San José, 06 de noviembre del 2015 DGAI-INF Asunto: Informe de Evaluación del control de los programas de cómputo

Loading....

Loading....

Loading....

Loading....

Loading....

Texto completo

(1)

San José, 06 de noviembre del 2015

DGAI-INF-014-2015

Señor

Alfredo Abarca Rojas Director

Dirección de Tecnologías de Información y Comunicación

Asunto: Informe de Evaluación del control de los programas de cómputo Estimado señor:

Le remitimos el informe de control interno con los resultados obtenidos en el estudio sobre la evaluación del control de los programas de cómputo, que se realizó de conformidad con el Plan de Trabajo Anual 2015, con el objetivo de evaluar los controles establecidos por la Administración para el control sobre los licenciamientos en los programas y aplicaciones que dispone el Ministerio, para efectos de dar una opinión sobre la razonabilidad en cuanto a si estos cumplen con los requerimientos técnicos y legales que le son atinentes. El estudio comprendió la revisión de los controles establecidos sobre el inventario de equipo y software y el uso de licencias de los sistemas informáticos del Ministerio.

Durante la revisión se detectaron algunas debilidades de control relacionadas con el inventario de equipo y software del Ministerio de Hacienda, que pueden incidir en la calidad de la información que se mantiene sobre el control de estos activos institucionales y que sirve de base para la elaboración del informe que es remitido por la Unidad de Administración de Software de la Dirección General de Tecnologías de Información y Comunicación, (DTIC) al Registro de Derechos de Autor y Derechos Conexos, en cumplimiento de lo dispuesto en el Decreto Ejecutivo Nº 37549-JP . (Ver Anexo 1)

Los resultados del presente informe, fueron comentados a los señores a los funcionarios Alfredo Abarca Rojas, Director de la DTIC, María Isabel Vargas, Subdirectora de la DTIC y Roy Muñoz Rodríguez, jefe de la Unidad de Administración de Software, en reunión celebrada el 29 de octubre del 2015, quienes manifestaron su aceptación con lo comunicado y expresaron sus comentarios, los que se detallan en Anexo Nº 2 de este informe.

Las actividades de este estudio se realizaron de acuerdo con la normativa aplicable al ejercicio de la Auditoría Interna en el Sector Público.

1. Resultados obtenidos

La revisión de los controles del inventario se realizó mediante la selección al azar de una muestra de 61 computadoras, de las 3416 computadoras, propias y arrendadas, que se encontraban instaladas en el Ministerio al mes de mayo del 2015, según información proporcionada a esta Auditoría Interna por la Unidad de Administración de Software (UAS). (Ver Anexos 3 y 4)

En la inspección realizada se comparó el detalle de software que se encontraba instalado en cada una de las computadoras revisadas, con las licencias aprobadas por el Ministerio y el registro que se mantiene en la UAS, a fin de determinar si la información correspondía al software efectivamente instalado, así como la pertinencia de los controles que se mantienen dentro de la DTIC.

(2)

Durante el proceso de revisión se determinó que la Unidad de Administración de Software utiliza las herramientas OCS Inventory e IS que le permiten mantener en tiempo real el control del software instalado y ubicación del equipo, en las computadoras conectadas a la red del Ministerio de Hacienda.

No obstante lo anterior, producto de la revisión efectuada se determinaron algunos aspectos en relación con el software instalado en los equipos y la cantidad de computadoras, que deben ser mejorados a fin de cumplir con lo que demanda la normativa vigente en materia de derechos de autor, según se describe a continuación:

1.1 Sobre el control de las micro computadoras y software instalado.

El inciso e) del artículo 2 del Decreto Ejecutivo Nº 37549-JP, sobre el “Reglamento para la Protección de los Programas de Cómputo en los Ministerios e Instituciones Adscritas al Gobierno Central”, establece como obligación de cada Ministerio e Institución adscrita al Gobierno Central, lo siguiente:

e) Mantener un sistema de información que registre los resultados del inventario de equipos y licencias adquiridas, e instalaciones (equipos donde se tienen instaladas las licencias permitidas bajo tales autorizaciones), sistema que permitirá determinar si tienen suficientes autorizaciones para cubrir todos los equipos y los programas en uso, ello permitirá establecer que el respectivo Ministerio cumple con la protección de los derechos de autor relativos a los programas de cómputo. En el sistema deberá constar la fecha de instalación y funcionario que autoriza la instalación de la licencia.

