FACULTAD DE CIENCIAS ECONÓMICAS
Escuela de Administración de Negocios
Programas de Educación Continua
TÉCNICO EN AUDITORÍA DE TECNOLOGÍAS DE INFORMACIÓN
NORMAS TÉCNICAS PARA LA GESTIÓN Y EL CONTROL DE LAS
TECNOLOGÍAS DE INFORMACIÓN N-2-2007-CO-DFOE
Laura Barquero Aguilar Roy Hernández Aguilar Leidy Otálvaro Escobar Zeidy Quesada Brenes
Contenido
1 RESUMEN EJECUTIVO... 3
2 NORMAS TÉCNICAS PARA LA GESTIÓN Y EL CONTROL DE LAS TECNOLOGÍAS DE INFORMACIÓN N-2-2007-CO-DFOE 4 3 OBJETIVOS ... 5
3.1 Objetivo General ... 5
3.2 Objetivos específicos ... 5
4 RESULTADOS ... 5
4.1 Lineamientos establecidos por la Contraloría General de la República (CGR) ... 5
4.2 Estructura de las Normas ... 7
Capítulo I Normas de aplicación general ... 7
Capítulo II Planificación y organización ... 8
Capítulo III Implementación de tecnologías de información ... 8
Capítulo IV Prestación de servicios y mantenimiento ... 8
Capítulo V Seguimiento ... 8
4.3 Seguimiento de la Contraloría General de la República en relación con el Plan de Implementación y Ejecución de las Normas Técnicas ... 9
4.4 Ejemplos de Implementación de las Normas ... 12
A. Comunicación a la administración de la publicación de las normas ... 15
B. Plan para la implementación de las Normas y designación de responsables ... 15
C. Confirmación a la CGR de lo establecido en el artículo 6 de la resolución R-CO-26-2007 ... 17
D. Actividades pendientes (cumplimiento de las brechas) ... 19
5 CONCLUSIONES ... 20
6 RECOMENDACIONES ... 21
7 GLOSARIO ... 22
1 RESUMEN EJECUTIVO
Debido a la importancia que tienen las tecnologías de información (TI) en el apoyo de la gestión de las
organizaciones la Contraloría General de la República (CGR) promulgó un marco normativo denominado
“Normas técnicas para la gestión y el control de las tecnologías de información Nro. N-2-2007-CO-DFOE”.
Esta normativa establece criterios básicos de control que deben observarse en la gestión de esas tecnologías y
que tienen como propósito coadyuvar en su gestión, con el propósito de que las mismas se conviertan en un
instrumento esencial en la prestación de los servicios públicos.
Dicha normativa está organizada en cinco capítulos a saber:
Capítulo Nombre del Capítulo Cantidad de Normas
I Normas de aplicación general 7
II Planificación y organización 5 III Implementación de tecnologías de información 4
IV Prestación de servicios y mantenimiento 6
V Seguimiento 3
A pesar de que estas disposiciones son de acatamiento obligatorio para la Contraloría General de la República y
las instituciones y órganos públicos sujetos a su fiscalización, se pudo observar que no existe un seguimiento
razonable en lo que se refiere a la implementación y ejecución de las normas técnicas, por parte de esa
Contraloría.
Asimismo, como ejemplos, se analizaron las actuaciones que llevaron a cabo el Consejo de Transporte Público
(CTP) y la Corporación Bananera Nacional S.A. (Corbana SA.) en razón del cumplimiento y ejecución de
2 NORMAS TÉCNICAS PARA LA GESTIÓN Y EL CONTROL DE LAS TECNOLOGÍAS DE INFORMACIÓN N-2-2007-CO-DFOE
INTRODUCCIÓN
La evolución derivada del desarrollo de nuevas herramientas tecnológicas conlleva la necesidad de
disponer de un marco regulatorio mediante el cual se establezcan lineamientos generales para la estandarización
de criterios en ese campo.
