición de licencias de programas informáticos

El decreto N°23245-H de Organización Objetivos y Funciones de la Dirección General de Informática, establece dentro de sus funciones, en lo que es de interés, las siguientes: “… /c) Definir a nivel global los alcances y objetivos de los proyectos a desarrollar en cada una de las Direcciones de Sistemas adscritas...//g) Coordinar y formular la elaboración de especificaciones técnicas y estrategias para la aprobación superior de suministro de equipo, dispositivos, productos y servicios de cómputo que requieran las unidades adscritas u otras dependencias del Ministerio./h) Formular políticas, objetivos y programas de trabajo y determinar los requerimientos de recursos, humanos, financieros y de equipo en el área de informática de todas las dependencias adscritas./i) Dirigir las funciones de control que garanticen el fiel cumplimiento de las normas, estándares establecidos y las medidas de seguridad interna./j) Brindar asesoría técnica, en el campo informático.”

De la lectura de dichas funciones, se evidencia la responsabilidad que compete a esa Dependencia en materia de tecnologías de información, las que se relacionan no sólo con su participación en los procesos de compra de programas de cómputo, sino también con la dirección de las funciones de control, que incluyen lo relativo al uso de dichos programas.

2 Publicado en el diario oficial La Gaceta N°37 del 21/02/2002



Por otra parte, el Decreto N°30151-J citado establece a los expertos en informática de cada Ministerio del Gobierno Central una serie de aspectos que se relacionan con la adquisición y uso de programas informáticos, de manera que se contribuya al objetivo planteado con el decreto, de prevenir y combatir el uso ilegal de programas informáticos.

Pese a que a la Dirección General de Informática le corresponde establecer y conducir la política de informática del Ministerio de Hacienda y de la obligaciones establecidas en el Decreto 30151-J, esta no ha emitido los procedimientos correspondientes que le aseguren su participación en todas la adquisiciones de programas de cómputo que se realizan en el Ministerio ni tampoco es informada de estas adquisiciones, lo que no le permite disponer de información completa sobre este concepto y llevar un control de la totalidad de las licencias adquiridas para el cumplimiento efectivo de la normativa vigente.

Al respecto, la funcionaria Seanny Amerling, funcionaria de la DGI, indicó que en este aspecto ha habido independencia para la compra de software, quedando a criterio del usuario si comunica o pide asesoría a esa Dirección. Que para la DGI es muy importante conocer las adquisiciones que hace el usuario por asunto de seguridad, compatibilidad, calidad, soporte, entre otros. Agregó la funcionaria Amerling, que esa Dirección si participa en la adquisición de licencias cuando estas corresponden a programas informáticos de uso institucional o cuando participa en el proyecto informático que da origen a la adquisición de nuevo software, como por ejemplo el software de ofimática, antivirus, sistemas operativos, y software especializado para sistemas informáticos.

Esta condición, podría verse subsanada con la implementación de la “Política para el uso y control de Licencias de Software Autorizado en el Ministerio de Hacienda”, publicado con circular DGI-008-2011 del 14 de setiembre del 2011, la cual incluye como uno de sus objetivos específicos que toda compra de software realizada por las dependencias del Ministerio de Hacienda, debe ser consultada a la Dirección General de Informática. Se prevé además, que en el plazo que dé la política, la DGI a través de un Equipo Evaluador Técnico, investigará, evaluará y conocerá sobre el software que se compre o adquiera en el Ministerio.

No obstante lo indicado, no se han implementado dichas políticas, con lo que podría estarse adquiriendo software sin la debida consulta o comunicación a esa Dirección, en detrimento de controles y el cumplimiento de las obligaciones que le competen, de acuerdo con su reglamento de organización y lo establecido en el Decreto 30151-J citado.

2.2. Necesidad de mantener un inventario actualizado de licencias de software

La Política de Seguridad de TIC del Ministerio de Hacienda documento código 2-00-002-001POL-09, en su punto 8.8. Control del inventario de software, indica: “El inventario de software debe mantenerse actualizado a la fecha, de manera que se pueda identificar, entre otras cosas, la cantidad en existencia, ubicación física y el responsable del uso.”

Esta política es retomada por la DGI en el documento “Política para el uso y control de licencias de software autorizado en el Ministerio de Hacienda”, la que en el punto 5 señala como función del área encargada de la gestión del software llevar un inventario actualizado de todo el software adquirido por el Ministerio de Hacienda que contenga los siguientes datos: nombre del software, número de versión y edición, número de copias autorizadas, fecha de instalación, código de licencias, tipo de licencia, cantidad de licencias disponibles y ubicación.



