División de Fiscalización Operativa y Evaluativa Área de Fiscalización de Servicios Económicos INFORME NRO. DFOE-EC-IF-15-2015 20 DE ABRIL, 2015 DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA ÁREA DE FISCALIZACIÓN DE SERVICIOS ECONÓMICOS INFORME DE LA AUDITORÍA DE CARÁCTER ESPECIAL SOBRE LA GESTIÓN DE LOS SISTEMAS DE INFORMACIÓN EN EL MINISTERIO DE AGRICULTURA Y GANADERÍA (MAG) 2015 Contraloría General de la República T: (506) 2501-8000, F: (506) 2501-8100 C: contraloria.general@cgr.go.cr http://www.cgr.go.cr/ Apdo. 1179-1000, San José, Costa Rica División de Fiscalización Operativa y Evaluativa Área de Fiscalización de Servicios Económicos CONTENIDO Página nro. RESUMEN EJECUTIVO 1. INTRODUCCIÓN .....................................................................................................1 ORIGEN DE LA AUDITORÍA .......................................................................................................................... 1 OBJETIVO DE LA AUDITORÍA ....................................................................................................................... 1 ALCANCE DE LA AUDITORÍA ........................................................................................................................ 1 ASPECTOS POSITIVOS QUE FAVORECIERON LA EJECUCIÓN DE LA AUDITORÍA ................................................ 2 GENERALIDADES ACERCA DE LA AUDITORÍA ................................................................................................ 2 METODOLOGÍA APLICADA ........................................................................................................................... 3 COMUNICACIÓN PRELIMINAR DE LOS RESULTADOS DE LA AUDITORÍA ............................................................ 4 2. RESULTADOS .........................................................................................................4 TEMA 1: PLANIFICACIÓN ESTRATÉGICA DE LAS TECNOLOGÍAS DE INFORMACIÓN (TI) EN EL MAG 4 HALLAZGO 1.1: FUNCIÓN DE TI EN EL MAG ................................................................................................ 4 HALLAZGO 1.2: ALINEAMIENTO Y PLANIFICACIÓN ESTRATÉGICA DE LAS TI EN EL MAG ................................. 6 TEMA 2: SEGURIDAD DE LA INFORMACIÓN EN EL MAG .................................................................. 8 HALLAZGO 2.1: CARENCIA DE UN SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN Y DE UN PLAN DE CONTINUIDAD DE TI EN EL MAG ............................................................................................................ 8 HALLAZGO 2.2: AUSENCIA DE SISTEMAS DE INFORMACIÓN ......................................................................... 13 3. CONCLUSIONES ................................................................................................... 14 4. DISPOSICIONES ................................................................................................... 15 AL DR. LUIS FELIPE ARAUZ CAVALLINI, MINISTRO DE AGRICULTURA Y GANADERÍA O QUIEN OCUPE SU CARGO ……………………………………………………………………………………………………………..15 AL LIC. EDWARD ARAYA RODRÍGUEZ, OFICIAL MAYOR Y DIRECTOR ADMINISTRATIVO FINANCIERO O QUIEN OCUPE SU CARGO .................................................................................................................................... 17 ILUSTRACIONES DIAGRAMA DE ESTRUCTURA N°. 1 ORGANIGRAMA INSTITUCIONAL DEL MAG ……………...................3 ANEXOS ANEXO NRO. 1 OBSERVACIONES AL BORRADOR DEL INFORME DE LA AUDITORÍA DE CARÁCTER ESPECIAL SOBRE LA GESTIÓN DE LOS SISTEMAS DE INFORMACIÓN EN EL MINISTERIO DE AGRICULTURA Y GANADERÍA (MAG)……………………………………………………………………………………………………….18 Contraloría General de la República T: (506) 2501-8000, F: (506) 2501-8100 C: contraloria.general@cgr.go.cr http://www.cgr.go.cr/ Apdo. 1179-1000, San José, Costa Rica División de Fiscalización Operativa y Evaluativa Área de Fiscalización de Servicios Económicos INFORME NRO. DFOE-EC-IF-15-2015 RESUMEN EJECUTIVO ¿Qué examinamos? La Auditoría de Carácter Especial realizada por el Órgano Contralor en el Ministerio de Agricultura y Ganadería (MAG), tuvo como objetivo determinar si los sistemas de información contribuyen al logro de los objetivos estratégicos del MAG. La auditoría abarcó, además, el análisis de las acciones realizadas por la Administración en lo que respecta a los sistemas de información que apoyan la función sustantiva de la Dirección Nacional de Extensión Agropecuaria (DNEA). El periodo de estudio comprendió del 1 de enero de 2011 al 31 de diciembre de 2013, y se amplió en los casos que se consideró necesario. ¿Por qué es importante? El tema es de relevancia porque mediante la gestión de los sistemas de información, instituciones como el MAG, pueden ofrecer un mejor servicio al ciudadano y por ende cumplir de una forma más efectiva con las disposiciones de su Ley de creación y el principio constitucional de rendición de cuentas. Asimismo, la protección de la información de las entidades públicas debe orientarse a salvaguardar la confidencialidad, disponibilidad e integridad de los datos que administran. ¿Qué encontramos? La gestión de las tecnologías de información en el MAG se ha visto limitada por no contar con la autoridad y competencia suficientes para gestionar las acciones en la materia; ya que la Función de TI no está formalmente definida, esto a pesar de que desde hace varios años se determinó la necesidad de definirla, para lo cual se elaboró una propuesta de reorganización institucional, que sin embargo no ha logrado concretarse. Por otra parte, a pesar de haberse creado mediante Decreto, una Comisión Gerencial de Informática desde el año 2001, con el fin de contar con una instancia asesora de alto nivel en relación con las TI, desde su fecha de creación y hasta el cierre de diciembre de 2014, únicamente se habían llevado a cabo nueve sesiones de trabajo, siendo que, la última sesión se realizó en el año 2008, lo que evidencia que dicha Comisión no se encuentra activa. En relación con la planificación institucional y el alineamiento de los objetivos estratégicos del Ministerio con las tecnologías de información, al no contarse con un Plan Estratégico Institucional formalmente aprobado, no se tiene certeza, que los objetivos definidos en el Plan Estratégico de Tecnologías de Información y Comunicación (PETIC), representen la dirección y el rumbo que quieren impulsar los niveles superiores del MAG. A pesar de los esfuerzos realizados por el área de cómputo al elaborar una metodología de administración de proyectos de TI y el