San José, dd/mmm/aaaa - Ministerio de Hacienda · Web viewRevisar las recomendaciones dadas por la empresa SAP en el informe “Wrap-Up Meeting” sobre la seguridad del sistema

Dirección General de Auditoría Interna

13 de agosto de 2012INF-DGAI-019-2012

SeñorEdgar Ayales Ministro

Asunto: Servicios de AuditoríaInforme de control interno

Estimado señor Ministro:

Nos permitimos presentarle el informe Nº INF-DGAI-019-2012 sobre la revisión de la administración de roles perfiles del SIGAF, en el cual en el apartado de resultados se presentan algunos aspectos de control que requieren ser revisados y fortalecidos conforme con las recomendaciones que se formulan.

Las recomendaciones contenidas en este informe, están sujetas a las disposiciones del artículo 37 de la Ley Nº 8292 Ley General de Control Interno, que establecen un plazo improrrogable de 30 días hábiles contados a partir de la fecha de recibo del informe, para ordenar al titular subordinado que corresponda la implantación de las recomendaciones, o si discrepa de ellas dentro del plazo indicado deberá ordenar las soluciones alternas que motivadamente disponga.

Por lo anterior, le agradecemos comunicar a esta Dirección dentro del plazo señalado la decisión que se tome al respecto.

Atentamente,

Olman Saborío AlfaroDirector General

ce: SAI/AP/Estudios de Auditoría/Informes de AuditoríaEstudio 019-2011

Dirección: Avenida 2°, calle 1 y 3 San José • Tel 2284-5242 • www.hacienda.go.cr

INFORME SOBRE LA REVISIÓN DE LA ADMINISTRACIÓNDE ROLES Y PERFILES DEL SIGAF

INF-DGAI-019-2012

Agosto, 2012




TABLA DE CONTENIDO

RESUMEN EJECUTIVO....................................................................................................................................... I

1. INTRODUCCIÓN..................................................................................................................................... 1

1.1. Origen............................................................................................................................................................... 1

1.2. Objetivo del estudio.......................................................................................................................................... 1

1.3. Alcance............................................................................................................................................................. 1

1.4. Normativa relacionada...................................................................................................................................... 1

1.5. Comunicación oral de resultados....................................................................................................................... 2

1.6. Aspectos generales........................................................................................................................................... 2

2. RESULTADOS......................................................................................................................................... 4

2.1. Sobre los procedimientos específicos requeridos a las dependencias con responsabilidad sobre los procesos establecidos en las políticas generales............................................................................................................... 4

2.2. Necesidad de revisar la suficiencia y validez de la normativa emitida para la administración de roles y perfiles del SIGAF................................................................................................................................................................ 5

2.3. Necesidad de supervisar el cumplimiento de los procesos establecidos.............................................................9

2.4. Sobre las situaciones y recomendaciones contenidas en el informe “Wrap-Up Meeting”..................................10

3. CONCLUSIONES................................................................................................................................... 12

4. RECOMENDACIONES......................................................................................................................... 14



RESUMEN EJECUTIVO

Este estudio se realizó de conformidad con el Plan de Trabajo Anual 2012, con el objetivo de evaluar los mecanismos de controles existentes en los procesos definidos para la administración de roles y perfiles del SIGAF, a fin determinar si los mismos son adecuados para la salvaguarda de los recursos, garantizar en forma razonable la operación eficiente y eficaz del sistema, cumplir la normativa vigente, así como la confiabilidad y oportunidad de la información que se genera para la toma de decisiones

La evaluación comprendió la revisión de las Políticas Generales para la administración de accesos a los Sistemas Informáticos de la Administración Financiera de la República y el Proceso de Administración de Roles y Perfiles de Seguridad en SIGAF, así como, la documentación de respaldo que conservan los encargados del Equipo Administrador de Roles y Perfiles (EARP) como parte de su gestión, en atención a las solicitudes requeridas por el ente gestor u órgano rector del área competente. El periodo de revisión abarcó los periodos del 2010 y 2011, ampliándose cuando se consideró necesario.

No obstante, que los órganos rectores representantes del Sistema de Administración Financiera que conforman la CCAF, la DGI y demás participantes involucrados han realizado esfuerzos para disponer de un marco normativo para la administración de roles y perfiles del SIGAF, al respecto, se determinaron algunos aspectos que requieren ser revisados y fortalecidos, referentes a:

Los procedimientos específicos requeridos a las Direcciones de la Administración Financiera con responsabilidad sobre los procesos establecidos en las políticas generales.

Necesidad de revisar la validez y suficiencia de la normativa emitida para la administración de roles y perfiles del SIGAF, así como fortalecer y actualizar la misma.

Necesidad de supervisar el cumplimiento de los procesos establecidos para que en la práctica no se produzcan desviaciones y se apliquen según corresponda.

Sobre las situaciones y recomendaciones contenidas en el informe “Wrap-Up Meeting”, a fin de que se conozca las condiciones que se presentan, los riesgos, y las oportunidades de mejora.

En razón de lo anterior, se emiten las recomendaciones correspondientes, las cuales están sujetas a las disposiciones del artículo 37 de la Ley N° 8292 Ley General de Control Interno y al Manual para la atención de informes de la Contraloría General de la República y de la Dirección General de Auditoría Interna en este Ministerio, según Decreto Nº 34323-H, y su reforma, publicado en La Gaceta No. 38 del 22 de febrero del 2008.

INF-DGAI-019-2012 i




1. INTRODUCCIÓN

1.1. Origen

Este estudio se realizó de conformidad con el Plan de Trabajo Anual 2012.

1.2. Objetivo del estudio

Evaluar los mecanismos de controles existentes en los procesos definidos para la administración de roles y perfiles del SIGAF, a fin determinar si los mismos son adecuados para la salvaguarda de los recursos, garantizar en forma razonable la operación eficiente y eficaz del sistema, cumplir la normativa vigente, así como la confiabilidad y oportunidad de la información que se genera para la toma de decisiones

1.3. Alcance

Comprende la revisión de las Políticas Generales para la administración de accesos a los Sistemas Informáticos de la Administración Financiera de la República y el Proceso de Administración de Roles y Perfiles de Seguridad en SIGAF, así como, la documentación de respaldo que conservan los encargados del Equipo Administrador de Roles y Perfiles (EARP) como parte de su gestión, en atención a las solicitudes requeridas por el ente gestor u órgano rector del área competente. El periodo de revisión abarcó los periodos del 2010 y 2011, ampliándose cuando se consideró necesario. Los resultados de este informe están en función de la información que se tuvo a la vista.

Este estudio no comprende el análisis de riesgos por incompatibilidad de funciones de los roles y perfiles de accesos otorgados a los usuarios finales del SIGAF, solicitados por el ente gestor u órgano rector, respecto a las tareas que éstos realizan en relación con los procesos, operaciones y transacciones que se circunscriben dentro de su ámbito de acción, ni lo relativo al uso eficiente de las licencias SAP para el SIGAF adquiridas por el Ministerio de Hacienda.