Al respecto los funcionarios de la DGI3 indicaron lo siguiente: “La DGI ha realizado esfuerzos para llevar este inventario en forma manual, visitando cada usuario y en los casos donde se encuentran informáticos, (Tributación), ellos aportan su información. //Este inventario manual llevó alrededor de 2 meses con gastos indirectos tales como viáticos, horas extras, personal adicional como chóferes, entre otros...”;

Este esfuerzo le ha permitido a la DGI llevar un registro con información sobre las licencias de software adquiridas por el Ministerio de Hacienda, clasificadas por programa presupuestario, sin embargo este no corresponde a un inventario permanente de la totalidad de licencias con que cuenta el Ministerio y además no consigna información de la forma en cómo fueron adquiridas, el costo, número de copias autorizadas, la fecha de instalación y la versión de cada una.

Aunado a lo anterior, no se obtuvo información clara y precisa sobre los diferentes tipos de licenciamiento que se dan dentro del Ministerio: licencias con plazo específico, licencias de plazo indefinido, licencias sin especificación de plazo, de código abierto, código cerrado (derechos de autor) o de usuario final.

Lo anterior podría tener como consecuencia que la DGI no cuente con información oportuna y actualizada sobre la situación de las licencias según su tipo y condiciones de uso, en donde tampoco se podría identificar la cantidad en existencia, y el costo que representa para el Ministerio la adquisición y uso de esas licencias.

La condición señalada puede representar un obstáculo para la toma de decisiones en esta materia, y adicionalmente, dificulta el cumplimiento de lo dispuesto en el Decreto N°30151-J citado con respecto a la protección de los derechos de autor, generándose un riesgo de uso de software sin licenciamiento en contraposición a lo indicado en el decreto citado.

2.3. Sobre los procedimientos de seguimiento y control

La política de Seguridad de TIC del Ministerio de Hacienda, Código: 2-00-002-001POL-09, describe en su objetivo, en lo que interesa, lo siguiente: “…este documento se circunscribe específicamente a definir las reglas y directrices de seguridad generales que deben acatarse y no abarca los procedimientos necesarios que deben ser implementados para la aplicación adecuada de éstas. Esta labor le corresponderá realizarla a cada área responsable de la aplicación de esta política en el Ministerio de Hacienda. Corresponde a la DGI definir y establecer los procedimientos de seguimiento y control, que estime oportunos y necesarios.” El resaltado no es del original

El Capítulo 8 de dicha política: Seguridad en implementación y mantenimiento de software e infraestructura tecnológica, establece algunas políticas relacionadas con el control del software en producción, el control del inventario y el control de versiones de software:

“8.6. Control de software en producción “Se debe contar con procedimientos para controlar la instalación de software en los ambientes en producción.”//8.8. Control del inventario de software “El inventario de software debe mantenerse actualizado a la fecha, de manera que se pueda identificar, entre otras cosas, la cantidad en existencia, ubicación física y el responsable del uso.”//8.9. Control de versiones de software “Debe utilizarse un procedimiento formal para controlar en forma comprensiva las versiones de los programas y sistemas operativos.”

3 Reunión celebrada el 11 de noviembre del 2011 en la DGI con la participación de la Licda. Vanessa Bolaños Castro, Directora ai Dirección General de Informática, Seanny Amerling Quesada, Administradora del licenciamiento Institucional, DGI, Licda. Francine Segura Fonseca, Jefe del Centro de Apoyo Tecnológico y Msc. Jorge Jiménez Villegas, Director de Gestión Tecnológica



Por su parte, el artículo 8 del Decreto Nº 30151-J, señala: “…Cada ministerio del Gobierno Central elaborará manuales para el uso e instalación de programas de ordenador y velarán por el entrenamiento de todos los funcionarios públicos de acuerdo con las necesidades y el uso legal de programas de cómputo, incluyendo la expedición de notas de advertencia, el establecimiento y la aplicación de medidas disciplinarias por incumplimiento de las disposiciones del presente decreto.”

Al respecto, no se obtuvo evidencia de que la DGI haya establecido los procedimientos de seguimiento y control necesarios para asegurarse el debido cumplimiento de las directrices emitidas con la Política de Seguridad de TIC.