nombramiento de un encargado para el seguimiento de los Contraloría General de la República T: (506) 2501-8000, F: (506) 2501-8100 C: contraloria.general@cgr.go.cr http://www.cgr.go.cr/ Apdo. 1179-1000, San José, Costa Rica División de Fiscalización Operativa y Evaluativa Área de Fiscalización de Servicios Económicos proyectos definidos en el PETIC, estos no han sido suficientes para controlar y dar seguimiento al desarrollo de los proyectos, debido a la carencia de un sistema de seguimiento y monitoreo del estado de avance de los proyectos. Asimismo, en relación con la seguridad de la información se determinó que el Ministerio no se dispone de un sistema formal de gestión de la seguridad de la información, que permita garantizar de manera razonable la confidencialidad, integridad y disponibilidad de la información institucional, exponiendo al MAG a vulnerabilidades por uso indebido de información, alteración no autorizada o pérdida de esta, sabotajes, fraudes y alto riesgo de suspensión de servicios informáticos por fallas en los equipos principales. Aunado a esto, no cuenta con la capacidad para administrar adecuadamente los riesgos y reducir el impacto de los servicios por fallas en su plataforma tecnológica, dado que no cuenta con un Plan de Continuidad de Tecnologías de Información. Tampoco existen sistemas de información que apoyen la función sustantiva del MAG, específicamente la relacionada con la DNEA a través de las Direcciones Regionales y las Agencias de Servicios Agropecuarios (ASA), debido a que en cada una de esas dependencias se han establecido formas distintas para llevar el registro de las actividades relacionadas con los servicios prestados a los productores, situación que impide almacenar, procesar e integrar los datos uniformemente para la adecuada y oportuna toma de decisiones institucionales. ¿Qué sigue? Con el propósito de concretar las oportunidades de mejora determinadas, se giraron disposiciones al Ministro de Agricultura y Ganadería, para que se establezca formalmente una unidad administrativa encargada de la Función de TI dentro de la estructura orgánica del MAG, se reactive la Comisión Gerencial de Informática, se defina y ponga en ejecución un procedimiento o mecanismo de control que permita asegurar en todo momento que el Plan Estratégico de Tecnologías de Información y Comunicación se encuentre debidamente alineado con el Plan Estratégico Institucional, se diseñe, desarrolle e implemente un sistema de información que apoye la labor sustantiva de la DNEA, un Plan de Continuidad de TI y un sistema formal de gestión de la seguridad de la información. Por su parte, se dispone al Oficial Mayor y Director Administrativo Financiero, para que se defina y ponga en ejecución un sistema de seguimiento y monitoreo del estado de avance de los proyectos del PETIC. Contraloría General de la República T: (506) 2501-8000, F: (506) 2501-8100 C: contraloria.general@cgr.go.cr http://www.cgr.go.cr/ Apdo. 1179-1000, San José, Costa Rica División de Fiscalización Operativa y Evaluativa Área de Fiscalización de Servicios Económicos INFORME NRO. DFOE-EC-IF-15-2015 DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA ÁREA DE FISCALIZACIÓN DE SERVICIOS ECONÓMICOS INFORME DE LA AUDITORÍA DE CARÁCTER ESPECIAL SOBRE LA GESTIÓN DE LOS SISTEMAS DE INFORMACIÓN EN EL MINISTERIO DE AGRICULTURA Y GANADERÍA (MAG) 1. INTRODUCCIÓN ORIGEN DE LA AUDITORÍA 1.1. En el Ministerio de Agricultura y Ganadería (MAG), es de relevancia analizar la forma en que la gestión de los sistemas de información contribuye al logro de los objetivos estratégicos, especialmente en lo que se refiere a la Dirección Nacional de Extensión Agropecuaria (DNEA), por cuanto dentro de sus funciones le corresponde la asistencia técnica, capacitación y atención de los productores agropecuarios a nivel nacional. Asimismo, la DNEA es la instancia que brinda el aval técnico a los proyectos de inversión agropecuaria propuestos por las organizaciones de productores agropecuarios y que se canalizan mediante las Agencias de Servicios Agropecuarios (ASA) y las Direcciones Regionales del MAG. 1.2. El estudio se realizó con fundamento en las competencias que le confieren a esta Contraloría General de la República los artículos 183 y 184 de la Constitución Política, 17, 21 y 37 de su Ley Orgánica N° 7428, y en cumplimiento del programa anual de trabajo de la División de Fiscalización Operativa y Evaluativa (DFOE). OBJETIVO DE LA AUDITORÍA 1.3. Determinar si los sistemas de información contribuyen al logro de los objetivos estratégicos del Ministerio de Agricultura y Ganadería (MAG). ALCANCE DE LA AUDITORÍA 1.4. La auditoría abarcó el análisis de las acciones realizadas por la Administración en lo que respecta a la gestión de sistemas de información que se utilizan para brindar los Contraloría General de la República T: (506) 2501-8000, F: (506) 2501-8100 C: contraloria.general@cgr.go.cr http://www.cgr.go.cr/ Apdo. 1179-1000, San José, Costa Rica División de Fiscalización Operativa y Evaluativa Área de Fiscalización de Servicios Económicos 2 servicios, en particular los correspondientes a la DNEA del MAG; durante el período comprendido entre el 1 de enero de 2011 y el 31 de diciembre de 2013, y se amplió en los casos en que se consideró necesario. ASPECTOS POSITIVOS QUE FAVORECIERON LA EJECUCIÓN DE LA AUDITORÍA 1.5. Como parte de los aspectos positivos que favorecieron la ejecución de la Auditoría es importante mencionar que se tuvo una amplia colaboración por parte de la Administración del MAG y sus dependencias, situación que coadyuvó con el cumplimiento de los objetivos de la auditoría. GENERALIDADES ACERCA DE LA AUDITORÍA 1.6. El accionar del Ministerio de Agricultura y Ganadería en el contexto del Sector Agropecuario se encuentra regulado por la Ley de Fomento a la Producción Agropecuaria (FODEA) N° 7064 del 29 de abril de 1987 y los reglamentos emitidos mediante el Decreto Ejecutivo N° 19420 del 13 de noviembre de 1989, en lo que respecta a la regulación del fomento agropecuario y el Decreto Ejecutivo N° 26431 del 2 de octubre de 1997 que reglamenta específicamente la parte de la Ley Orgánica del MAG y del proceso de planificación ministerial; así como, aquella normativa general contenida en la Ley de Planificación Nacional N° 5525. 1.7. El artículo 49 de la Ley N° 7064, dispone que una de las áreas sustantivas de la competencia del MAG es la extensión agropecuaria. Asimismo, el artículo 50 de la citada Ley dispuso que para el cumplimiento de sus fines contará con los órganos necesarios para la dirección, planificación, control y evaluación, así como aquellos organismos asesores que señalen la ley y sus reglamentos. 