La Contraloría General de la República es un órgano constitucional auxiliar de la Asamblea Legislativa
en el control superior de la Hacienda Pública y rector del sistema de fiscalización, según lo que contempla la
Ley Orgánica de la Contraloría General de la República No. 7428. Ejerce su competencia sobre todos los entes
y órganos que integran la Hacienda Pública, así como sobre los sujetos de Derecho Privado, en cuanto
administren o custodien fondos públicos.
Tiene la facultad de dictar disposiciones, normas, políticas y directrices, dentro del ámbito de su
competencia, las cuales son de acatamiento obligatorio y prevalecerán sobre cualesquiera otras disposiciones de
los sujetos pasivos que se le opongan.
Con el propósito de visualizar las actuaciones institucionales en relación con las Normas Técnicas para
la Gestión y el Control de las Tecnologías de Información, se procedió a identificar el marco jurídico o técnico
emitido por el Órgano Contralor en la materia, así como lo actuado por el Consejo de Transporte Público (CTP)
y la Corporación Bananera Nacional (Corbana S.A), en el proceso de implementación de esas regulaciones y los
3
OBJETIVOS3.1 Objetivo General
Determinar los lineamientos establecidos por la Contraloría General de la República para la gestión y control
de las Tecnologías de la Información en las Instituciones Públicas del país.
3.2 Objetivos específicos
Describir la estructura de las Normas Técnicas para la gestión y el control de las Tecnologías de la
Información.
Determinar el seguimiento establecido por la Contraloría General de la República en relación con el Plan
de Implementación y Ejecución de las Normas Técnicas.
Analizar casos determinados de implementación de las normas de interés.
4 RESULTADOS
4.1 Lineamientos establecidos por la Contraloría General de la República (CGR)
Con fundamento en el marco jurídico y técnico que regula su accionar, en 1996 la Contraloría General
de la Republica promulgó el Manual sobre normas técnicas de control interno relativas a los sistemas de
información computarizados.
En virtud de los avances tecnológicos en ese campo, en el 2007 derogó la Normativa anteriormente
mencionada y en su lugar emitió las “Normas técnicas para la gestión y el control de las tecnologías de
La normativa en referencia estableció criterios básicos de control en materia de sistemas de información,
procurando una mejor gestión de las tecnologías en las organizaciones, por lo que esas disposiciones deben ser
implementadas como parte de la gestión institucional en la materia (TI), caso contrario se generarán eventuales
responsabilidades por su no aplicación e implementación.
Por la relevancia del tema, la CGR otorgó a las instituciones del sector público bajo su fiscalización, dos
años a partir de entrada en vigencia de las citadas normas (31 de julio del 2007), para cumplir con lo regulado
en esa Normativa. Ese plazo comenzó a contar a partir de esa fecha y culminó el 30 de julio del 2009. Según lo
dispuesto por la CGR, en los primeros seis meses las instituciones debían desarrollar las actividades necesarias
para lograr una planificación efectiva y controlada de lo establecido en ese documento, contemplando los
siguientes aspectos:
a. La constitución de un equipo de trabajo con representación de las unidades que correspondían.
b. La designación de un responsable del proceso de implementación, quien asumiría la coordinación
del equipo de trabajo y debía contar con la autoridad necesaria, dentro de sus competencias, para
ejecutar el referido plan.
c. El estudio detallado de las normas técnicas referidas, con el fin de identificar las que aplicaban a la
entidad u órgano de conformidad con su realidad tecnológica y con base en ello establecer las
prioridades respecto de su implementación.
d. Dicha planificación debía considerar las actividades por realizar, los plazos establecidos para cada
una, los respectivos responsables, los costos estimados, así como cualquier otro requerimiento asociado
(tales como infraestructura, personal y recursos técnicos), todo lo cual debía quedar debidamente
4.2 Estructura de las Normas
Las Normas Técnicas para la Gestión y el Control de las Tecnologías de Información, según la
Resolución R-CO-26-2007 mediante la cual fueron emitidas, establecen los criterios básicos de control que
deben observarse en la gestión institucional de las tecnologías de información, de conformidad con las sanas
prácticas de aceptación general, y tienen como propósito coadyuvar en un adecuado uso de los recursos
invertidos en ellas.