Lo anterior, en razón de que en el estudio no se dispone de los elementos suficientes para llevar a cabo en forma independiente la verificación de los roles y perfiles del SIGAF asignados a los usuarios finales, a través del sistema SAP, debido a que a la fecha de la presente, no se ha implementado por parte del Ministerio de Hacienda el módulo de auditoría (AIS) que incluye el SAP, tampoco se cuenta en el perfil de auditoría con las transacciones asociadas a la consulta de usuarios y sus roles y transacciones asignados. Esto sin perjuicio de que se pueda realizar a futuro un estudio específico orientado a la verificación de los roles asignados en el SIGAF a fin de determinar posibles incompatibilidades.

Las actividades de este estudio se realizaron de acuerdo con la normativa aplicable al ejercicio de la Auditoría Interna del Sector Público.

1.4. Normativa relacionada

A fin de prevenir efectos negativos por inobservancia de la legislación vigente, a continuación se transcriben los artículos de la Ley General de Control Interno N° 8292 (LGCI), que regulan los deberes del jerarca y titulares subordinados en materia de control y atención de informes.

INF-DGAI-019-2012 Pág. 1 de 15



“Artículo 10.—Responsabilidad por el sistema de control interno. // Serán responsabilidad del jerarca y del titular subordinado establecer, mantener, perfeccionar y evaluar el sistema de control interno institucional. Asimismo, será responsabilidad de la administración activa realizar las acciones necesarias para garantizar su efectivo funcionamiento.”

“Artículo 12.—Deberes del jerarca y de los titulares subordinados en el sistema de control interno. …c) Analizar e implantar, de inmediato, las observaciones, recomendaciones y disposiciones formuladas por la auditoría interna, la Contraloría General de la República, la auditoría externa y las demás instituciones de control y fiscalización que corresponde…”

“Artículo 37.—Informes dirigidos al jerarca. Cuando el informe de auditoría esté dirigido al jerarca, este deberá ordenar al titular subordinado que corresponda, en un plazo improrrogable de treinta días hábiles contados a partir de la fecha de recibido el informe, la implantación de las recomendaciones. Si discrepa de tales recomendaciones, dentro del plazo indicado deberá ordenar las soluciones alternas que motivadamente disponga; todo ello tendrá que comunicarlo debidamente a la auditoría interna y al titular subordinado correspondiente.”

“Artículo 39.—Causales de responsabilidad administrativa. //El jerarca y los titulares subordinados incurrirán en responsabilidad administrativa y civil, cuando corresponda, si incumplen injustificadamente los deberes asignados en esta Ley, sin perjuicio de otras causales previstas en el régimen aplicable a la respectiva relación de servicios.//El jerarca, los titulares subordinados y los demás funcionarios públicos incurrirán en responsabilidad administrativa, cuando debiliten con sus acciones el sistema de control interno u omitan las actuaciones necesarias para establecerlo, mantenerlo, perfeccionarlo y evaluarlo, según la normativa técnica aplicable.//(…) Igualmente, cabrá responsabilidad administrativa contra los funcionarios públicos que injustificadamente incumplan los deberes y las funciones que en materia de control interno les asigne el jerarca o el titular subordinado, incluso las acciones para instaurar las recomendaciones emitidas por la auditoría interna, sin perjuicio de las responsabilidades que les puedan ser imputadas civil y penalmente…”

1.5. Comunicación oral de resultados

Los resultados y recomendaciones que contiene este informe fueron comunicados oralmente el día 10 de agosto de 2012, al Lic. José Luis Araya Alpizar, Viceministro de Egresos, a la Licda. Marjorie Morera González, Directora General de Presupuesto Nacional y Coordinadora de la CCAF, Licda. Alexandra Quirós Román, el Lic. Manuel E. Ramos Campos, Director General de Informática, Licda. Patricia Navarro, Directora General de Administración de Bienes y Contratación Administrativa y Secretaria de la CCAF, quienes en términos generales estuvieron de acuerdo con los resultados y lo recomendado.

Las observaciones realizadas por los participantes, en lo procedente, fueron consideradas en este informe.

1.6. Aspectos generales

La Ley 8131, Ley de la Administración Financiera de la República y Presupuestos Públicos1 (LAFRPP), en su el artículo 3º, inciso b), dispone como uno de los fines de esa Ley: “Desarrollar sistemas que faciliten información oportuna y confiable sobre el comportamiento financiero del sector público nacional, como apoyo a los procesos de toma de decisiones y evaluación de la gestión.”.

Asimismo, en los artículos 26, 27, 28, inciso a), y 125 de la Ley 8131 de cita, se definen los elementos que componen el Sistema de Administración Financiera (SAF), y se establece que el Ministerio de Hacienda es el

1 Publicada en La Gaceta Nº 198 del 16/10/2011




órgano rector y cuáles son sus competencias, y que éste promoverá el desarrollo y buen funcionamiento de dicho Sistema para el cumplimiento de sus objetivos, según se indica a continuación:

“ARTÍCULO 26.- Definición del Sistema. El Sistema de Administración Financiera del sector público estará conformado por el conjunto de normas, principios y procedimientos utilizados, así como por los entes y órganos participantes en el proceso de planificación, obtención, asignación, utilización, registro, control y evaluación de sus recursos financieros./… ARTÍCULO 27.- Órgano rector. El Ministerio de Hacienda será el órgano rector del Sistema de Administración Financiera./… ARTÍCULO 28.- Competencias del órgano rector. Serán competencias del Ministerio de Hacienda/… a) Dirigir, coordinar y supervisar los subsistemas que conforman el Sistema de Administración Financiera./…ARTÍCULO 125. El Ministerio de Hacienda promoverá y apoyará el desarrollo y buen funcionamiento de un Sistema Integrado de Información de la Administración Financiera, como elemento facilitador del cumplimiento de los objetivos de esta Ley.”

El SIGAF es un sistema integrado de información que apoya la gestión administrativa y financiera de los Ministerios del Gobierno Central, así como las funciones de rectoría y fiscalización que corresponden al Ministerio de Hacienda y a la Contraloría General de la República, y tiene como misión modernizar la gestión administrativa y financiera del Gobierno Central, integrando y optimizando sus procesos, con la finalidad de mejorar la asignación, ejecución y control de los recursos públicos y de generar información homogénea, confiable y oportuna que apoye el proceso de toma de decisiones por parte de las autoridades gubernamentales.2

En atención a lo dispuesto en el artículo 28, inciso a) de la Ley 8131 de cita, mediante el Decreto Nº 32170 se promulga el Reglamento de Creación de la Comisión de Coordinación de la Administración Financiera3 (CCAF) en diciembre de 2004, en éste se definen las atribuciones, facultades y competencias que tendrá esa Comisión, el cual se constituye en un instrumento fundamental que la dinámica operativa de la Administración Financiera requiere para la adecuada coordinación de los diferentes aspectos técnicos y operativos, de manera que las definiciones y lineamientos que cada dependencia establezca, consideren las implicaciones que éstos puedan tener en el quehacer y ámbito de competencia de los otros participantes en el Sistema.