1.8. En adición a lo mencionado, el Decreto Ejecutivo N° 26431-MAG del 5 de noviembre de 1997, otorgó funciones específicas a cada unidad de dicho Ministerio; siendo que en el artículo 2 se dispusiera que el MAG debe: “4. Planificar, elaborar e implementar los programas agropecuarios a nivel regional y nacional, para mejorar la prestación de los servicios al productor…”, función que le fue conferida a la Dirección de Extensión Agropecuaria mediante los artículos 28 y 29 del citado Decreto. 1.9. Posteriormente dicha Dirección de Extensión Agropecuaria fue transformada en la Dirección Superior de Operaciones Regionales y Extensión Agropecuaria (DSOREA) hasta el mes de abril de 2014. Contraloría General de la República T: (506) 2501-8000, F: (506) 2501-8100 C: contraloria.general@cgr.go.cr http://www.cgr.go.cr/ Apdo. 1179-1000, San José, Costa Rica División de Fiscalización Operativa y Evaluativa Área de Fiscalización de Servicios Económicos 3 1.10. En la actualidad las funciones de Extensión Agropecuaria las realiza la DNEA, por medio de las Unidades de Extensión Agropecuaria, Direcciones Regionales, Secretaría Técnica de Exoneraciones y Programas Nacionales. 1.11. En el siguiente diagrama se muestra la estructura orgánica del MAG, aprobada por el Ministerio de Planificación y Política Económica (MIDEPLAN): Diagrama de Estructura N° 1 Fuente: Administración del MAG (oficio GTI-93-2014). METODOLOGÍA APLICADA 1.12. La auditoría se realizó de conformidad con lo establecido en el Manual General de Fiscalización Integral (MAGEFI), las Normas Generales de Auditoría para el Sector Público, el Procedimiento de Auditoría y las Normas Técnicas para la Gestión y el Control de las Tecnologías de Información, emitidas por la Contraloría General de la República, así como otras fuentes de normativa y prácticas generalmente aceptadas que resultan aplicables. Contraloría General de la República T: (506) 2501-8000, F: (506) 2501-8100 C: contraloria.general@cgr.go.cr http://www.cgr.go.cr/ Apdo. 1179-1000, San José, Costa Rica División de Fiscalización Operativa y Evaluativa Área de Fiscalización de Servicios Económicos 4 1.13. Para efectos del presente estudio, se requirió la realización de entrevistas, confirmaciones, comprobaciones, inspecciones físicas, análisis documentales, pruebas analíticas y la correspondiente comunicación de los resultados. COMUNICACIÓN PRELIMINAR DE LOS RESULTADOS DE LA AUDITORÍA 1.14. Los resultados de la auditoría se expusieron verbalmente el día 24 de marzo de 2015 en la sala Tecnológica en el MAG, en la cual se encontraban presentes los siguientes funcionarios del MAG: Lic. Edward Araya Rodríguez, Oficial Mayor y Director Administrativo Financiero, Lic. Rafael Espinosa Jiménez, Jefe del Área de Cómputo, Licda. María Elena Orozco Vílchez, Jefe de Unidad de Planificación Estratégica, Lic. Mario Molina Bonilla, Auditor Interno. 1.15. El borrador del presente informe se entregó el 24 de marzo de 2015 en el Despacho del Ministro, con el oficio DFOE-EC-0252 (04377), con el propósito de que en un plazo de cinco días hábiles formularan y remitieran a la Gerencia del Área de Fiscalización de Servicios Económicos, las observaciones que estimaran pertinentes sobre el contenido de dicho documento. 1.16. Mediante oficio N° DM-MAG-0245-2015 de fecha 30 de marzo de 2015, la institución remitió las observaciones sobre el contenido del borrador informe. Lo resuelto sobre los planteamientos efectuados en dicho oficio se considera en el Anexo N° 1 de este documento. 2. RESULTADOS TEMA 1: PLANIFICACIÓN ESTRATÉGICA DE LAS TECNOLOGÍAS DE INFORMACIÓN (TI) EN EL MAG HALLAZGO 1.1: FUNCIÓN DE TI EN EL MAG 2.1. Las Normas de Control Interno del Sector Público1, en la Norma 2.5, dispone que: El jerarca y los titulares subordinados, según sus competencias y de conformidad con el ordenamiento jurídico y las regulaciones emitidas por los órganos competentes, deben procurar una estructura que defina la organización formal, sus relaciones jerárquicas, líneas de dependencia y coordinación, así como la relación con otros elementos que conforman la institución, y que apoye el logro de los objetivos. Dicha 1 Normas de Control Interno para el Sector Público (N-2-2009-CO-DFOE), publicadas en La Gaceta N° 26 del 6 de febrero de 2009. Contraloría General de la República T: (506) 2501-8000, F: (506) 2501-8100 C: contraloria.general@cgr.go.cr http://www.cgr.go.cr/ Apdo. 1179-1000, San José, Costa Rica División de Fiscalización Operativa y Evaluativa Área de Fiscalización de Servicios Económicos 5 estructura debe ajustarse según lo requieran la dinámica institucional y del entorno y los riesgos relevantes. 2.2. Las Normas Técnicas para la Gestión y el Control de las Tecnologías de Información (TI), en su norma 2.4 indica: El jerarca debe asegurar la independencia de la Función de TI respecto de las áreas usuarias y que ésta mantenga la coordinación y comunicación con las demás dependencias tanto internas como externas. / Además, debe brindar el apoyo necesario para que dicha Función de TI cuente con una fuerza de trabajo motivada, suficiente, competente y a la que se le haya definido, de manera clara y formal, su responsabilidad, autoridad y funciones. 2.3. Asimismo, en la Norma 1.6 de dichas Normas Técnicas se establece en relación con las decisiones sobre asuntos estratégicos de TI que: El jerarca debe apoyar sus decisiones sobre asuntos estratégicos de TI en la asesoría de una representación razonable de la organización que coadyuve a mantener la concordancia con la estrategia institucional, a establecer las prioridades de los proyectos de TI, a lograr un equilibrio en la asignación de recursos y a la adecuada atención de los requerimientos de todas las unidades de la organización. 2.4. En la auditoría realizada se determinó que en el MAG no está formalmente definida la Función de TI, tal y como lo establece la norma 2.4 supra citada. Al respecto, el Decreto 26431-MAG2 le asignó al Sistema Unificado de Información institucional (SUNII), funciones en materia de tecnología de información, sin embargo por disposición administrativa3 se separaron dichas funciones del SUNII, para conformar un área de cómputo adscrita a la Dirección Administrativa Financiera, mientras se realizaban los trámites legales respectivos para su creación y formalización. A la fecha del estudio dichos trámites no se han llevado a cabo4. 