Por su parte, el artículo 3 de este mismo Decreto, establece lo siguiente:

“Cada Ministerio e Institución adscrita al Gobierno Central, deberá realizar anualmente una auditoría interna o externa según las propias posibilidades presupuestarias y organizacionales para determinar el cumplimiento de las disposiciones tendientes a la protección de los derechos de autor, relativos a los programas de cómputo; mediante la auditoria se deberá verificar los equipos existentes y los programas que tengan las computadoras, así como el número de copias autorizadas de cada programa, comprobando la fecha de instalación, versión de cada uno y ajustado a los términos de licenciamiento.” (El subrayado no es del original)

Con base en lo indicado, se procedió a la revisión de los controles internos establecidos para el control de los equipos y programas de cómputo en las Unidades de Administración de Micros (UAM) y de Administración de Software, ambas de la Dirección de Tecnología de Información y Comunicación, así como a la verificación física de las micro computadoras y programas instalados en estas, determinada con base en una muestra de los equipos con que cuenta el Ministerio, tanto propios como arrendados a la empresa El Orbe S.A.

Como resultado de lo expuesto, se determinó lo siguiente:

a. De acuerdo con la información brindada a esta Auditoría Interna por parte de la Unidad de Administración de Micros, el Ministerio cuenta con un 3336 micro computadoras arrendadas a la empresa El Orbe S.A, de las cuales a la fecha del estudio se encontraban instaladas 2718. Adicionalmente, según la información suministrada por la Unidad de Administración de Software se cuenta con 698 que son propiedad del Ministerio.

b. De 15 computadoras revisadas propiedad del Ministerio de Hacienda, se observó que en 9 de estas existían programas instalados que requieren licencia, entre ellos, Windows, Microsoft Office y otros como WinRar, Visio o Skype.

(3)

c. En 46 computadoras arrendadas pertenecientes al contrato con empresa El Orbe S.A. se determinó que en 5 de ellas se encuentra un software denominado Skype, además se detectaron 3 sistemas que necesitan de licencia para ser instalados y que se encontraban funcionando, a saber: Snagit10, Abby y Visio.

d. 19 computadoras del contrato señalado cuentan con software libre instalado que no ha sido autorizado por la Dirección de Tecnología de Información y Comunicación, como es el caso de Adobe Digital Editions 2.0, MP3 Rocket, Spotify y Slim DX Runtime.

Por otro lado se determinó que la Unidad de Administración de Micros sólo mantiene el registro de las micro computadoras arrendadas a la empresa El Orbe S.A., no así de los 698 equipos propiedad del Ministerio cuyo detalle fue suministrado a esta Auditoría Interna por la Unidad de Administración de Software ni de 16 computadoras con placa de patrimonio del Ministerio de Hacienda, ubicadas en el sótano de la Administración Tributaria de San José Oeste, que fueron observadas por esta Auditoría Interna durante la inspección en esa Administración Tributaria.

Los resultados mencionados evidencian que el Ministerio no cuenta con información completa y exacta, a una fecha dada, del total de micro computadoras existentes, lo cual puede representar no solo un incumplimiento de las disposiciones contenidas en el “Reglamento para la Protección de los Programas de Cómputo en los Ministerios e Instituciones Adscritas al Gobierno Central”, Decreto Ejecutivo Nº N°37549-JP, sino también una limitación para el suministro de información veraz y oportuna en el informe a que se refiere el artículo 4 de dicho Decreto, según el cual se deberá hacer constar en este, que se cumple con la protección de los derechos de autor relativos a los programas de cómputo.

También podría estar expuesto el Ministerio a demandas de los propietarios de los programas por el uso de software no autorizado, con el eventual pago de derechos e indemnizaciones a que se pueda ver sometido en sede judicial.

La condición señalada podría tener su origen en debilidades en el sistema de control interno establecido para el control de los equipos y del licenciamiento, que han posibilitado que a la fecha del estudio efectuado se mantengan instalados en algunos equipos, propios y arrendados, programas de cómputo que exceden los términos del licenciamiento, lo cual ha sido justificado por funcionarios de la DTIC en lo reciente de la implementación de la nueva estructura de la DTIC y en la falta de personal. (Ver Anexo 1)

En relación con lo anterior, los incisos c., d. y e. del artículo 48 del Decreto Ejecutivo Nº N°37859-H

Estructura organizacional de la Dirección de Tecnología de Información y Comunicación, respecto a las funciones dela Unidad de Administración de Software, establece como responsabilidad de dicha Unidad, lo siguiente:

“c. Mantener actualizado el inventario tanto del software libre como licenciado. / d. Llevar el control de las licencias del software utilizadas en el Ministerio. / e. Controlar y asignar eficientemente el licenciamiento corporativo del Ministerio.