En junio de 2008, con la publicación del Decreto N° 34534-H se emite un nuevo Reglamento de Creación de la Comisión de Coordinación de la Administración Financiera4, mediante el cual se establece la creación de un Comité Ejecutivo del Sistema de Administración Financiera, la designación de un Coordinador del Comité Ejecutivo, un Coordinador de la CCAF y un Secretario de Actas, que la Comisión podrá disponer la creación de subcomisiones técnicas, que se creará un Comité Técnico Funcional para cada sistema de información de la Administración Financiera que integre funciones de dos o más direcciones, que se creará y definirá la conformación de los Comités permanentes de Seguimiento y Control que se requieran, así como la definición de las funciones que les corresponderán realizar a cada uno de las partes mencionadas, entre otros.

En el documento denominado “Políticas Generales para la administración de accesos a los Sistemas Informáticos de la Administración Financiera de la República”, aprobado por la CCAF en la sesión No. 56 celebrada el 08 de noviembre de 2007, se definen las responsabilidades y las funciones que les corresponderá a la CCAF, los Entes Rectores, los Entes Gestores usuarios de los sistemas informáticos que administre la CCAF, el Comité Técnico Funcional (CTF) del respectivo sistema, Equipo Administrador de Roles y Perfiles (EARP), el Área de Seguridad de Informática de la DGI, el Comité de Seguimiento y Control, entre otros.

Con oficio CCAF-001-2008 del 23 de enero de 2008, el Lic. Luis Segura Amador, Secretario de la CCAF, le comunica a la Licda. Guiselle Araya Carranza, en su condición de Coordinadora del Comité Técnico Funcional del SIGAF en ese entonces, que en la sesión ordinaria Nº 060-2008 celebrada el 16/1/08, esa Comisión tomó

2 Página Web del Ministerio de Hacienda.3 Publicado en La Gaceta Nº 256 del 30 de diciembre del 2004.4 Publicado en La Gaceta N° 108 del 05 de junio de 2008.




como acuerdo firme, autorizar el uso del “Proceso de Administración de Roles y Perfiles de Seguridad en SIGAF” a partir del 02 de enero de 2008, documento que se generó como parte de la ejecución de la Fase II del Proyecto de Mantenimiento y Mejoras del SIGAF, con el propósito de controlar el mantenimiento de los roles y la asignación de roles y perfiles a usuarios finales, como parte del esquema de seguridad para el SIGAF.

En ese proceso, se definen los participantes que forman parte del proceso (ente gestor, ente rector, Unidad de Seguridad de Informática de la DGI, EARP, CTF, Comité de Seguimiento y Control, usuario final), las actividades para la administración de roles y perfiles, aspectos que los participantes deberán considerar para el trámite de licencias de usuario y licencias de acceso, la asignación de roles para usuarios de primer ingreso y/o inclusión de roles adicionales para funcionarios con licencia, modificación de funciones de usuario, identificación de cambios a roles y perfiles, eliminación de un usuario, mantenimiento de roles y perfiles, así como, los formularios que se deberán ser utilizar para el trámite de las solicitudes de asignación, creación y/o modificación de roles y perfiles según corresponda.

2. RESULTADOS

2.1. Sobre los procedimientos específicos requeridos a las dependencias con responsabilidad sobre los procesos establecidos en las políticas generales

En el Decreto Nº 34534-H Reglamento de creación de la CCAF, artículo 5, incisos b), c) y d), se establece el objetivo general y las funciones que tendrá esa Comisión, que textualmente establece:

“…La Comisión de Coordinación de la Administración Financiera, tendrá como objetivo general el lograr una visión técnico operativa debidamente integrada para el funcionamiento de los sistemas de información computarizados que involucren a dos o más direcciones de la Administración Financiera. Para tal efecto, tendrá las siguientes funciones/…b) Emitir políticas, lineamientos y procedimientos de operación relacionados con los sistemas de información computarizados dentro de su ámbito de competencia, con el propósito de optimizar y mejorar los procesos de la Administración Financiera./…c) Verificar desde la óptica funcional la correcta operación de los sistemas de información considerados dentro de su ámbito de competencia./… d) Velar por el adecuado funcionamiento de los controles incorporados en los sistemas de información computarizados y, cuando se requiera, establecer nuevos controles.”

En el Decreto Nº 23245-H Organización, Objetivos y Funciones de la Dirección General de Informática, artículo 6, incisos f), i), disponen que la Dirección para cumplir con su objetivo tendrá las siguientes funciones:

“…f) Definir políticas y estrategias que normen las relaciones con los usuarios de los sistemas de información que administran las unidades subalternas, así como los estándares y procedimientos técnicos a seguir./… i) Dirigir las funciones de control que garanticen el fiel cumplimiento de las normas, estándares establecidos y las medidas de seguridad interna...”

En el documento denominado “Políticas Generales para la administración de accesos a los Sistemas Informáticos de la Administración Financiera de la República”, aprobado por la Comisión de Coordinación de la Administración Financiera (CCAF) en la sesión No. 56, celebrada el 08 de Noviembre del 2007, se dispuso en la parte que interesa lo siguiente:

“12. Disposiciones Finales: Todas las Dependencias con responsabilidad sobre los distintos procesos contenidos en esta política, deberán elaborar los manuales de Procedimiento respectivos a su responsabilidad, a más tardar dentro de los siguientes 30 días de la comunicación de esta política.”




No obstante, que a la fecha del presente informe han transcurrido más de cuatro años desde que se dispuso en las políticas generales de cita, la obligatoriedad de las dependencias con responsabilidad sobre los distintos procesos contenidos en ésta, de elaborar los manuales de procedimiento respectivos, que le competen a los órganos rectores del Sistema de Administración Financiera que conforman la CCAF y a la DGI, se logró evidenciar que únicamente la Dirección General de Presupuesto Nacional dispone de un procedimiento específico titulado “FM-01-4-2 Asignación de roles y perfiles SIGAF correspondiente a Unidades Financieras y Dirección General de Presupuesto Nacional”, el cual fue remitido a los jefes de las unidades financieras y al Tribunal Supremo de Elecciones mediante la Circular Nº DGPN-0718-2011 del 27 de setiembre de 2011, suscrita por el Lic. Fabián Quirós Álvarez, en su condición de Director General a.i. de esa Dirección, con copia al Tesorero Nacional, la Directora General de la DGABCA, la Contadora Nacional, el Gerente de Proyecto SIGAF, el Equipo Administrador de roles y perfiles SIGAF y las Proveedurías Institucionales.