2.5. Sobre el particular debe señalarse que pese a que en el año 2008 se conformó un equipo de trabajo para el proyecto de implementación de las Normas Técnicas de TI, el cual determinó la necesidad de definir la Función de TI tal y como lo establecen dichas normas, la Administración, no ha realizado las acciones pertinentes para su formalización. 2 Del 2 de octubre de 1997, publicado en la Gaceta N° 213 del 5 de noviembre de 1997. 3 Oficio N° DAF-221-2001 del 27 de agosto de 2001. 4 En el año 2011, en el MAG se elaboró una propuesta de reorganización parcial para crear la Dirección de Tecnologías de Información, sin embargo, a la fecha no se ha concretado el proceso para ejecutarla (Oficio GTI-27-2011 del 15 de abril de 2011). Contraloría General de la República T: (506) 2501-8000, F: (506) 2501-8100 C: contraloria.general@cgr.go.cr http://www.cgr.go.cr/ Apdo. 1179-1000, San José, Costa Rica División de Fiscalización Operativa y Evaluativa Área de Fiscalización de Servicios Económicos 6 2.6. Adicionalmente, mediante Decreto Ejecutivo N° 29500-MAG5, se creó la Comisión Gerencial de Informática, al considerar "Que es necesario que exista una instancia asesora de alto nivel en materia informática dentro de la institución". Desde su creación en el año 2001, la Comisión ha llevado a cabo solamente nueve sesiones de trabajo, según se documenta en las actas, pese a que, en la última sesión realizada el 8 de febrero de 2008, se determinó que: “Para dar formalidad a esta Comisión… Todo lo que tenga que ver en materia de Tecnología de Información debe ser aprobada por esta Comisión”. 2.7. En línea con lo anterior, y con base en una recomendación del Instituto Tecnológico de Costa Rica (ITCR), se intentó6 propiciar un relanzamiento de la Comisión Gerencial, para que fungiera a nivel institucional como responsable de brindar la guía en materia de desarrollo tecnológico; en la definición de prioridades referentes a tecnología de información; en el manejo de prioridades de las inversiones y en general, en la toma de decisiones estratégicas de TI; sin embargo, dicho intento no se ha logrado concretar a la fecha. 2.8. Al no estar formalmente establecida y definida la Función de TI dentro de la estructura organizativa del MAG, y dado que la Comisión Gerencial de Informática ha estado inactiva desde el año 2008, la Administración no ha podido contar formalmente con la autoridad y competencia para realizar las acciones propias en materia de TI y, se ha visto limitada en la gestión y toma de decisiones relacionadas con el desarrollo del Plan Estratégico de Tecnologías de Información y Comunicación (PETIC), el establecimiento de prioridades para el desarrollo de sistemas, la determinación de las necesidades de adquisición de software y hardware, la formulación de políticas, el control y seguimiento de los proyectos del PETIC, así como en la integración y actualización de los sistemas de información. HALLAZGO 1.2: ALINEAMIENTO Y PLANIFICACIÓN ESTRATÉGICA DE LAS TI EN EL MAG 2.9. En relación con la planificación estratégica de las TI la Norma 2.1 de las citadas Normas Técnicas indica que: “La organización debe lograr que las TI apoyen su misión, visión y objetivos estratégicos mediante procesos de planificación que logren el balance óptimo entre sus requerimientos, su capacidad presupuestaria y las oportunidades que brindan las tecnologías existentes y emergentes”. 5 Publicado en La Gaceta del 18 de mayo de 2001, y modificado por el Decreto N°32654-MAG publicado en La Gaceta del 3 de octubre de 2005. 6 Oficio de la Viceministra de ese entonces, N° DVM-XC-147-2013 del 8 de mayo de 2013. Contraloría General de la República T: (506) 2501-8000, F: (506) 2501-8100 C: contraloria.general@cgr.go.cr http://www.cgr.go.cr/ Apdo. 1179-1000, San José, Costa Rica División de Fiscalización Operativa y Evaluativa Área de Fiscalización de Servicios Económicos 7 2.10. Asimismo, la Norma 1.5 de las Normas Técnicas sobre gestión de proyectos, establece que "La organización debe administrar sus proyectos de TI de manera que logre sus objetivos, satisfaga los requerimientos y cumpla con los términos de calidad, tiempo y presupuesto óptimos preestablecidos". 2.11. Al respecto, en la auditoría realizada se evidenció que el MAG en noviembre de 2014, aprobó el Plan Estratégico de Tecnologías de Información y Comunicación 2014-2018, el cual fue elaborado en respuesta a la necesidad de incluir dentro de la planificación institucional la tecnología de información, como un elemento de carácter estratégico para el cumplimiento de los objetivos del Ministerio. 2.12. La importancia de contar con un Plan Estratégico de Tecnologías de Información debidamente aprobado y formalizado, radica en que los objetivos estratégicos en materia de TI se encuentren alineados con los objetivos del Plan Estratégico Institucional (PEI), para garantizar una mayor eficacia y eficiencia en el cumplimiento de los objetivos institucionales. A la fecha de cierre de esta auditoría, en el MAG no existe formalmente aprobado un PEI. 2.13. No obstante lo indicado, es importante señalar que en el MAG a finales del año 2013 se elaboró una propuesta de PEI para el período 2014-2017. Además, según manifestaron personeros del área de cómputo y de la Unidad de Planificación Estratégica, en el marco conceptual de ambos planes se contempló una alineación y vinculación, por medio de los objetivos, lineamientos e indicadores, con base en las mejores prácticas de COBIT7 y utilizando la metodología de cascada de metas8. 2.14. Sin embargo, también es importante señalar que la propuesta de plan estratégico institucional fue elaborada en la Administración 2010-2014 y no ha sido aprobada, ya que se encuentra en una fase de revisión y ajuste por las actuales autoridades del MAG, con el fin de alinear los objetivos estratégicos de la propuesta de PEI con la política y lineamientos que se definan para el Sector Agropecuario y de Desarrollo Rural y el Plan Nacional de Desarrollo 2015-2018. 2.15. Por tanto, al no contar el MAG con un Plan Estratégico Institucional debidamente aprobado, el aporte que las Tecnologías de Información brindan al cumplimiento de los objetivos estratégicos institucionales se ve limitado, así como el alineamiento que se pretende mediante el proceso de planificación, debido a que no se tiene la 7 8 El COBIT es el marco de trabajo propuesto como mejores prácticas para el gobierno y la gestión de las tecnologías de información, por la Asociación de Auditoría y Control de Sistemas de Información (ISACA por sus siglas en inglés). En COBIT 4.1 la cascada de metas es una visión global de cómo se relacionan las metas genéricas del negocio con las metas de TI, con los procesos de TI y con los criterios de información. Contraloría General de la República T: (506) 2501-8000, F: (506) 2501-8100 C: contraloria.general@cgr.go.cr http://www.cgr.go.cr/ Apdo. 1179-1000, San José, Costa Rica División de Fiscalización Operativa y Evaluativa Área de Fiscalización de Servicios Económicos 8 certeza de que la propuesta de PEI contenga plasmada la dirección y el rumbo que en esta materia quieran impulsar las autoridades de la Administración actual. 