Al respecto las funcionarias Seanny Amerling y Vannessa Bolaños señalaron: “ Lo primero que se hizo fue la política de uso de software, de ésta se desprenden una serie de procedimientos en los cuales se está trabajando. Se está por concluir con los procedimientos: “Procedimiento para verificar el hardware y software instalado en PC” y “Procedimiento para hacer el reporte del software instalado sin autorización o sin licencia y su eliminación”. También se están realizando el procedimiento para verificar los servidores y su software y el procedimiento para custodia de software.

Aún cuando los procedimientos señalados pueden enmarcarse en procedimientos de seguimiento y control que permitirían a la DGI constatar el cumplimiento de algunas de las directrices contenidas en la política de seguridad de TIC, estos constituyen sólo una parte de los procedimientos necesarios para completar los procesos que se enmarcan en cada uno de los apartados de la Política para el uso y control de licencia de software en el Ministerio de Hacienda, con lo que la condición señalada se mantiene, dejando a la DGI sin mecanismos suficientes para velar por el debido cumplimiento de las políticas establecidas y las disposiciones contenidas en el decreto Nº 30151-J de reiterada cita.

2.4. Sobre la divulgación de software autorizado

El Decreto Nº 30151-J, señala: “Artículo 6. A partir de la entrada en vigencia de este Decreto no podrán instalarse programas de cómputo que no cuenten con la respectiva licencia de uso en ninguna oficina del Gobierno Central…”

Al respecto, se determinó que la DGI restringió a los usuarios el derecho de administrador del equipo, quedando sólo los funcionarios del CAT y algunos informáticos habilitados para instalar software; situación que aunado a las directrices contenidas en la Política para el uso y control de licencias de software autorizado, viene a reducir el riesgo de uso de software ilegal; no obstante no existe evidencia de que se esté dando un seguimiento a las acciones tomadas por la Administración, para asegurar el cumplimiento de las directrices contenidas en la Política mencionada ni tampoco de los lineamientos establecidos en el Decreto Nº 30151-J. Tampoco se evidenció que la DGI haya comunicado a las Dependencias del Ministerio de Hacienda las listas actualizadas del software que está permitido usar en la Institución, las cuales pueden abarcar tanto el adquirido por el Ministerio de Hacienda como el software de código abierto, cuyo uso se puede autorizar en función de las necesidades, o aplicabilidad a las actividades laborales que se realicen.

La condición señalada presenta el riesgo de que se mantenga en uso software no licenciado o autorizado en contraposición a lo establecido en el Decreto 30151-J, o desaprovechamiento de software de código abierto. 2.5. Sobre la presentación del informe anual a la Oficina de Derechos de Autor y Derechos Conexos



El Decreto Nº 30151-J establece en el artículo N°3: “ (….) El Ministro designará a una persona como responsable, entre otras cosas, de presentar un informe anual ante el Registro Nacional de Derechos de Autor y Derechos Conexos, en el que hará constar que el respectivo Ministerio cumple con la protección de los derechos de autor relativos a los programas de cómputo.//…”

Con respecto a la comunicación al Registro Nacional de Derechos de Autor y Derechos Conexos, la funcionaria Seanny Amerling, comentó: “El Ministerio le asignó esta tarea a la DGI y la Dirección en esa oportunidad me designó a mí por ser la jefatura del CAT, de ese entonces, quedando así ante el Registro Nacional. Tenemos relación directamente con Derechos de Autor y durante este año hemos trabajado más juntos, dadas las características del Ministerio en cuanto a esta materia.”//“Sí existe comunicación con el Depto. de Derechos de Autor respecto a las disposiciones establecidas, como se puede ver en el oficio DAF-AL-1192-2007.”

No obstante, sobre este aspecto, no se obtuvo información sobre la comunicación para los años siguientes a esa fecha y hasta el año 2011, en apego a lo dispuesto en el Decreto Nº30151-J que establece este proceso y tramite de forma anual.

La condición señalada podría acarrear responsabilidades para el Ministerio al considerarse que este no ha cumplido con el deber de presentar el informe anual, tal como lo establece el Decreto mencionado.

Durante el acto de comunicación oral de resultados, la Licenciada Vanessa Bolaños Castro, señaló, que en el mes de enero del 2012, se había remitido a la Oficina de Derechos de Autor y Derechos Conexos, el informe anual correspondiente al 2011, el cual sería suministrado oportunamente a la Auditoría Interna.

3. CONCLUSIONES

El licenciamiento de programas de cómputo resulta un tema de interés para el Ministerio de Hacienda, no sólo por las importantes montos de recursos que se invierten por este concepto, sino también por las disposiciones que se han emitido para resguardar los Derechos de Autor y Derechos Conexos, Ley N° 6683 y sus reformas, lo que dio lugar a la emisión en el año 2002, del Decreto 30151-J en que se ordena que todo el Gobierno Central se proponga diligentemente prevenir y combatir el uso ilegal de programas de cómputo, con el fin de cumplir con las disposiciones sobre derecho de autor que establece dicha Ley.