Según lo descrito en las Normas, la siguiente es la estructura de ese marco técnico, la cual se transcribe
literalmente, incluida su numeración:
Capítulo I Normas de aplicación general
1.1 Marco estratégico de TI
1.2 Gestión de la calidad
1.3 Gestión de riesgos
1.4 Gestión de la seguridad de la información
1.4.1 Implementación de un marco de seguridad de la información
1.4.2 Compromiso del personal con la seguridad de la información
1.4.3 Seguridad física y ambiental
1.4.4 Seguridad en las operaciones y comunicaciones
1.4.5 Control de acceso
1.4.6 Seguridad en la implementación y mantenimiento de software e infraestructura tecnológica
1.4.7 Continuidad de los servicios de TI
1.5 Gestión de proyectos
1.6 Decisiones sobre asuntos estratégicos de TI
Capítulo II Planificación y organización
2.1 Planificación de las tecnologías de información
2.2 Modelo de arquitectura de información
2.3 Infraestructura tecnológica
2.4 Independencia y recurso humano de la Función de TI
2.5 Administración de recursos financieros
Capítulo III Implementación de tecnologías de información
3.1 Consideraciones generales de la implementación de TI
3.2 Implementación de software
3.3 Implementación de infraestructura tecnológica
3.4 Contratación de terceros para la implementación y mantenimiento de software e infraestructura
Capítulo IV Prestación de servicios y mantenimiento
4.1 Definición y administración de acuerdos de servicio
4.2 Administración y operación de la plataforma tecnológica
4.3 Administración de los datos
4.4 Atención de requerimientos de los usuarios de TI
4.5 Manejo de incidentes
4.6 Administración de servicios prestados por terceros
Capítulo V Seguimiento
5.1 Seguimiento de los procesos de TI
5.2 Seguimiento y evaluación del control interno en TI
4.3 Seguimiento de la Contraloría General de la República en relación con el Plan de Implementación y Ejecución de las Normas Técnicas
El 30 de setiembre del 2008, la CGR emitió el Informe DFOE-PGAA-23-2008, denominado “Informe
sobre el ejercicio de la rectoría en tecnologías de información y la iniciativa de gobierno digital a cargo del estado”, cuyo objetivo fue determinar la eficacia de la función rectora en materia de tecnologías de
información que debe ejercer el Estado, así como el grado de efectividad de la Comisión Intersectorial de
Gobierno Digital y de la Secretaría Técnica de Gobierno Digital, creadas mediante el Decreto Ejecutivo 33147
del 08 de mayo de 2006. Lo anterior, a la luz de los esfuerzos realizados por la CGR en procura de lograr una
mejora significativa en la gestión de las tecnologías de información por parte de las entidades sujetas a su
fiscalización.
En el Informe antes citado, la Contraloría indicó que la implementación de las Normas es
responsabilidad de los entes y órganos públicos y que la misma es verificada por ese órgano contralor en
algunos de ellos, determinando en ese seguimiento, que el avance en la etapa de planificación para la
implementación del marco normativo no fue satisfactorio.
Durante el período de estudio, la Contraloría realizó una verificación en ocho instituciones sobre el
cumplimiento de lo establecido en el artículo 6 de la Resolución Nro. R-CO-26-2007, con el propósito de
determinar, si como parte del proceso de implementación de la normativa indicada, se había nombrado a un
líder o responsable del proyecto de implementación, si se había designado al equipo de trabajo y elaborado el
plan de implementación correspondiente; ello observando los lineamientos que al respecto se especificaron en el
mismo artículo. Como resultado de esa verificación, la CGR determinó que en ninguna de las instituciones
evaluadas se dio un proceso de planificación adecuado y el grado de avance en la implementación de la
Adicionalmente, la CGR solicitó a 52 instituciones confirmar lo actuado en cumplimiento del artículo 6
y al respecto obtuvo el resultado que se detalla en el siguiente cuadro.