Por otro lado, el inciso m. del artículo 14 de citado l Decreto establece como función de la Unidad de Administración de Micros, la responsabilidad de inventariar, controlar y administrar el hardware de usuario final a nivel institucional, tanto arrendado como propio, por lo cual, se mantiene la obligación de continuar con los esfuerzos para lograr establecer un inventario actualizado, preciso y confiable de todos los recursos de tecnologías informáticas que dispone el Ministerio de Hacienda.

(4)

Durante la comunicación de resultados los funcionarios de la DTIC, expusieron los inconvenientes que se les han presentado para lograr tener un inventario total y actualizado de todos los recursos que se disponen, debido a que muchas dependencias aún mantienen bajo su responsabilidad en uso o no, equipos que en su tiempo adquirieron, cuando la organización de tecnologías de información de información en el Ministerio de Hacienda está descentralizado. Lo anterior ocasiona que aún existan algunos de estos equipos, que ellos no han logrado ubicar y poner en regla.

2. Conclusiones

2.1. La Dirección de Tecnologías de Información y Comunicación a través de la Unidad de Administración de Software ha venido trabajando en la mejora de los controles sobre el inventario de software del Ministerio, lo cual se refleja en la implementación de nuevas herramientas para actualización y mantenimiento del software, sin embargo estos esfuerzos no han sido suficientes pues a la fecha del estudio se mantiene instalado en algunas de las computadoras del Ministerio, software no autorizado, lo cual roza con lo establecido en la normativa vigente en materia de protección de los derechos intelectuales, incluidos los derechos de autor.

3. Recomendación

Al Director de Tecnologías de Comunicación e Información

3.1. Tomar las acciones que correspondan a efectos de que en un plazo no mayor de seis meses contados a partir de la fecha del presente informe, esa Dirección cuente con registros de inventario completos y actualizados de totalidad de computadoras, propias y arrendadas con que cuenta el Ministerio, así como de las licencias y software instalado en estas.

3.2 Proceder en el plazo mencionado a la desinstalación del software no autorizado a efectos de dar cumplimiento a la normativa vigente en materia de derechos de autor.

3.3 Establecer mecanismos de control interno relacionados con el uso y disposición de las computadoras y software instalado, de manera que se logre en todo momento una garantía razonable del cumplimiento de la normativa vigente en materia de derechos de autor.

Las recomendaciones contenidas en este informe, están sujetas a las disposiciones del artículo 36 de la Ley Nº 8292 Ley General de Control Interno, que establece un plazo improrrogable de 10 días hábiles, contados a partir de la fecha de recibo del informe, para ordenar la implantación de las recomendaciones o si discrepa de ellas, debe elevar la objeción y soluciones alternas al señor Ministro en el plazo establecido con copia a la Auditoría Interna.

Por lo anterior, le agradecemos comunicar a esta Dirección dentro del plazo señalado la decisión que se tome con respecto a las recomendaciones que se plantean.

Dejándolo informado para la toma de decisiones, se suscribe: Atentamente,

Lic. Gustavo Cascante Calvo Lic. Guillermo Badilla Martínez GUILLERMO

ANTONIO BADILLA MARTINEZ (FIRMA)

Firmado digitalmente por GUILLERMO ANTONIO BADILLA MARTINEZ (FIRMA) Fecha: 2015.11.06 10:10:04 -06'00'

GUSTAVO ADOLFO CASCANTE CALVO (FIRMA)

Firmado digitalmente por GUSTAVO ADOLFO CASCANTE CALVO (FIRMA) Fecha: 2015.11.06 10:11:43 -06'00'

(5)

Máster Juan de Dios Araya Navarro Director General JDAN/GBM/gcc ce. Estudio N°004-2015 ARAYA NAVARRO (FIRMA)

DE DIOS ARAYA NAVARRO (FIRMA)

(6)

ANEXO Nº 1 SOBRE DE NORMATIVA

Normas de control interno para el Sector Público 4.4Exigencia de confiabilidad y oportunidad de la información

El jerarca y los titulares subordinados, según sus competencias, deben diseñar, adoptar, evaluar y perfeccionar las actividades de control pertinentes a fin de asegurar razonablemente que se recopile, procese, mantenga y custodie información de calidad sobre el funcionamiento del SCI y sobre el desempeño institucional, así como que esa información se comunique con la prontitud requerida a las instancias internas y externas respectivas. Lo anterior, tomando en cuenta, fundamentalmente, el bloque de legalidad, la naturaleza de sus operaciones y los riesgos relevantes a los cuales puedan verse expuestas, así como los requisitos indicados en la norma 4.2.”