Ese procedimiento (FM-01-4-2) contiene apartados referentes al objetivo, alcance y definición de los participantes, disposiciones, normativas, actividades secuenciales y responsabilidades que deben aplicar los Jefes de Unidades Financieras como máxima autoridad financiera en cada ente gestor para solicitar la inclusión y/o exclusión de roles y perfiles de accesos al SIGAF que corresponden a operaciones y transacciones a cargo de esas instancias y que se operacionalizan en este sistema, lista de roles y perfiles con el detalle de las transacciones de las Unidades Financieras y de la DGPN, detalle de roles y perfiles por proceso, detalle de incompatibilidades de roles y perfiles de la unidades financieras, entre otros.

Es importante que los órganos rectores del Sistema de Administración Financiera, a saber, la Dirección General de Administración de Bienes y Contratación Administrativa, la Tesorería Nacional y la Contabilidad Nacional así como la Dirección General de Informática, que aun no cuentan con los manuales de procedimientos específicos relacionados con los procesos definidos para la administración de roles y perfiles del SIGAF que son de su competencia, se den a la tarea de elaborarlo, a fin de disponer de un instrumento oficial, divulgado y comunicado a los entes participantes, que establezca en forma clara y precisa las relaciones de coordinación, información y comunicación que deben darse entre los participantes de dicho proceso, minimice el riesgo de que eventualmente se estén otorgando accesos a usuarios que resulten incompatibles con la naturaleza de las funciones y tareas que éstos realizan, que se puedan generar errores provocados por un desajuste o parametrización inadecuada o insuficiente de roles y perfiles, y eventualmente el uso inadecuado de los accesos autorizados que podría tener efectos adversos sobre la seguridad y el control de las transacciones asociadas al mismo.

Lo anterior, también es un instrumento que permitiría conocer en forma clara y concreta el grado de participación, competencia y responsabilidad de los que interactúan en estos procesos.

2.2. Necesidad de revisar la suficiencia y validez de la normativa emitida para la administración de roles y perfiles del SIGAF

Las Normas de Control Interno para el Sector Público5 establecen:

“Norma 4.2 Requisitos de las actividades de control. e. Documentación. Las actividades de control deben documentarse mediante su incorporación en los manuales de procedimientos, en las descripciones de puestos y procesos, o en documentos de naturaleza similar. Esa documentación debe estar disponible, en forma ordenada conforme a criterios previamente establecidos, para su uso, consulta y evaluación....”

“Norma 4.4 Exigencia de confiabilidad y oportunidad de la información. El jerarca y los titulares subordinados, según sus competencias, deben diseñar, adoptar, evaluar y perfeccionar las actividades de control pertinentes a fin de asegurar razonablemente que se recopile, procese, mantenga y custodie información 5 Publicadas en La Gaceta Nº 26 del 6 de febrero de 2009.




de calidad sobre el funcionamiento del SCI y sobre el desempeño institucional, así como que esa información se comunique con la prontitud requerida a las instancias internas y externas respectivas....”

Al respecto se determinó que tanto las “Políticas Generales para la administración de accesos a los Sistemas Informáticos de la Administración Financiera de la República” como el “Proceso de Administración de Roles y Perfiles de Seguridad en SIGAF”, que a la fecha de este informe se mantienen vigentes, no han sido objeto de revisión, a pesar de que han transcurrido más de cuatro años de que éstos fueron aprobados por la CCAF.

Lo anterior, a fin de determinar la validez y suficiencia del contenido de los mismos y adecuarlos a las necesidades actuales de las funciones, responsabilidades y actividades que les corresponde realizar a los participantes que intervienen en el proceso en estudio, en razón de los cambios normativos posteriores que se han venido dando con la promulgación del nuevo Decreto N° 34534-H Reglamento de Creación de la CCAF, en junio 2008, y el esquema de seguridad aplicable a los accesos de los sistemas informáticos del SIGAF por parte de la Dirección General de Informática, con la emisión de la Política de Seguridad de TIC del Ministerio de Hacienda aprobada y publicada en mayo de 2009, en el que se dispone en el punto 3.2 “Revisión de la política de seguridad de la información” de este último, que la misma debe ser revisada regularmente en intervalos planificados o en razón de cambios significativos, para garantizar la continua conveniencia, suficiencia, adecuación y eficacia.

Se presentan las siguientes condiciones determinadas a efecto de que se tomen en consideración en el fortalecimiento de estas políticas:

2.2.1 Algunas incongruencias que se presentan en las políticas generales y el proceso que se efectúa

2.2.1.1 Omisión de la participación del CTF en las actividades descritas para la realización de un ajuste en los roles y/o perfiles asignados a un usuario final.

En las Políticas Generales para la administración de accesos a los Sistemas Informáticos de la Administración Financiera de la República, en adelante políticas generales, se define como una de las funciones, que al Comité Técnico Funcional (CTF) le corresponderá avalar las pruebas realizadas por el Equipo Administrador de Roles y Perfiles (EARP) en el ambiente de calidad referentes a la aplicación de ajustes de roles y perfiles con el fin de que sean implementados en producción, sin embargo, en las actividades descritas en el Proceso de Administración de Roles y Perfiles de Seguridad en SIGAF, en adelante proceso, que le corresponden realizar a los participantes en dicho proceso, se omite la participación del CTF, y en su lugar lo que se especifica es que la Unidad de Seguridad Informática de la Dirección General de Informática es la responsable de analizar la información contenida en las plantillas de implementación remitidas por el director del ente rector, efectuar las verificaciones técnicas que procedan y realizar la implementación de los cambios efectuados.

2.2.1.2 Falta de claridad en las funciones y actividades que le corresponde realizar al EARP en relación con la modificación de roles y perfiles.

En las políticas generales se establece como una de las funciones, que le corresponderá al EARP, efectuar las pruebas requeridas para garantizar el buen funcionamiento de la asignación, creación y/o modificación de roles y perfiles, así como elaborar la documentación de respaldo, sin embargo, en la descripción de actividades que les corresponde realizar a los participantes que intervienen en dicho proceso, se indica que el encargado del EARP “realiza los cambios dentro del mandante productivo (500)”, lo cual se presta confusión, en la medida en que esta última no está comprendida dentro de sus competencias en ambiente productivo.

2.2.1.3 Ambigüedad en la descripción de actividades y las plantillas prediseñadas, en cuanto a quién debe remitirse las solicitudes.




En las actividades descritas en el proceso establecido para la asignación, exclusión y modificación de roles y perfiles del SIGAF, se indica que el ente gestor remite al ente rector las solicitudes para los usuarios que así lo requieran, sin embargo, en las plantillas prediseñadas para tales efectos se indica en la parte superior de las mismas que deben ser completadas y enviados al encargado del EARP de la rectoría correspondiente, situación que genera confusión en cuanto a quién deben remitirse dichas solicitudes.

2.2.2 Necesidad de valorar y establecer otros elementos que en forma complementaria fortalezcan la eficiencia y eficacia de los procesos

2.2.2.1 Definición de las características personales y competencias técnicas que debe reunir los colaboradores que sean designados como miembros del EARP y CTF.