Cuadro No. 1
Resultado de la verificación sobre el cumplimiento del artículo 6 de la Resolución Nro. R-CO-26-2007 del 7 de junio de 2007
Datos en términos porcentuales sobre una consulta a 52 instituciones. Setiembre, 2008:
Confirmado Equipo de
Trabajo
Líder de Proyecto
Diagnóstico o análisis de
brecha Prioridad de Implementaci ón Definición de Actividades Plan de Implementación
Si 90 88 77 71 65 60
No 4 8 15 19 19 23
Parcial 0 0 6 4 8 10
No indica 6 4 2 6 8 8
Fuente: Oficios remitidos por las instituciones como respuesta al oficio Nro. 7201 del 18 de julio de 2008, emitido por la
División de Fiscalización Operativa y Evaluativa.
Lo anterior representó, en aquel momento, un grado de riesgo importante en materia de gestión de las
tecnologías en el sector público, pues no se tenía certeza de si las organizaciones estaban cumpliendo, al
menos, con lineamientos básicos como los establecidos en la normativa indicada, los cuales constituyen
sanas prácticas que procuran coadyuvar con el logro de los objetivos institucionales y asegurar el uso óptimo de
los recursos públicos, garantizando al mismo tiempo, una prestación de servicios que satisfaga los
requerimientos del usuario (interno y externo) y cumpla con aspectos de calidad, riesgos y seguridad, entre
Esa situación preocupó a la CGR, por cuanto surgió el cuestionamiento sobre la capacidad que tienen
las instituciones del Estado para gestionar adecuadamente sus tecnologías de información y con ello asegurar la
prestación necesaria de los servicios que les corresponde.
Las conclusiones de ese documento aluden que a pesar de la promulgación de las Normas, que se
emitieron para orientar las actuaciones del sector público, en procura de una mejor gestión de las tecnologías de
información, dicho esfuerzo era insuficiente si no se veía acompañado de acciones claras por parte del
Estado que apoyaran y complementaran tales iniciativas, como sería la rectoría en materia de tecnologías
y las iniciativas para impulsar el país hacia una sociedad de información y conocimiento por la vía del
desarrollo del gobierno digital.
Con respecto a la rectoría, se indicó en ese informe que se dio una situación confusa, que no ha
permitido la efectividad de dicho ejercicio; ello por cuanto el Ministerio de Ciencia y Tecnología (MICIT), que
por ley (No. 7169) es responsable de esa labor, no ha contado con una adecuada asignación de recursos ni el
soporte necesario, por lo que, por un período determinado, se asignó paralelamente parte de esa función a la
Comisión Intersectorial de Gobierno Digital, la cual tampoco había realizado acciones concretas en ese sentido.
Por otro lado, el 15 de noviembre del 2010, la CGR emitió el informe DFOE-PGAA-IF-29-2010 sobre
el cumplimiento por parte del Ministerio de Ciencia y Tecnología de la Resolución No. R-CO-26-2007 que
da vigencia a las “Normas técnicas para la gestión y el control de las tecnologías de información Nro. N-2-2007-CO-DFOE”, según el cual, no se determinó que existieran en el MICIT acciones, planes, y
documentación en general, que evidenciaran la implementación de las Normas técnicas referidas.
Lo anterior tiene especial relevancia en el caso del Ministerio de Ciencia y Tecnología, pues como se
indicó anteriormente es el ente rector en la materia de tecnología, por lo que es de esperar que sea un referente
4.4 Ejemplos de Implementación de las Normas
Seguidamente se describen las actuaciones del Consejo de Transporte Público y Corporación Bananera
Nacional con respecto a la implementación de las Normas Técnicas emitidas por la Contraloría General de la
República.