2.16. En línea con lo anterior, también es menester señalar que, si bien el PETIC contiene un portafolio de proyectos dividido en tres carteras, a saber: 1) Fortalecimiento de la función de Tecnologías de Información y Comunicación, 2) Apoyo a la Actividad Sustantiva y 3) Cumplimiento Normativo, incluyendo el detalle de cada proyecto, trabajo a realizar, prioridad, duración, productos esperados, indicadores de logro y año o semestre del proyecto. Los esfuerzos realizados por el área de cómputo9 no han sido suficientes para controlar y dar seguimiento al cumplimiento de los objetivos establecidos en dicho Plan. 2.17. Lo anterior obedece principalmente, a que, a la fecha no se han establecido los elementos necesarios ni se han incorporado los actores requeridos para garantizar la efectividad en la implementación del PETIC, pues no se ha establecido e implementado un sistema de seguimiento y monitoreo del estado de avance de los proyectos, ni ha sido posible contar con la participación de la Comisión Gerencial de Informática por encontrarse inactiva como se mencionó supra. 2.18. Las debilidades señaladas en el seguimiento y monitoreo de los proyectos del PETIC, ponen en riesgo el cumplimiento de los objetivos establecidos en dicho Plan y limita el seguimiento oportuno de su desarrollo, la comunicación a la Administración Superior del estado de los proyectos y la contribución de éstos al logro de los objetivos estratégicos institucionales. TEMA 2: SEGURIDAD DE LA INFORMACIÓN EN EL MAG HALLAZGO 2.1: CARENCIA DE UN SISTEMA DE GESTIÓN DE LA SEGURIDAD INFORMACIÓN Y DE UN PLAN DE CONTINUIDAD DE TI EN EL MAG DE LA 2.19. La Norma 1.4 de las Normas Técnicas de TI señala que: La organización debe garantizar, de manera razonable, la confidencialidad, integridad y disponibilidad de la información, lo que implica protegerla contra uso, divulgación o modificación no autorizados, daño o pérdida u otros factores 9 En el área de cómputo se elaboró una Metodología para la Administración de Proyectos de TI para uso interno en la cual se establece que: “El administrador del proyecto debe confeccionar informes de seguimiento mensuales, en los cuales se documente el estado actual del proyecto en términos de tiempo, costo, alcance (detalle esperado a la fecha) y calidad (criterios de aceptación). Se deben identificar los problemas y realizar la gestión de riesgos del proyecto”, sin embargo solo se ha generado un único informe en octubre de 2014, en el cual en el apartado de "Seguimiento a los Riesgos", únicamente se indica "Debido a la no entrega de avances no se han establecido nuevos riesgos". Contraloría General de la República T: (506) 2501-8000, F: (506) 2501-8100 C: contraloria.general@cgr.go.cr http://www.cgr.go.cr/ Apdo. 1179-1000, San José, Costa Rica División de Fiscalización Operativa y Evaluativa Área de Fiscalización de Servicios Económicos 9 disfuncionales. / Para ello debe documentar e implementar una política de seguridad de la información y los procedimientos correspondientes, asignar los recursos necesarios para lograr los niveles de seguridad requeridos. 2.20. Adicionalmente, la Norma 1.4.1 en relación con la implementación de un marco de seguridad de la información, indica que la institución debe implementar este marco, para lo cual debe: a) Establecer un marco metodológico que incluya la clasificación de los recursos de TI, según su criticidad, la identificación y evaluación de riesgos, la elaboración e implementación de un plan para el establecimiento de medidas de seguridad, la evaluación periódica del impacto de esas medidas y la ejecución de procesos de concienciación y capacitación del personal. / b) Mantener una vigilancia constante sobre todo el marco de seguridad y definir y ejecutar periódicamente acciones para su actualización. / c) Documentar y mantener actualizadas las responsabilidades tanto del personal de la organización como de terceros relacionados. 2.21. Estos criterios se refuerzan en las mejores prácticas consignadas en la norma ISO 27001, en su numeral 5, en cuanto a que: “la gerencia debe proporcionar evidencia de su compromiso con el establecimiento, implementación, operación, monitoreo, revisión, mantenimiento y mejoramiento del Sistema de Gestión de la Seguridad de la Información (SGSI) al establecer una política de seguridad, asegurar que se establezcan objetivos y planes del SGSI, establecer roles y responsabilidades para la seguridad de la información”. 2.22. Además y en forma complementaria a lo indicado supra, en la Norma 1.4.7 Continuidad de los servicios de TI, se establece que: “La organización debe mantener una continuidad razonable de sus procesos y su interrupción no debe afectar significativamente a sus usuarios. / Como parte de ese esfuerzo debe documentar y poner en práctica, en forma efectiva y oportuna, las acciones preventivas y correctivas necesarias con base en los planes de mediano y largo plazo de la organización, la evaluación e impacto de los riesgos y la clasificación de sus recursos de TI según su criticidad”. 2.23. En la auditoría realizada se evidenció que en el Ministerio de Agricultura y Ganadería, no se cuenta con un sistema formal de gestión de la seguridad de la información que incluya políticas, procesos, procedimientos, estructuras organizacionales y funciones para establecer, monitorear, revisar y mejorar los controles que permitan asegurar el cumplimiento de los objetivos de seguridad, con el fin de garantizar de manera razonable la confidencialidad, integridad y disponibilidad de la información institucional; así como fortalecer y apoyar el cumplimiento de los objetivos institucionales. Contraloría General de la República T: (506) 2501-8000, F: (506) 2501-8100 C: contraloria.general@cgr.go.cr http://www.cgr.go.cr/ Apdo. 1179-1000, San José, Costa Rica División de Fiscalización Operativa y Evaluativa Área de Fiscalización de Servicios Económicos 10 2.24. Esta situación se presenta debido a que el MAG no ha impulsado las acciones necesarias para la implementación del sistema de gestión de la seguridad de la información, ello a pesar de haberse elaborado en el año 2009 un documento contentivo de Políticas y Normas Generales de Tecnologías de Información, en el que se incluyen aspectos generales relativos a seguridad y, se establece que para su actualización se debe revisar formalmente una vez cada año. A la fecha de esta auditoría no se había realizado ninguna revisión, actualización o modificación. 