Se carece de la definición de los requisitos mínimos que debe poseer el colaborador designado por el ente rector para que asuma el rol de encargado del EARP y del CTF, en cuanto a las características personales (perfil), competencias técnicas (formación y conocimiento) sobre los procesos relacionados con el negocio del área que representa, los sistemas informáticos utilizados y que esté capacitado en el manejo operativo y funcional del SIGAF, según corresponda, a fin de asegurar la correcta y adecuada ejecución de las tareas y actividades encomendadas y el desempeño efectivo de sus funciones.

2.2.2.2 Asignación formal de las funciones y responsabilidades a los miembros del EARP y el CTF.

No se acostumbra como una sana práctica administrativa, que cuando una Dirección (DGPN, DGABCA, TN, CN) realiza la designación del representante de su área que asumirá el rol como encargado del EARP y del CTF, sea acompañada de la entrega formal de la asignación de funciones y responsabilidades en donde se delimite en una forma clara y precisa el alcance de su participación en las actividades que deberá realizar en relación con el proceso de administración de roles y perfiles, así como la normativa establecida que regula esta materia, a fin de asegurar el desempeño adecuado de las funciones y tareas que le están siendo encomendadas, tomando en consideración que dicho rol en algunos casos se asume como un recargo de sus funciones y en otros a tiempo completo.

2.2.2.3. Designación de funcionarios suplentes.

No se dispone de funcionarios suplentes debidamente capacitados que ante la ausencia de los titulares designados como encargados del EARP o miembros del CTF, asuman las tareas y actividades que les corresponde realizar a éstos a fin de asegurar la continuidad en la prestación del servicio.

2.2.2.4 Restricción en la designación de los colaboradores.

En la actualidad existen colaboradores que han sido designados por las Direcciones respectivas para asumir funciones tanto como encargado del EARP como integrante del CTF, condición que puede desvirtuar los objetivos de control que se persiguen con la segregación de funciones que les corresponde a cada uno, principalmente en cuanto a la realización y validación de las pruebas que se efectúan en el ambiente de desarrollo y en el ambiente de calidad, para garantizar que cuando se realice el pase de la orden de transporte al ambiente de producción, el contenido de la misma esté libre de errores.

Es importante que se analice de acuerdo el riesgo y la disponibilidad de recursos, la conveniencia de establecer lineamientos que impidan que un mismo colaborador pueda ser designado por la Dirección respectiva, para asumir más de un rol, sea como encargado del EARP o integrante del CTF,.




2.2.2.5. Definición de requisitos mínimos para el archivo y custodia de la documentación que respalda las solicitudes tramitadas

La normativa es omisa en cuanto a los requisitos mínimos que se deberán considerar para el archivo y custodia de la documentación de respaldo que se genera como parte de la gestión que realizan los encargados del EARP, el CTF y la Unidad de Seguridad Informática de la Dirección General de Informática, tanto física como electrónica, durante la atención y trámite de las solicitudes para la asignación de roles y perfiles del SIGAF, para lo cual se debe tomar como referencia las normas de control interno para el Sector Público 5.4 “Gestión documental” y 5.5 “Archivo institucional”. Lo anterior, tomando en cuenta que en la práctica se evidenció que no existe un estándar de la forma en que se mantiene archivada la documentación de respaldo que conservan los encargados del EARP.

2.2.2.6. Elaboración de procedimientos específicos y la rendición de informes periódicos sobre los roles y perfiles asignados.

No se acostumbra como una sana práctica administrativa, que el EARP elabore y presente en forma periódica informes por escrito ante la Dirección respectiva, que den cuenta sobre las labores realizadas de las solicitudes de asignación, exclusión, creación y/o modificación de roles y perfiles del SIGAF que han sido atendidas.

Adicionalmente, y de acuerdo con lo establecido en las políticas generales, punto 6 “Acerca del Control Interno sobre los procesos de Administración y Mantenimiento de los Accesos a los Sistemas Informáticos”, incisos a), b) y c), el ente gestor es el responsable sobre la correcta asignación y el eventual uso inadecuado de los accesos que resulten incompatibles y que hubieran sido por el solicitados, que la CCAF debe garantizar el funcionamiento adecuado de los accesos a los Sistemas Informáticos y la delimitación de las autorizaciones que corresponden a cada acceso, y que es responsabilidad del Comité de Seguimiento y Control (CSC) realizar las verificaciones a posteriori para las transacciones asignadas a los diversos accesos otorgados a los sistemas.

Sin embargo, a la fecha no se logró evidenciar la existencia de procedimientos específicos que operativicen las responsabilidades sobre el control interno citadas, que le competen a los participantes en el proceso, en donde se definan las principales actividades, las relaciones de coordinación y comunicación, la periodicidad con que éstas deben practicarse, la documentación de los resultados en un informe por escrito y ante quién (es) deben ser presentados dichos informes, entre otros. Estos elementos de control permiten mantener informado a la CCAF sobre el cumplimiento de la normativa establecida, y en caso de que se presenten desviaciones, tomar las acciones correctivas necesarias. 2.2.2.7. Aplicación del estándar de documentación.

No obstante que las políticas generales y el proceso cuentan con la aprobación de la CCAF, los mismos carecen de la formalidad relacionada con otros elementos que también es importante que sean consignados en el propio documento, tales como los nombres, cargos y firmas de las personas que participaron en la elaboración, revisión y aprobación, la fecha en que comenzó a regir, en especial, por tratarse de documentos normativos de carácter oficial que deberán ser acatados por los participantes que intervienen en los distintos procesos vinculados con la asignación, creación y/o modificación de roles y perfiles del SIGAF.

Esta condición provoca un debilitamiento en el ambiente de control en el que se realizan las diferentes actividades que les corresponden a los participantes en el proceso de administración de roles y perfiles del SIGAF, dadas las incongruencias, la falta de claridad en algunos aspectos contenidos en el marco normativo en estudio y la carencia de otros elementos complementarios que a la fecha no se encuentran definidos, situaciones que generan confusión a los participantes en cuanto a la aplicación adecuada de los procedimientos establecidos, la ausencia de un criterio uniforme, incrementando el riesgo de que se cometan errores en la ejecución de las




tareas y que puedan impactar negativamente en la funcionalidad de algunos de los módulos que componen el SIGAF.

2.3. Necesidad de supervisar el cumplimiento de los procesos establecidos

La norma de control interno 4.5.1 Supervisión constante dispone lo siguiente: El jerarca y los titulares subordinados, según sus competencias, deben ejercer una supervisión constante sobre el desarrollo de la gestión institucional y la observancia de las regulaciones atinentes al Sistema de Control Interno, así como emprender las acciones necesarias para la consecución de los objetivos.

Al respecto se determinó que algunas de las actividades relacionadas con los procesos definidos para la administración de roles y perfiles del SIGAF, no están siendo ejecutadas conforme a lo establecido, según se indica a continuación:

Se verificó que algunas de las solicitudes atendidas por los órganos rectores fueron tramitadas sin que el ente gestor cumpliera con el uso de las plantillas prediseñadas para la asignación, exclusión, creación y/o modificación de roles y perfiles del SIGAF.