Consejo de Transporte Público (CTP)
El Consejo de Transporte Público es un ente adscrito al Ministerio de Obras Públicas y Transporte
(MOPT) y tiene como propósito garantizar a los ciudadanos la satisfacción de contar con un medio de
movilización moderno, adecuado y seguro.
Para ello tiene como objetivos impulsar el desarrollo, mejoramiento y modernización del sistema de
transporte público terrestre, y a la vez, ejercer las funciones de regulación dentro de un marco de eficiencia y
diligencia que permita el desarrollo y actualización constante de este servicio público.
Como parte de su plan de trabajo, la Auditoría Interna del Consejo de Transporte Público, desde el año
2008, incorporó el seguimiento al cumplimiento de las Normas en esa Institución y como resultado se emitieron
diferentes productos de auditoría, a saber:
En el 2008 se presentó el “Informe sobre el resultado de la implementación de las normas técnicas de
gestión y control de las tecnologías de la información”, en el cual se evidenció la inexistente
implementación de las Normas técnicas, por lo que se recomendó a la Administración elaborar un Plan
En el 2010 se emitió el “Informe sobre la revisión de la implementación de medidas de control en la
seguridad en la red de datos del Consejo de Transporte Público”, en el cual se revisó el cumplimiento del
capítulo I “Gestión de la seguridad de la información” de las Normas técnicas para la gestión y el control
de las Tecnologías de la Información”, y entre otros aspectos, se tuvo conocimiento de un documento
denominado “Plan para la Implementación de las Normas Técnicas para la Gestión y Control de la
Tecnología de Información”, elaborado por la Comisión para la implementación de las Normas, pero que
no contaba con aprobación por parte del Jerarca del Consejo de Transporte Público.
En el 2010 la Contraloría General de República emitió el informe DFOE-OP-IF-16-2010, denominado
“Estudio relacionado con la implementación de las Normas de gestión y control de las tecnologías de
información en el Consejo de Transporte Público”, en el cual se señalaron una serie de debilidades en
cuanto a la tardanza por parte de la Administración para la implementación de las Normas, la ausencia
de responsabilidades, plazos y otros aspectos en la designación del equipo responsable de la
Implementación, la ausencia de documentación relevante en el proceso de planificación, entre otros.
Como parte de las disposiciones emitidas, solicitó a la Administración se elaboraran los ajustes
necesarios al proceso de implementación de las Normas y que el documento resultante contara con la
aprobación del Jerarca.
Durante el 2011, la Auditoría Interna del Consejo continuó el seguimiento a la implementación de las
Normas y emitió, al respecto, observaciones en relación con los ajustes realizados al Plan de
Implementación de las Normas Técnicas, en aspectos tales como el análisis de brecha, la ausencia de
factores críticos de éxito, definición de los recursos necesarios, valoración de riesgos, análisis de
prioridades, vinculación entre normas, la definición de fechas y responsables en el cronograma de
Posteriormente, dio seguimiento al cumplimiento de las actividades incluidas en el Cronograma de
Implementación de las Normas Técnicas, aprobado por el Jerarca de este Consejo y determinó un atraso
en la ejecución de algunas de las actividades contempladas. Adicionalmente, se evidenció que durante el
año 2011 hubo una asistencia irregular por parte de algunos de los miembros de la Comisión nombrada
para tal efecto, lo cual pudo influir en el avance de dicho Cronograma.
Durante el 2012, también se incorporó el seguimiento a la Implementación, como parte del Plan de
Trabajo y como parte de los resultados obtenidos al 31 de diciembre del 2012 se determinó que:
Existen varias actividades cuya ejecución está pendiente y en proceso, esto a pesar de que la
última actividad del Cronograma de Implementación debió finalizar como máximo el 25 de
septiembre del 2012.