2.25. Lo anterior, expone a la institución a vulnerabilidades por uso indebido de información, alteración o pérdida de esta; sabotajes; fraudes; alto riesgo de suspensión de servicios informáticos por fallas en los equipos principales y debilidades en las instalaciones del centro de cómputo, tales como10: 10 El área donde se encuentran los equipos servidores del MAG no reúne las condiciones mínimas de seguridad requeridas para un centro de cómputo, debido a que por limitaciones de espacio el área destinada a servidores es compartida con el área de soporte. Dicha área no cuenta con las cerraduras apropiadas y no se tiene control de acceso por medio de bitácoras, los aires acondicionados no son apropiados y se encuentran sobre las áreas de trabajo y los equipos (UPS) y el cableado de los equipos dispuestos en el rack se encuentran desordenados y algunos conectores sin rotular. No existen accesos adecuados a los paneles (Racks), donde se encuentran instalados los servidores para realizar un adecuado mantenimiento de estos. Los accesos al centro de cómputo son estrechos y existen escritorios y equipos en el suelo, dificultando cualquier vía de acceso de emergencia y de evacuación. Además, no existen detectores de humo, alarmas contra incendio, así como tampoco dispositivos o mecanismo de extinción de incendio. Inspección física realizada a las instalaciones del área de cómputo y los principales equipos de TI del MAG, el 11 de diciembre de 2014. Contraloría General de la República T: (506) 2501-8000, F: (506) 2501-8100 C: contraloria.general@cgr.go.cr http://www.cgr.go.cr/ Apdo. 1179-1000, San José, Costa Rica División de Fiscalización Operativa y Evaluativa Área de Fiscalización de Servicios Económicos 11 Por su parte los respaldos de las bases de datos son almacenados en el mismo equipo donde reside la base de datos y una vez a la semana se migran a un equipo externo, el cual se encuentra en el mismo recinto, expuesto a los mismos riesgos que el servidor principal. En relación con la red inalámbrica se indicó en la inspección que esta se encuentra protegida de manera lógica únicamente mediante una clave, aunado a esto, durante la visita se constató que los racks aéreos donde se encuentran los equipos de comunicación estaban sin llave, lo que facilita el acceso a terceros e incrementa el riesgo de intrusiones no autorizadas o robos de equipos. Contraloría General de la República T: (506) 2501-8000, F: (506) 2501-8100 C: contraloria.general@cgr.go.cr http://www.cgr.go.cr/ Apdo. 1179-1000, San José, Costa Rica División de Fiscalización Operativa y Evaluativa Área de Fiscalización de Servicios Económicos 12 2.26. Adicionalmente a lo comentado en párrafos anteriores, se determinó que el MAG no cuenta con capacidad para administrar los riesgos y reducir el impacto de los servicios por interrupciones de su plataforma tecnológica, debido a que no cuenta con un Plan de Continuidad de Tecnologías de Información que obedezca a un Análisis de Impacto del Negocio, en el que se determine cómo puede afectar la suspensión de los servicios de tecnologías de información las funciones administrativas, sustantivas y de servicios del Ministerio. 2.27. Esta carencia se presenta debido a la falta de planificación estratégica de las tecnologías de información, dado que el MAG nunca había contado con un PETIC, tal como se comentó en párrafos anteriores, sino hasta el año 2014 en el que se incluyó como parte del portafolio de proyectos la “Mejora a la gestión de la continuidad de servicios de TIC”. 2.28. La ausencia de este Plan de Continuidad provoca que en caso de presentarse eventos que puedan afectar los servicios que presta el Ministerio, se exponga a riesgos como la interrupción del apoyo que brindan los sistemas de información, el no poder recuperarse ante una falla, provocando pérdida de información y atraso en los servicios brindados y podría incidir en la restauración oportuna y exitosa de estos. Contraloría General de la República T: (506) 2501-8000, F: (506) 2501-8100 C: contraloria.general@cgr.go.cr http://www.cgr.go.cr/ Apdo. 1179-1000, San José, Costa Rica División de Fiscalización Operativa y Evaluativa Área de Fiscalización de Servicios Económicos 13 HALLAZGO 2.2: AUSENCIA DE SISTEMAS DE INFORMACIÓN 2.29. La Norma 1.411 Gestión de la seguridad de la información, señala que: “La organización debe garantizar, de manera razonable, la confidencialidad, integridad y disponibilidad de la información, lo que implica protegerla contra uso, divulgación o modificación no autorizados, daño o pérdida y otros factores disfuncionales”. 2.30. Por su parte, las Normas de Control Interno para el Sector Público12, en su Norma 5.3 indica que: La organización y el funcionamiento de los sistemas de información deben estar integrados a nivel organizacional y ser coherentes con los objetivos institucionales y, en consecuencia, con los objetivos del SCI. / La adecuación de tales sistemas a los objetivos institucionales involucra, entre otros, su desarrollo de conformidad con el plan estratégico institucional, y con el marco estratégico de las tecnologías de información, cuando se haga uso de estas para su funcionamiento. 2.31. Respecto de la función sustantiva del MAG a cargo de la Dirección Nacional de Extensión Agropecuaria (DNEA) se tiene como objetivo el “Incrementar la productividad y competitividad de la producción por cadena productiva para su inserción exitosa en los mercados globalizados, contribuyendo al desarrollo del medio rural, al aumento del empleo y al bienestar general de la población”. Para el cumplimiento de este objetivo cuenta con nueve Direcciones Regionales, las cuales a su vez se dividen en Agencias de Servicios Agropecuarios (ASA). 2.32. Con el objetivo de verificar la forma en que los sistemas de información apoyan esa labor sustantiva, se visitaron cuatro de las nueve Direcciones Regionales, a saber: Central Sur, Pacifico Central, Central Oriental y Central Occidental, así como 12 de las ASA13 adscritas a esas Direcciones. Al respecto, se determinó que no se cuenta con un sistema de información institucional que apoye la actividad sustantiva relacionada con la asistencia técnica, capacitación y atención de los productores agropecuarios a nivel nacional. 