No se logró evidenciar que los encargados del EARP estén documentando el proceso de análisis de asignación de roles y perfiles del SIGAF, para determinar si existe o no riesgos de incompatibilidad de funciones, información que debe ser llenada por éste en la plantilla prediseñada para tal fin.

Se verificó que no siempre el encargado del EARP genera la documentación que respalda las pruebas realizadas como parte de las actividades ejecutadas para la atención de las solicitudes de creación y/o modificación de roles y perfiles del SIGAF requeridos por el ente rector.

En la práctica, en algunas ocasiones el encargado del EARP ha ejecutado tanto las actividades que a éste le corresponde realizar, como las asignadas al integrante del CTF, relacionadas con la creación y/o modificación de roles y perfiles del SIGAF, en cuanto a la realización de las pruebas y validación de las mismas en el ambiente de calidad, condición que no está de conformidad con la normativa establecida y el principio de control interno de segregación de funciones.

Según el Acta Nº 118-2011del 12/7/11, Acuerdo Firme Nº 6, se designa el nombramiento del Coordinador del EARP a la señora Guiselle Araya Carranza, quien a su vez es miembro de ese Equipo y del CTF en representación de la Tesorería Nacional, sin embargo, se verificó que en la práctica, la señora Guiselle Araya, no ha ejercido el rol de Coordinador del EARP conforme con lo dispuesto por la CCAF en los acuerdos firmes respectivos contenidos en las actas 103-2010 y 118-2011 mencionadas, además de que no existe interacción ni una relación de coordinación y comunicación formal entre los encargados del EARP.

Las órdenes de transporte para pasar al ambiente de producción la creación y/o modificación de los roles y perfiles requeridos por el ente rector para un usuario final, están siendo remitidas por el CTF y ejecutadas por la Unidad de Seguridad Informática como por el Equipo Basis que pertenece al Área de Ingeniería de Sistemas de la Dirección General de Informática, que en el caso de este último, es un participante que está realizando actividades que no están de conformidad con la normativa establecida para tales efectos.

Conforme lo anterior, en nuestra opinión se deben implementar los mecanismos de supervisión requeridos, a fin de asegurar el cumplimiento de los procesos definidos para la administración de roles y perfiles del SIGAF, que permitan controlar, detectar, informar o conocer con la regularidad requerida, que las diferentes etapas del proceso se estén realizando conforme a lo dispuesto, y en caso de presentarse desviaciones realizar las acciones




de coordinación y comunicación pertinentes ante las instancias que correspondan para que se tomen las medidas correctivas que procedan, elemento de control, que no está contemplado como parte de la normativa.

2.4. Sobre las situaciones y recomendaciones contenidas en el informe “Wrap-Up Meeting”

En setiembre de 2011, la empresa SAP- México, proveedora de la plataforma SAP (Sistema de Aplicaciones y Productos) donde se encuentran implementados los módulos que componen el SIGAF, a solicitud de la Dirección General de Informática, realizó una revisión de la seguridad del sistema SIGAF referente a los accesos y los roles y perfiles asignados a esa fecha, cuyos resultados fueron documentados en un informe denominado “Wrap-Up Meeting”, el cual contiene información relevante acerca de las situaciones encontradas, los riesgos identificados y su impacto, y un apartado de siete recomendaciones. Esto, como parte de los servicios de soporte y mantenimiento establecidos en el Contrato MH-044-2009, denominado “Servicios de soporte Maxattention™ de SAP”.

Ese informe fue elaborado por la consultora de la empresa SAP- México, señora Julia Cuellar, y remitido por correo electrónico en setiembre de 2011, a la Licda. Sonia Rodríguez, en su condición de Gerente del Contrato MH-044-2009 de cita en ese entonces, quien a su vez lo dio a conocer al Equipo Basis.

De acuerdo con las consultas realizadas a la Licda. Sonia Rodríguez, al Lic. Jorge Miranda, Coordinador del Equipo Basis, y la reunión efectuada el 09 de julio de 2012, con la participación del Lic. Manuel Enrique Ramos, Director General de Informática, la Licda. Gabriela Espinoza, anterior Directora de la Dirección General de Informática, el Coordinador del Equipo Basis, el Lic. Randall Hernández, Jefe de la Unidad de Seguridad Informática y el equipo a cargo de este estudio, se determinó lo siguiente:

a) A esa fecha, únicamente el Equipo Basis (usuario administrador del sistema SAP) tenía conocimiento del contenido del informe “Wrap-Up Meeting”, no obstante, que en materia de seguridad, se tienen definidas funciones y responsabilidades, que involucran a otros participantes en los procesos de administración de los accesos y la asignación de roles y perfiles, tanto a nivel de la Dirección General de Informática como de la CCAF, a saber: la Unidad de Seguridad Informática, el Comité Técnico Funcional del SIGAF, el Equipo Administrador de Roles y Perfiles y el Comité de Seguimiento y Control, que también debieron haber sido participados de la existencia del mismo, por tratarse de una temática que es de su competencia.

b) En cuanto a la atención de las recomendaciones contenidas en ese informe, solamente el Coordinador del Equipo Basis refirió que por su parte se analizaron las situaciones encontradas y se emprendieron algunas acciones de mejora para implementar aquellas que estaban a su alcance y de acuerdo con sus funciones, en lo concerniente a la asignación de la transacción de seguridad “SU-53” (es un rol general que tienen todos los usuarios SIGAF que muestra los errores o falta de autorizaciones para un usuario o tarea, y facilita la comunicación del error específico al que atiende el incidente) y la eliminación de usuarios con perfiles SAP_All y SAP_New en el sistema productivo.

c) En reunión del 09 de julio del 2012, el Director General de Informática indicó que girará las instrucciones correspondientes a la Licda. Sonia Rodríguez para que en coordinación con los demás participantes de la Dirección General de Informática involucrados con esta temática, revisen el contenido del informe “Wrap-Up Meeting” en referencia y le presente un informe sobre estado actual y vigencia de las situaciones encontradas y recomendaciones brindadas en el mismo; el Coordinador del Equipo Basis, expresa que algunas de las recomendaciones ya han sido atendidas; el Jefe de la Unidad de Seguridad Informática manifiesta que hasta ahora tiene conocimiento de ese informe y que le hubiera gustado ser participado o puesto en conocimiento de ese documento, ya que existen aspectos señalados que tienen relación con su área.