De cinco sesiones de trabajo realizadas en el 2012 por la Comisión de Implementación, en tres
no hubo quórum y en las dos restantes no hubo asistencia de la totalidad de los integrantes.
La mayoría de las actividades que los funcionarios responsables indicaron con estado de
ejecución “finalizado”, no han sido debidamente formalizadas o implementadas en la
Administración.
No se han elaborado informes de avance sobre el proceso de implementación de las Normas.
En ese sentido, se requiere contar con una mayor participación por parte del Jerarca y la necesidad de
realizar los ajustes necesarios por parte de la Administración, para finalizar las actividades pendientes y en
Corporación Bananera Nacional (CORBANA)
La Corporación Bananera Nacional (CORBANA) es una entidad pública no estatal, creada mediante
ley, en el año 1971.y tiene como eje principal, el desarrollo de la industria bananera en Costa Rica.
Esta institución desarrolla programas de investigación para fortalecer la calidad en el cultivo de banano,
brinda al productor tecnología de punta, mantiene líneas de crédito para facilitar la operación y recuperación de
las plantaciones, frente a las catástrofes naturales en el Caribe de Costa Rica, entre otros compromisos para
mejorar la industria.
A continuación se muestra un resumen de la evolución sobre el cumplimiento de las normas técnicas de
TI establecidas por la Contraloría General:
A. Comunicación a la administración de la publicación de las normas
El auditor interno de la Corporación Bananera Nacional, informó al Director de Tecnologías de
Información, sobre la publicación en La Gaceta de las Normas, indicándole que conforme a la misma , la
Institución contaba con un plazo de dos años para cumplir con esa normativa, por lo que este último remitió al
Comité Gerencial de Informática, las Normas, a fin de lograr la administración de dicho proyecto; y una vez
aprobado éste, establecer la elaboración de un cronograma de trabajo para su respectivo seguimiento y control.
B. Plan para la implementación de las Normas y designación de responsables
La mecánica que se definió fue que el Director analizara, para cada objetivo, lo que se tenía ya
al Comité el Plan para la implementación de las Normas, documento en el que desarrolló lo siguiente: objetivo
general, objetivo específico y descripción del proyecto, que incluye lo siguiente: los involucrados en el
proyecto, detalle de las habilidades del director y del equipo del proyecto; grupos de procesos; gestión,
ejecución, supervisión y control del trabajo, control de cambios, cierre del proyecto, documentación,
oportunidades de mejora, lecciones aprendidas y análisis de contingencias. Según ese plan, a la Dirección de
Tecnologías de Información le correspondía analizar los objetivos de control establecidos en las Normas, así
como definir las brechas respecto a cada norma. El plan fue presentado con el análisis de brechas (objetivo de la
norma, ¿qué tenemos?, ¿qué necesitamos?, ¿cuál es la brecha?), además del plan de acción para el cierre de
brechas (brecha, actividad, cronograma, responsable, recursos), la priorización de las acciones para su
implementación y el cronograma del proyecto.
El citado documento fue remitido a los integrantes del grupo de trabajo para su estudio, de previo a la
sesión del Comité; en las sesiones del Comité se analizó cada norma y se le realizaron al documento
presentado algunos ajustes menores de forma. Cabe señalar que en las actas del Comité no constaron las
modificaciones realizadas al documento; las actas tampoco detallaron suficiente información que permitiera
determinar y evaluar la profundidad con que se analizó cada norma, así como la identificación de las normas
analizadas en cada sesión.
El Comité acordó aprobar el proyecto para la implementación de las normas técnicas para la gestión y el
control de las tecnologías de información y como responsables de ese proyecto se designó a los siguientes
funcionarios:
Directora del proyecto: Subgerente General.