2.33. Tal situación, ha propiciado que en cada una de las Direcciones Regionales se establecieran formas distintas para llevar el registro de las actividades relacionadas con los servicios prestados a los productores. Entre otros, se recurre a archivos 11 Normas Técnicas para la Gestión y el Control de las Tecnologías de Información de la CGR, N-2-2007-CODFOE, publicada en La Gaceta Nro. 119 del 21 de junio, 2007. 12 Normas de control interno para el Sector Público N-2-2009-CO-DFOE, publicada en La Gaceta N° 26 del 6 de febrero de 2009. 13 Puriscal, Santa Anta, Esparza, San Mateo, Orotina, Llano Grande, Paraíso, Tierra Blanca, Alajuela, Sarchí, Naranjo y Atenas. Contraloría General de la República T: (506) 2501-8000, F: (506) 2501-8100 C: contraloria.general@cgr.go.cr http://www.cgr.go.cr/ Apdo. 1179-1000, San José, Costa Rica División de Fiscalización Operativa y Evaluativa Área de Fiscalización de Servicios Económicos 14 físicos con los expedientes, listados en Word y Excel e incluso existe un sistema desarrollado informalmente, en una de las Direcciones Regionales. 2.34. La ausencia de un sistema de información integrado se presenta debido a la falta de planificación estratégica de las tecnologías de información, ya que, es hasta en el mes de noviembre de 2014 que se aprueba el PETIC, el cual incluye como parte del portafolio de proyectos el siguiente: “Desarrollo e Implementación del Sistema de Información de Extensión Agropecuaria del Ministerio de Agricultura y Ganadería”, con el fin de desarrollar e implementar un sistema de información que permita articular todos los servicios y productos comunes y especializados que apoyen la función sustantiva del MAG. 2.35. La situación expuesta ha impedido a las Direcciones Regionales y a las ASA contar con un sistema de información institucional que permita almacenar, procesar e integrar la información relacionada con la identificación de productores agropecuarios, organizaciones, inventario y control de proyectos, asistencias técnicas, capacitaciones y servicios brindados a los productores, así como el seguimiento de las propuestas técnicas realizadas a estos. Esta carencia afecta la adecuada toma de decisiones institucional al no contar con información oportuna, así como imposibilita el seguimiento y evaluación de la labor realizada y los resultados obtenidos con los servicios brindados por el MAG. 2.36. Aunado a esto se presenta el riesgo de que la confidencialidad, integridad y disponibilidad de la información se vean comprometidas, debido a que cada Dirección Regional utiliza distintas maneras para almacenar y procesar la información, entre las cuales se pueden citar el uso de procedimientos manuales que implican controles más complejos y menos efectivos, sin que haya una estandarización de procesos para tales fines. 3. CONCLUSIONES 3.1. En el Ministerio de Agricultura y Ganadería se presentan oportunidades de mejora importantes en materia de tecnologías de información, relacionadas con la Función de TI, la asesoría al jerarca por medio de una representación razonable de la organización para la toma de decisiones, un mayor apoyo a la consecución de la misión, visión y objetivos estratégicos del Ministerio por medio de un alineamiento adecuado en la planificación y el seguimiento y control de los proyectos del PETIC. 3.2. En materia de seguridad de la información el MAG no cuenta con capacidad para administrar adecuadamente los riesgos y reducir el impacto de los servicios por fallas en su plataforma tecnológica, dado que no dispone de un Plan de Continuidad de Contraloría General de la República T: (506) 2501-8000, F: (506) 2501-8100 C: contraloria.general@cgr.go.cr http://www.cgr.go.cr/ Apdo. 1179-1000, San José, Costa Rica División de Fiscalización Operativa y Evaluativa Área de Fiscalización de Servicios Económicos 15 Tecnologías de Información. Tampoco cuenta con un sistema formal de gestión de la seguridad de la información, que permita garantizar de manera razonable la confidencialidad, integridad y disponibilidad de la información institucional, exponiendo a la institución a vulnerabilidades por uso indebido de información y debilidades en las instalaciones del centro de datos. 3.3. Asimismo, en relación con la gestión realizada por el Ministerio para asegurar que los sistemas de información contribuyan al logro de los objetivos institucionales, el MAG no cuentan con un sistema de información institucional que apoye la función sustantiva, por lo cual cada una de las Direcciones Regionales y las ASA han establecido formas distintas para llevar el registro de las actividades relacionadas con los servicios prestados a los productores, situación que impide almacenar, procesar e integrar la información para la adecuada y oportuna toma de decisiones institucionales. 4. DISPOSICIONES 4.1. De conformidad con las competencias asignadas en los artículos 183 y 184 de la Constitución Política, los artículos 12 y 21 de la Ley Orgánica de la Contraloría General de la República, N° 7428, y el artículo 12 inciso c) de la Ley General de Control Interno, se emiten las siguientes disposiciones, las cuales son de acatamiento obligatorio y deberán ser cumplidas dentro del plazo (o en el término) conferido para ello, por lo que su incumplimiento no justificado constituye causal de responsabilidad. 4.2. Este Órgano Contralor se reserva la posibilidad de verificar, por los medios que considere pertinentes, la efectiva implementación de las disposiciones emitidas, así como de valorar el establecimiento de las responsabilidades que correspondan, en caso de incumplimiento injustificado de tales disposiciones. AL DR. LUIS FELIPE ARAUZ CAVALLINI, MINISTRO DE AGRICULTURA Y GANADERÍA O QUIEN OCUPE SU CARGO 4.3. Establecer formalmente, la función de TI, en un plazo no mayor de 120 días hábiles contados a partir de la fecha de recepción de este informe, dentro de la estructura organizativa del MAG, para tal efecto debe considerarse entre otros, las competencias, potestades, responsabilidades y roles, en concordancia con las Normas Técnicas de Gestión y Control de las Tecnologías de Información. Sobre el particular, se le solicita remitir a esta Contraloría General en un plazo no mayor de 10 días hábiles posteriores al vencimiento de ese plazo, una certificación en la cual Contraloría General de la República T: (506) 2501-8000, F: (506) 2501-8100 C: contraloria.general@cgr.go.cr http://www.cgr.go.cr/ Apdo. 1179-1000, San José, Costa Rica División de Fiscalización Operativa y Evaluativa Área de Fiscalización de Servicios Económicos 16 se acredite que dicha unidad administrativa fue formalmente establecida. (Ver Hallazgo 1.1, párrafos del 2.1 al 2.8). 