Conforme con las disposiciones contenidas, entre otros, en el Decreto citado, se emitió mediante oficio Circular DGI-008-2011 del 14 de setiembre del 2011, la Política para el uso y control de licencias de software autorizado en el Ministerio de Hacienda, la cual es de acatamiento obligatorio para todos los usuarios, ya sean funcionarios del Ministerio de Hacienda, externos o terceros, de los sistemas de información y de servicios tecnológicos del Ministerio.

Esta política, además de contener una serie de directrices orientadas al cumplimiento de las disposiciones contenidas en el Decreto 30151-J, vienen a su vez a favorecer aspectos de control relacionados con la adquisición, uso y control de las licencias informáticas, que le corresponde a la DGI atender en cumplimiento de sus funciones y de la normativa específica.

No obstante lo anterior, dicha Política no ha sido implementada, situación que no ha permitido corregir las condiciones detalladas en el presente informe, en torno a la no participación de la DGI en algunas compras de software o la disponibilidad de tal información, la ausencia de información completa sobre software en uso, existencia de un inventario adecuado de software que considere la totalidad del software adquirido e incluya además la información sobre las características de este, la ausencia de procedimientos de seguimiento y control por parte de la DGI, la falta de divulgación del software autorizado y la no



presentación periódica del informe anual al Registro Nacional de Derechos de Autor y Derechos Conexos, en el que haga constar que el Ministerio cumple con la protección de los derechos de autor relativos a los programas de cómputo.

En este sentido, reviste especial importancia se generen las acciones necesarias para asegurar la adecuada y oportuna implementación de la “Política para el uso y control de licencias de software autorizado en el Ministerio de Hacienda” como medio, no sólo para cumplir con el Decreto mencionado, sino para reducir los riesgos de pérdida de recursos que pueden generarse como consecuencia de las debilidades de control comentadas. Ver apartado 2.1 a 2.5 de este informe.

4. RECOMENDACIONES

Al Director General de Informática:

4.1. Ejecutar las acciones necesarias para que se implemente en su totalidad, la “Política para el uso y control de Licencias de Software Autorizado en el Ministerio de Hacienda”, publicada con Circular DGI-008-2011 del 14 de setiembre del 2011, emitida por la DGI, brindando especial atención al cumplimiento de las directrices que vienen a regular los siguientes aspectos:

a. La consulta a la DGI en la totalidad de las compras de software que se realicen en el Ministerio y el suministro de información sobre el software en uso.

b. El mantenimiento de un inventario de software que considere la totalidad del software adquirido por el Ministerio e incluya además la información sobre sus características.

c. La formulación y ejecución de procedimientos de seguimiento y control por parte de la DGI.d. La divulgación periódica del software autorizado y,e. La presentación del informe anual al Registro Nacional de Derechos de Autor y Derechos Conexos, en

el que se haga constar que el Ministerio cumple con la protección de los derechos de autor relativos a los programas de cómputo.

Ver apartado 3.1 de este informe.

Estas recomendaciones están sujetas a las disposiciones del artículo 36 de la Ley Nº 8292, Ley General de Control Interno, que establece un plazo improrrogable de diez días hábiles contados a partir de la fecha de recibido el informe, para ordenar la implantación de las recomendaciones. Si discrepa de ellas, en el transcurso de dicho plazo elevará el informe de auditoría al jerarca y enviará copia a la Auditoría Interna.

Con base en lo anterior, se le solicita respetuosamente proceder en lo que corresponda, con la aplicación de esta normativa y el Manual para la atención de informes de la Contraloría General de la República y de la Dirección General de Auditoría Interna, según Decreto Nº 34323-H del 22 de febrero de 2008, y comunicar a esta Dirección la aceptación de lo recomendado dentro del plazo de diez días hábiles señalado, así como en un plazo razonable el plan de acción de se defina para atender lo recomendado.

Edgar Cuadra Ramírez Guillermo Badilla MartínezProfesional de Auditoría Interna 3 Coordinador Auditoría Servicios Corporativos

Estudio 013-2011.


Documents

Plantilla de Oficios DGAI · Web viewNos permitimos presentarle el informe INF-DGAI-008-2012 sobre la Evaluación de las licencias de programas informáticos en el Ministerio de Hacienda,