INF-DGAI-019-2012 Pág. 10 de 15



Con oficio DGI-617-2012 de fecha 26 de julio del 2012, el Lic. Manuel E. Ramos Campos, Director General de Informática, comunica a esta Auditoría sobre las acciones realizadas por esa Dirección relativos al tema de la seguridad de los accesos de usuario, manejo de las licencias SIGAF, eliminación de usuarios con perfiles SAP_ALL y SAP_NEW en el ambiente de producción, la emisión de un lineamiento para eliminar automáticamente las licencias del SIGAF que se encuentren sin uso por más de 60 días naturales, establecimiento de valores estándar en los parámetros de inicio de sesión y la instalación del router SAP, entre otras, en atención a las recomendaciones brindadas por la empresa SAP en el informe “Wrap-Up Meeting” de cita, que son de su competencia.

No obstante lo anterior, dado que existen otras situaciones y recomendaciones de ese informe que le competen a otras instancias, según lo indicado en el oficio DGI-617-2012 de cita, es necesario que el contenido del informe “Wrap-Up Meeting”, según se detalla más adelante, sea también del conocimiento de la CCAF, a fin de que se revise y se discuta en todos sus extremos la validez y vigencia de las situaciones encontradas y recomendaciones brindadas al respecto que sean de competencia, de manera que en caso que se determinen que a la fecha persisten algunos de los aspectos señalados en dicho informe, la Dirección General de Informática en coordinación con la CCAF se den a la tarea de elaborar en forma conjunta un plan de acción con la calendarización de las actividades que se consideren necesarias, designación de responsables y establecimientos de plazos para su cumplimiento.

Sobre el contenido del informe “Wrap-Up Meeting”

En ese informe se indica como aspecto más relevante que no se cuenta con una estrategia de seguridad definida por los usuarios administradores del sistema, conocidos como BASIS, para la administración de roles y perfiles, así como otros aspectos de interés que se mencionan en los siguientes apartados:

Situaciones encontradas

Gran cantidad de usuarios con perfiles SAP_All y SAP_New en el sistema productivo. Gran cantidad de usuarios con autorización para crear, modificar y borrar a otros usuarios y aun para

cambiar las autorizaciones, lo que los convierten automáticamente en usuarios administradores.

Riesgos/Impacto

En caso de un proceso de auditoría los usuarios Basis serán responsables por las tareas que deberían ser de los usuarios funcionales (como documentos financieros creados por un Basis).

Es imposible identificar claramente quién ha hecho qué en el sistema, esto debido a que los usuarios comparten passwords o usan los usuarios de servicios para llevar a cabo tareas administrativas o financieras.

En caso de un proceso de auditoría de la licencia, el Ministerio de Hacienda está en peligro de ser penalizado.

Pueden haber implicaciones legales debido a que el equipo Basis está creando, modificando o borrando documentos financieros.

Recomendaciones

Necesidad de contar con una estrategia de seguridad y/o en caso de que ya exista compartirla entre los actores.

Revisar y depurar las políticas de administración de perfiles. Revisar y depurar las políticas de administración de roles. Revisar y depurar la estrategia de atención de órdenes de transporte.

INF-DGAI-019-2012 Pág. 11 de 15



Asignar a todos los usuarios la transacción SU-53 (es un rol general que tienen todos los usuarios SIGAF que muestra los errores o falta de autorizaciones para un usuario o tarea, y facilita la comunicación del error específico al que atiende el incidente).

Incluir en el sistema administrador de tareas reportes de seguridad. Disponer de un router SAP para la atención de situaciones críticas instalado de acuerdo a los parámetros

establecidos por la seguridad del Ministerio de Hacienda.

3. CONCLUSIONES

3.1 A pesar de que han transcurrido más de 4 años desde que en las “Políticas Generales para la administración de accesos a los Sistemas Informáticos de la Administración Financiera de la República” se dispuso la obligación de que las dependencias con responsabilidad sobre los distintos procesos definidos en ésta, cuenten con los manuales de procedimientos específicos de las tareas y actividades que les corresponde realizar a los encargados del EARP, los usuarios funcionales expertos (CTF) y funcionarios de la Unidad de Seguridad Informática que tienen participación en la administración de los accesos a los sistemas informáticos del Ministerio de Hacienda y la administración de roles y perfiles del SIGAF, se logró evidenciar que de los órganos de administración financiera únicamente la Dirección General de Presupuesto Nacional ha cumplido con esta disposición, no así la Tesorería Nacional, la Dirección General de Bienes y Contratación Administrativa, la Contabilidad Nacional, y la Dirección General de Informática en lo que a su competencia respecta.

La falta de procedimientos específicos formalmente establecidos y divulgados a los participantes involucrados en el proceso de administración de los accesos, roles y perfiles del SIGAF, constituye una falta de claridad en el grado de participación y responsabilidad de acuerdo con las competencias conferidas, y constituye un riesgo de que se cometan errores y omisiones durante la ejecución de las tareas y actividades, inseguridad e insuficiencia de los elementos de control mínimos que aseguren la correcta ejecución de los procesos, y en caso de que eventualmente se de un uso inadecuado de los accesos autorizados se podría tener efectos adversos sobre la seguridad y el control de las transacciones asociadas al sistema, y se dificulta el establecer responsabilidades en caso de corresponder.

Ver punto 2.1 de este informe.

3.2 La normativa emitida para la administración de roles y perfiles del SIGAF no ha sido objeto de revisión a la fecha de este informe a fin de determinar la validez y suficiencia del contenido de la misma, a pesar de que han transcurrido más de cuatro años de haber sido aprobada por la CCAF, dado que existen elementos importantes que vendrían a fortalecer en forma complementaria la eficiencia y eficacia de dichos procesos pero que sin embargo no están siendo considerados, además, de que posterior a su emisión se promulgaron nuevas políticas de seguridad de TIC.

Por otra parte, existen algunas incongruencias que se presentan en las políticas generales y el proceso establecido, en cuanto a las funciones y actividades que le corresponde realizar al EARP y al CTF, en la definición del “ambiente” en que deberá trabajar el EARP para la realización de los cambios requeridos relacionados con la creación y/o modificación de roles y perfiles del SIGAF, la creación de la figura del EARP que no está considerada en el Reglamento de Creación de la CCAF, la indicación de a quién se le deberá remitir las solicitudes (plantillas prediseñadas) para la asignación, exclusión y modificación de roles y perfiles.

También, existe la necesidad de valorar y considerar otros elementos que en forma complementaria fortalezcan la eficiencia y eficacia de los procesos relacionados con la administración de roles y perfiles del SIGAF, referentes a la definición del perfil que debe tener el colaborador designado por el ente rector para

INF-DGAI-019-2012 Pág. 12 de 15



asumir el rol de encargado de EARP y usuario funcional experto (CTF), que esa designación sea acompañada de la entrega formal de la asignación de funciones y responsabilidades, y de la normativa que regula esa materia, la importancia de disponer de funcionarios suplentes en ausencia del titular, que un colaborador no desempeñe más de un rol al mismo tiempo (EARP, CTF), existan requisitos mínimos a considerar para el archivo y custodia de la documentación de respaldo que se genera como parte de la gestión que realizan el EARP, CTF y la Unidad de Seguridad Informática, la rendición de informes por escrito y en forma periódica por parte del EARP, la necesidad de establecer un procedimiento para el cumplimiento de las funciones del CSC, entre otros.