4.4. Reactivar, en un plazo no mayor de 45 días hábiles, la Comisión Gerencial de Informática (CGI); así como en un plazo de 60 días hábiles, definir las funciones, responsabilidades y roles respectivos para la CGI. Sobre el particular, se le solicita remitir a esta Contraloría General en un plazo no mayor de 10 días hábiles posteriores a esa definición una certificación en la cual se acredite la reactivación de dicha Comisión, los funcionarios designados y la definición de los aspectos señalados anteriormente. Asimismo, y por un período de dos años informar semestralmente a esta Contraloría General sobre la actividad realizada por dicha Comisión. Todos los plazos rigen a partir de la fecha de recepción de este informe. (Ver Hallazgo 1.1, párrafos del 2.1 al 2.8). 4.5. Definir y poner en ejecución, en un plazo no mayor de 60 días hábiles contados a partir de la fecha de recibo de este informe, un procedimiento o mecanismo de control que permita asegurar que en todo momento, el Plan Estratégico de Tecnologías de Información y Comunicación se encuentre debidamente alineado con el Plan Estratégico Institucional. Sobre el particular, se le solicita remitir a esta Contraloría General en un plazo no mayor de 10 días hábiles posteriores al vencimiento de ese plazo, una certificación en la cual se acredite la definición y puesta en ejecución del mecanismo o procedimiento de control indicado. (Ver Hallazgo 1.2, párrafos del 2.9 al 2.18). 4.6. Definir e implementar, en un plazo no mayor de 180 días hábiles, un sistema formal de gestión de la seguridad de la información que incluya procesos, procedimientos, estructuras organizacionales, funciones y objetivos que permitan monitorear, revisar y mejorar los controles que garantizan razonablemente la confidencialidad, integridad y disponibilidad de la información institucional. Remitir a esta Contraloría General, en un plazo máximo de 10 días hábiles posteriores al plazo indicado, certificación en la cual conste la definición e implementación del sistema, asimismo, en un plazo de 90 días hábiles un reporte del avance en el cumplimiento de esta disposición. Todos los plazos rigen a partir de la fecha de recibo de este informe. (Ver Hallazgo 2.1, párrafos del 2.19 al 2.28). 4.7. Elaborar, aprobar y divulgar, en un plazo no mayor de 180 días hábiles, un Plan de Continuidad de TI que obedezca a un Análisis de Impacto de Negocio. Remitir a esta Contraloría General, en un plazo máximo de 10 días hábiles posteriores al plazo indicado, certificación en la cual conste la elaboración, aprobación y divulgación del Plan, asimismo, en un plazo de 90 días hábiles un reporte del avance en el Contraloría General de la República T: (506) 2501-8000, F: (506) 2501-8100 C: contraloria.general@cgr.go.cr http://www.cgr.go.cr/ Apdo. 1179-1000, San José, Costa Rica División de Fiscalización Operativa y Evaluativa Área de Fiscalización de Servicios Económicos 17 cumplimiento de esta disposición. Todos los plazos rigen a partir de la fecha de recibo de este informe. (Ver Hallazgo 2.1, párrafos del 2.19 al 2.28). 4.8. Diseñar, desarrollar e implementar un sistema de información, con el objetivo de que la DNEA cuente con un instrumento tecnológico que apoye su labor sustantiva y que le permita almacenar, procesar e integrar la información relacionada con los servicios prestados a los productores agropecuarios. Para dar cumplimiento a lo dispuesto, se le concede un plazo máximo de 90 días hábiles para que presente una propuesta de cómo se va a diseñar, desarrollar e implementar el sistema. Sobre el particular, dicha propuesta debe contener al menos, estrategias, acciones, cronograma de actividades con plazos, fechas de inicio y conclusión, responsables y recursos financieros. Asimismo, se le solicita remitir a esta Contraloría General en un plazo no mayor de 10 días hábiles posteriores al vencimiento del plazo indicado supra, una certificación en la cual se acredite que se elaboró la propuesta para el diseño desarrollo e implementación de dicho sistema, así como adjuntar el cronograma de actividades con plazos, fechas de inicio y conclusión, responsables y recursos financieros. Durante dos años posteriores a la elaboración de la propuesta, remitir informes trimestrales sobre el grado de avance del proyecto. Todos los plazos rigen a partir de la fecha de recibo de este informe. (Ver Hallazgo 2.2, párrafos del 2.29 al 2.36). AL LIC. EDWARD ARAYA RODRÍGUEZ, OFICIAL MAYOR Y DIRECTOR ADMINISTRATIVO FINANCIERO O QUIEN OCUPE SU CARGO 4.9. Definir y poner en ejecución, en un plazo no mayor de 60 días hábiles contados a partir de la fecha de recibo de este informe, un sistema de seguimiento y monitoreo del estado de avance de los proyectos del PETIC, según lo establecido en su Plan de Implementación. Sobre el particular, se le solicita remitir a esta Contraloría General en un plazo no mayor de 10 días hábiles posteriores al vencimiento de ese plazo, una certificación en la cual se acredite la definición y puesta en ejecución de dicho sistema. (Ver Hallazgo 1.2, párrafos del 2.9 al 2.18). Contraloría General de la República T: (506) 2501-8000, F: (506) 2501-8100 C: contraloria.general@cgr.go.cr http://www.cgr.go.cr/ Apdo. 1179-1000, San José, Costa Rica División de Fiscalización Operativa y Evaluativa Área de Fiscalización de Servicios Económicos 18 ANEXO Nro. 1 OBSERVACIONES AL BORRADOR DEL INFORME DE LA AUDITORÍA DE CARÁCTER ESPECIAL SOBRE LA GESTIÓN DE LOS SISTEMAS DE INFORMACIÓN EN EL MINISTERIO DE AGRICULTURA Y GANADERÍA (MAG) Nro. Párrafos 4.4 Observaciones Administración Se solicita ampliar el plazo a 45 días para reactivar la Comisión Gerencial de Informática, dado que además de reactivar, es necesario aplicar una reingeniería de dicha comisión desde la autoridad central del MAG, tomando en cuenta aspectos como los siguientes: alcance a nivel institucional del sector agroalimentario, objetivos, composición y funciones y definición de estrategias de acción y políticas. ¿Se acoge? Argumentos CGR Sí No Parcial Se acepta la solicitud del MAG y se amplía el plazo para reactivar la Comisión Gerencial de Informática en un plazo de 45 días hábiles. Contraloría General de la República T: (506) 2501-8000, F: (506) 2501-8100 C: contraloria.general@cgr.go.cr http://www.cgr.go.cr/ Apdo. 1179-1000, San José, Costa Rica
© Copyright 2024