“4.4.1 Documentación y registro de la gestión institucional

El jerarca y los titulares subordinados, según sus competencias, deben establecer las medidas pertinentes para que los actos de la gestión institucional, sus resultados y otros eventos relevantes, se registren y documenten en el lapso adecuado y conveniente, y se garanticen razonablemente la confidencialidad y el

acceso a la información pública, según corresponda. “

ARTICULADO DE LA LEY GENERAL DE CONTROL INTERNO

Sobre la responsabilidad sobre el sistema de control interno:

Artículo 10.-Responsabilidad por el sistema de control interno. Serán responsabilidad del jerarca y del

titular subordinado establecer, mantener, perfeccionar y evaluar el sistema de control interno institucional. Asimismo, será responsabilidad de la administración activa realizar las acciones necesarias para garantizar su efectivo funcionamiento.”

Sobre la identificación y valoración de riesgos:

Artículo 14.-Valoración del riesgo. En relación con la valoración del riesgo, serán deberes del jerarca

y los titulares subordinados, entre otros, los siguientes:

a) Identificar y analizar los riesgos relevantes asociados al logro de los objetivos y las metas institucionales, definidos tanto en los planes anuales operativos como en los planes de mediano y de largo plazos.

b) Analizar el efecto posible de los riesgos identificados, su importancia y la probabilidad de que ocurran, y decidir las acciones que se tomarán para administrarlos.

c) Adoptar las medidas necesarias para el funcionamiento adecuado del sistema de valoración del riesgo y para ubicarse por lo menos en un nivel de riesgo organizacional aceptable.

(7)

Artículo 17.-Seguimiento del sistema de control interno. Entiéndase por seguimiento del sistema de control interno las actividades que se realizan para valorar la calidad del funcionamiento del sistema de control interno, a lo largo del tiempo; asimismo, para asegurar que los hallazgos de la auditoría y los resultados de otras revisiones se atiendan con prontitud.

En cuanto al seguimiento del sistema de control interno, serán deberes del jerarca y los titulares subordinados, los siguientes:

“a) Que los funcionarios responsabilizados realicen continuamente las acciones de control y prevención en el curso de las operaciones normales integradas a tales acciones.

b) Que la administración activa realice, por lo menos una vez al año, las autoevaluaciones que conduzcan al perfeccionamiento del sistema de control interno del cual es responsable. Asimismo, que pueda detectar cualquier desvío que aleje a la organización del cumplimiento de sus objetivos.”

(8)

ANEXO Nº 2

SOBRE COMENTARIOS DE LOS FUNCIONARIOS QUE PARTICIPARON EN LA COMUNICACIÓN DE RESULTADOS

COMENTARIO VALORACION

1) En el momento del estudio efectuado, la condición de existencia de equipos, propios y arrendados, con programas de cómputo que exceden los términos del licenciamiento, se justifica por lo reciente de la implementación de la nueva estructura de la DTIC y en la falta de personal, para poder realizar el inventario y revisión en todos los equipos con que se cuenta, propios y arrendados.

La implementación de la nueva estructura para la DTIC, data del año 2013, por lo que aún no se ha terminado de consolidar esta y además, el reacomodo de funcionarios que antes pertenecían a otras direcciones, en funciones claves de la DTIC, está aún en proceso.

2)

Los funcionarios de la DTIC, consideran que aún no logrado concluir con el inventario total y hacer las correcciones de software no autorizado, porque en algunas dependencias mantienen equipo que no es reportada su existencia a la DTIC durante los inventarios físicos realizados y en algún momento se instalaron aplicaciones, que aún los técnicos de la DTIC no han logrado determinar y ubicar, para poner en orden.

Se considera válida la observación, debido a la cultura organizacional existente de que cada Dirección mantenía sus recursos de tecnologías, el cambio cultural aún está en proceso y existen dependencias, que no hay reportado a la DTIC todos los equipos y las aplicaciones con que cuentan.

Figure

Actualización...

Related subjects :