Ver punto 2.2 de este informe

3.3 La ejecución de algunas actividades no están acordes con los procesos establecidos para la administración de roles y perfiles del SIGAF, respecto al uso de las plantillas prediseñadas para la atención de solicitudes, la documentación del proceso de análisis de incompatibilidad de funciones, la documentación de las pruebas realizadas por el EARP, la segregación de funciones establecidas para el EARP y el CTF para la realización de las pruebas y validación de las mismas, la atención y ejecución de las órdenes de transporte para el pase a producción.

En nuestra opinión, las posibles causas que contribuyen a esta condición, es la ausencia de mecanismos de supervisión que sean delegados en un funcionario con el nivel y la autoridad suficiente para que de seguimiento y en forma periódica verifique el cumplimiento de dicha normativa, así como informar a las autoridades competentes sobre su resultado, para que en caso de que se presenten desviaciones, se puedan tomar las medidas correctivas o preventivas que procedan.


3.4 El informe “Wrap-Up Meeting” elaborado por la empresa SAP-México, producto de la revisión sobre la seguridad del sistema SAP solicitado por la Dirección General de Informática, no fue puesto en conocimiento de los demás participantes que intervienen en el proceso de administración de roles y perfiles del SIGAF, solamente por la Gerente del Contrato de Servicios de soporte Maxattention de SAP y el Equipo Basis, en la que este último ha realizado algunas acciones para atender parte de las recomendaciones contenidas en dicho informe.

Ese informe contiene información relevante relacionada con los aspectos de seguridad de los accesos y administración de roles y perfiles, por lo que es importante que el mismo sea revisado y discutido por los participantes involucrados (Dirección General de Informática, Unidad de Seguridad de Informática, CCAF, EARP, CTF, CSC), la validez y vigencia de las situaciones encontradas y recomendaciones brindadas al respecto, y en caso que se determinen que a la fecha persisten algunas de esas situaciones, elaborar en forma conjunta el correspondiente plan de acción para solventar las mismas.


4. RECOMENDACIONES

INF-DGAI-019-2012 Pág. 13 de 15



Al señor Ministro

4.1 Ordenar a la Comisión de Coordinación de Administración Financiera realizar las siguientes acciones referidas a la administración de roles y perfiles del SIGAF, en coordinación con la Dirección General de Informática en lo de su competencia:

4.1.1 Girar las instrucciones para que la Dirección General de Administración de Bienes y Contratación Administrativa, la Tesorería Nacional, la Contabilidad Nacional y la Dirección General de Informática, elaboren, oficialicen y divulguen los procedimientos específicos bajo su responsabilidad y conforme a sus competencias, requeridos en las disposiciones finales de las Políticas Generales para la administración de accesos a los Sistemas Informáticos de la Administración Financiera de la República. Ver punto 3.1 de este informe.

4.1.2 Se revise la suficiencia y validez de las Políticas Generales para la administración de accesos a los Sistemas Informáticos de la Administración Financiera de la República y el Proceso de Administración de Roles y Perfiles de Seguridad en SIGAF, a fin de adecuarlas a las necesidades actuales, tomando en consideración, entre otros, los siguientes aspectos:

a) Lo señalado en el punto 2.2.1 sobre algunas incongruencias que se presentan en la normativa citada, referentes a la omisión de la participación del CTF, la falta de claridad en la funciones y actividades que le corresponde al EARP, cuyas funciones de este último no están contemplados en el Reglamento de la CCAF, ambigüedad en cuanto a quién debe remitirse las solicitudes.

b) Lo señalado en el punto 2.2.2 sobre la necesidad de valorar y establecer otros elementos que en forma complementaria mejoren la eficiencia y eficacia de dichos procesos, sobre la definición de las características personales y competencias técnicas que debe reunir los colaboradores del EARP y CTF, la asignación formal de las funciones y responsabilidades, la designación de funcionarios suplentes, restricción en la designación de los colaboradores, definición de requisitos mínimos para el archivo y custodia de la documentación que respalda las solicitudes, elaboración de procedimientos específicos y la rendición de informes periódicos sobre los roles y perfiles asignados y aplicación del estándar de documentación.


4.1.3 Establecer los mecanismos de supervisión requeridos a fin de asegurar el cumplimiento de los procesos definidos para la administración de roles y perfiles del SIGAF, que permitan controlar, detectar, informar o conocer con la regularidad requerida, que las diferentes etapas del proceso se estén aplicando conforme a lo dispuesto, y en caso de presentarse desviaciones realizar las acciones de coordinación y comunicación pertinentes ante las instancias que correspondan para que se tomen las medidas correctivas que procedan. Ver punto 3.3 de este informe.

4.1.4. Revisar las recomendaciones dadas por la empresa SAP en el informe “Wrap-Up Meeting” sobre la seguridad del sistema SIGAF, así como las acciones llevadas a cabo por la Dirección General de Informática al respecto, a fin de que se determine si las debilidades y los riesgos han sido atendidos o en su defecto se tomen las medidas preventivas o correctivas que procedan sobre la seguridad de dicho sistema, conforme con sus competencias. Ver punto 3.4 de este informe.

Según corresponde para el cumplimiento de estas recomendaciones, se debe presentar en forma oportuna el plan de acción para la efectiva implantación de lo recomendado.

INF-DGAI-019-2012 Pág. 14 de 15



Estas recomendaciones están sujetas a las disposiciones del artículo 37 de la Ley Nº 8292, Ley General de Control Interno, que establece: “Cuando el informe de auditoría esté dirigido al jerarca, este deberá ordenar al titular subordinado que corresponda, en un plazo improrrogable de treinta días hábiles contados a partir de la fecha de recibido el informe, la implantación de las recomendaciones. Si discrepa de tales recomendaciones, dentro del plazo indicado deberá ordenar las soluciones alternas que motivadamente disponga; todo ello tendrá que comunicarlo debidamente a la auditoría interna y al titular subordinado correspondiente.”

Con base en lo anterior, se le solicita respetuosamente proceder en lo que corresponda, con la aplicación de esta normativa y el Manual para la atención de informes de la Contraloría General de la República y de la Dirección General de Auditoría Interna, según Decreto Nº 34323-H del 22 de febrero de 2008, y comunicar a esta Dirección la decisión que se tome al respecto, dentro del plazo de treinta días hábiles señalado.

Randall Antonio Díaz RodríguezProfesional en Informática

Luis Fdo. Obando PerazaProfesional de Auditoría Interna 2

Sonia Gin LunCoordinadora Auditoría Área de Egresos

C. Estudio N°019-2011Archivo

INF-DGAI-019-2012 Pág. 15 de 15


Documents

San José, dd/mmm/aaaa - Ministerio de Hacienda · Web viewRevisar las recomendaciones dadas por la empresa SAP en el informe “Wrap-Up Meeting” sobre la seguridad del sistema