Además, se conformó un equipo de trabajo : Subgerente General, Subgerente de Asuntos Legales y
Corporativos, Director Administrativo y de Recursos Humanos, Jefe de Tesorería, Oficial de Control
Interno y Director de Tecnología de Información. Aunque CORBANA cumplió con la conformación de
un equipo de trabajo, el objetivo de su creación no se cumplió satisfactoriamente, a criterio de la
Auditoría Interna. El objetivo era el estudio detallado, por dicho grupo de trabajo, de cada una de las
normas técnicas referidas, con el fin de identificar las que aplicaban a la entidad u órgano, de
conformidad con su realidad tecnológica y con base en ello, establecer las prioridades respecto de su
implementación.. Tal objetivo se deduce de los aspectos detallados en el artículo 6 de la resolución
R-CO-26-2007 del 7 de junio, 2007, del Despacho de la Contralora General de la República. Ello
probablemente habría permitido contar con un documento más completo y detallado que el que se
presentó, ya que incluiría el conocimiento técnico, experiencia profesional y criterios de cada miembro
del equipo de trabajo, respecto a cada una de las normas. Según el plan presentado, al equipo de trabajo
le correspondía en sesiones posteriores discutir, analizar y aprobar las acciones que permitieran el
avance en el cumplimiento de la norma.
C. Confirmación a la CGR de lo establecido en el artículo 6 de la resolución R-CO-26-2007
En julio del 2008, la División de Fiscalización Operativa y Evaluativa de la CGR, dirigió al Gerente
General de CORBANA, un oficio solicitándole confirmar el cumplimiento de lo establecido en el artículo 6 de
la resolución R-CO-26-2007, relacionado con la implementación de las Normas. Entre los aspectos que la
Contraloría solicitó confirmar estaba lo relativo a:
c. Que se realizó un diagnóstico mediante el cual se identificó la brecha entre lo que la institución estaba
cumpliendo y el objetivo de cada norma. Asimismo, que como parte de dicho diagnóstico se evaluó el riesgo
asociado con cada una de las normas, así como las relaciones existentes entre ellas.
d. Que habiéndose identificado cuáles normas le resultaban aplicables a la institución, se estableció la
prioridad con que cada una sería implementada, según los riesgos específicos de cada caso y la factibilidad de
dicha implementación.
(…)
Sobre los anteriores aspectos, el oficio de la Gerencia General señaló:
(…)
c. Se realizó un diagnóstico para identificar brechas entre lo que la institución está cumpliendo y el objetivo de
cada norma, definiéndose las brechas existentes.
d. Se establecieron prioridades para la implementación de las normas, a través del Grupo de Trabajo.
(…)
Como se observa, el oficio de la Gerencia General es omiso en indicar si como parte de dicho
diagnóstico se evaluó el riesgo asociado con cada una de las normas, así como las relaciones existentes entre
ellas. Además, no se aclaró que la priorización de las normas se realizó según la numeración que tiene cada
norma, siguiendo un orden ascendente, dándole prioridad a las que estaban total o parcialmente cubiertas con la
política de seguridad y no según los riesgos específicos de cada caso y la factibilidad de dicha implementación.
Al respecto, el Director indicó que el diagnóstico realizado no consideró los riesgos de cada norma porque la
refieren al proyecto como tal. Cabe señalar que la Contraloría no ha solicitado información sobre los aspectos
comentados o requerido alguna aclaración al respecto.
D. Actividades pendientes (cumplimiento de las brechas)
El Director de Tecnología de Información indicó que el proyecto se dio por concluido en una de las
sesiones del Comité (aunque no hay un acuerdo del Comité en tal sentido dándolo ), lo que implicaría que todas
las actividades relacionadas con las brechas identificadas en la etapa de planificación fueron cumplidas a esa
fecha; sin embargo, de acuerdo a un estudio que llevó a cabo la Auditoría Interna Corporativa y la Auditoría
Externa, se pudo establecer que existen brechas aún entre las Normas y lo efectuado por la Dirección de
5 CONCLUSIONES
De conformidad con los resultados expuestos en el presente documento, se derivan las siguientes
conclusiones:
- Aun cuando la Contraloría General de la República facilitó a las instituciones públicas sujetas a su
fiscalización, un instrumento regulatorio asociado a las tecnologías de información, estableciendo un plazo
para su implementación, la gestión de las instituciones analizadas (CTP y CORBANA), ha sido deficitaria,
pues las acciones efectuadas se limitaron a aspectos preliminares, obviándose el eje central de las Normas,
lo que podría derivar en una afectación del sistema de control interno (situación de riesgo).
- Pese a que han transcurrido casi cuatro años, contados a partir del vencimiento del plazo establecido por el
Órgano Contralor para la puesta en práctica de esos lineamientos, los esfuerzos institucionales para su
implementación han sido insuficiente.
- Las debilidades en referencia, evidencian un inadecuado seguimiento por parte de la Contraloría General de
la República, cuya gestión fiscalizadora ha demostrado falencias importantes, conforme con las obligaciones
que le asisten en la materia, por cuanto desde la promulgación del marco regulatorio aludido, solamente
efectuó un informe, en el cual se hace referencia a las deficiencias supra citadas sobre el nivel de
implementación de las Normas.
A pesar de lo anterior, se considera necesario que la obligación en la implementación de ese marco
regulatorio recaiga en la Administración, específicamente en los Jerarcas, sin obviar a los titulares subordinados
según su ámbito de competencia, quienes son responsables de velar por el adecuado sistema de control de cada
6 RECOMENDACIONES
A los Jerarcas
Instruir a los responsables de implementar las Normas (Director Ejecutivo del CTP y Gerente General de
CORBANA), para que, a la mayor brevedad, presenten un informe con el detalle de los asuntos indicados en
las Normas pendientes de implementar (total o parcialmente), con el fin de tomar las medidas necesarias para
solventar esa situación.
Una vez obtenidos dichos informes, definir un cronograma con las actividades, responsables y plazos
requeridos para que la Administración cumpla con aquellas disposiciones sin atender, de manera que permita
ajustarse completamente a los lineamientos establecidos por el Órgano Contralor para la implementación de las
7 GLOSARIO
CGR: Contraloría General de la Republica.
Comité: Comité Gerencial de Informática de CORBANA
Consejo: Consejo de Transporte Público
CORBANA: Corporación Bananera Nacional
Director: Director de Tecnologías de Información de CORBANA
Normas: Normas técnicas para la gestión y el control de las tecnologías de información Nro.
8 REFERENCIA BIBLIOGRAFICA
Contraloría General de la República. (2007). Normas Técnicas para la Gestión y el Control de las
Tecnologías de Información. Publicado en La Gaceta 119, del 21 de junio del 2007, Costa Rica.
Contraloría General de la República. (2008) Informe Nro. DFOE-PGAA-23-2008 denominado Informe sobre
el ejercicio de la rectoría en tecnologías de información y la iniciativa de gobierno digital a cargo del
estado.
Contraloría General de la República. (2010). Informe Nro. DFOE-OP-IF-16-2010 Estudio relacionado con la
implementación de las Normas Técnicas para la Gestión y el Control de las Tecnologías de
Información en el Consejo de Transporte Público. Consultado el 11 de febrero del 2013 en la página
web www.cgr.go.cr
Corporación Bananera Nacional. (2011) Informe AUI-I-004-2011 Estudio “Examen de las actividades
llevadas a cabo por CORBANA S.A. para lograr una implementación efectiva y controlada de lo
establecido en las “Normas técnicas para la gestión y el control de las tecnologías de información
Nro. N-2-2007-CO-DFOE.
Contraloría General de la República. (2010). Informe Nro. DFOE-PGAA-IF-29-2010 sobre el cumplimiento
por parte del Ministerio de Ciencia y Tecnología de la Resolución No. R-CO-26-2007 que da vigencia
a las “Normas técnicas para la gestión y el control de las tecnologías de información”. Consultado
