DFOE-EC-IF-15-2015 - Contraloría General de la República

División de Fiscalización Operativa y Evaluativa
Área de Fiscalización de Servicios Económicos
INFORME NRO. DFOE-EC-IF-15-2015
20 DE ABRIL, 2015
DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA
ÁREA DE FISCALIZACIÓN DE SERVICIOS ECONÓMICOS
INFORME DE LA AUDITORÍA DE CARÁCTER ESPECIAL SOBRE LA GESTIÓN
DE LOS SISTEMAS DE INFORMACIÓN EN EL MINISTERIO
DE AGRICULTURA Y GANADERÍA
(MAG)
2015
Contraloría General de la República
T: (506) 2501-8000, F: (506) 2501-8100 C: contraloria.general@cgr.go.cr
http://www.cgr.go.cr/ Apdo. 1179-1000, San José, Costa Rica
División de Fiscalización Operativa y Evaluativa
Área de Fiscalización de Servicios Económicos
CONTENIDO
Página nro.
RESUMEN EJECUTIVO
1.
INTRODUCCIÓN .....................................................................................................1
ORIGEN DE LA AUDITORÍA .......................................................................................................................... 1
OBJETIVO DE LA AUDITORÍA ....................................................................................................................... 1
ALCANCE DE LA AUDITORÍA ........................................................................................................................ 1
ASPECTOS POSITIVOS QUE FAVORECIERON LA EJECUCIÓN DE LA AUDITORÍA ................................................ 2
GENERALIDADES ACERCA DE LA AUDITORÍA ................................................................................................ 2
METODOLOGÍA APLICADA ........................................................................................................................... 3
COMUNICACIÓN PRELIMINAR DE LOS RESULTADOS DE LA AUDITORÍA ............................................................ 4
2.
RESULTADOS .........................................................................................................4
TEMA 1: PLANIFICACIÓN ESTRATÉGICA DE LAS TECNOLOGÍAS DE INFORMACIÓN (TI) EN EL
MAG 4
HALLAZGO 1.1: FUNCIÓN DE TI EN EL MAG ................................................................................................ 4
HALLAZGO 1.2: ALINEAMIENTO Y PLANIFICACIÓN ESTRATÉGICA DE LAS TI EN EL MAG ................................. 6
TEMA 2: SEGURIDAD DE LA INFORMACIÓN EN EL MAG .................................................................. 8
HALLAZGO 2.1: CARENCIA DE UN SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN Y DE UN PLAN
DE CONTINUIDAD DE TI EN EL MAG ............................................................................................................ 8
HALLAZGO 2.2: AUSENCIA DE SISTEMAS DE INFORMACIÓN ......................................................................... 13
3.
CONCLUSIONES ................................................................................................... 14
4.
DISPOSICIONES ................................................................................................... 15
AL DR. LUIS FELIPE ARAUZ CAVALLINI, MINISTRO DE AGRICULTURA Y GANADERÍA O QUIEN OCUPE SU CARGO
……………………………………………………………………………………………………………..15
AL LIC. EDWARD ARAYA RODRÍGUEZ, OFICIAL MAYOR Y DIRECTOR ADMINISTRATIVO FINANCIERO O QUIEN
OCUPE SU CARGO .................................................................................................................................... 17
ILUSTRACIONES
DIAGRAMA DE ESTRUCTURA N°. 1 ORGANIGRAMA INSTITUCIONAL DEL MAG ……………...................3
ANEXOS
ANEXO NRO. 1 OBSERVACIONES AL BORRADOR DEL INFORME DE LA AUDITORÍA DE CARÁCTER ESPECIAL
SOBRE LA GESTIÓN DE LOS SISTEMAS DE INFORMACIÓN EN EL MINISTERIO DE AGRICULTURA Y
GANADERÍA (MAG)……………………………………………………………………………………………………….18
Contraloría General de la República
T: (506) 2501-8000, F: (506) 2501-8100 C: contraloria.general@cgr.go.cr
http://www.cgr.go.cr/ Apdo. 1179-1000, San José, Costa Rica
División de Fiscalización Operativa y Evaluativa
Área de Fiscalización de Servicios Económicos
INFORME NRO. DFOE-EC-IF-15-2015
RESUMEN EJECUTIVO
¿Qué examinamos?
La Auditoría de Carácter Especial realizada por el Órgano Contralor en el Ministerio de Agricultura
y Ganadería (MAG), tuvo como objetivo determinar si los sistemas de información contribuyen al
logro de los objetivos estratégicos del MAG. La auditoría abarcó, además, el análisis de las
acciones realizadas por la Administración en lo que respecta a los sistemas de información que
apoyan la función sustantiva de la Dirección Nacional de Extensión Agropecuaria (DNEA). El
periodo de estudio comprendió del 1 de enero de 2011 al 31 de diciembre de 2013, y se amplió en
los casos que se consideró necesario.
¿Por qué es importante?
El tema es de relevancia porque mediante la gestión de los sistemas de información, instituciones
como el MAG, pueden ofrecer un mejor servicio al ciudadano y por ende cumplir de una forma más
efectiva con las disposiciones de su Ley de creación y el principio constitucional de rendición de
cuentas. Asimismo, la protección de la información de las entidades públicas debe orientarse a
salvaguardar la confidencialidad, disponibilidad e integridad de los datos que administran.
¿Qué encontramos?
La gestión de las tecnologías de información en el MAG se ha visto limitada por no contar con la
autoridad y competencia suficientes para gestionar las acciones en la materia; ya que la Función
de TI no está formalmente definida, esto a pesar de que desde hace varios años se determinó la
necesidad de definirla, para lo cual se elaboró una propuesta de reorganización institucional, que
sin embargo no ha logrado concretarse.
Por otra parte, a pesar de haberse creado mediante Decreto, una Comisión Gerencial de
Informática desde el año 2001, con el fin de contar con una instancia asesora de alto nivel en
relación con las TI, desde su fecha de creación y hasta el cierre de diciembre de 2014, únicamente
se habían llevado a cabo nueve sesiones de trabajo, siendo que, la última sesión se realizó en el
año 2008, lo que evidencia que dicha Comisión no se encuentra activa.
En relación con la planificación institucional y el alineamiento de los objetivos estratégicos del
Ministerio con las tecnologías de información, al no contarse con un Plan Estratégico Institucional
formalmente aprobado, no se tiene certeza, que los objetivos definidos en el Plan Estratégico de
Tecnologías de Información y Comunicación (PETIC), representen la dirección y el rumbo que
quieren impulsar los niveles superiores del MAG.
A pesar de los esfuerzos realizados por el área de cómputo al elaborar una metodología de
administración de proyectos de TI y el nombramiento de un encargado para el seguimiento de los
Contraloría General de la República
T: (506) 2501-8000, F: (506) 2501-8100 C: contraloria.general@cgr.go.cr
http://www.cgr.go.cr/ Apdo. 1179-1000, San José, Costa Rica
División de Fiscalización Operativa y Evaluativa
Área de Fiscalización de Servicios Económicos
proyectos definidos en el PETIC, estos no han sido suficientes para controlar y dar seguimiento al
desarrollo de los proyectos, debido a la carencia de un sistema de seguimiento y monitoreo del
estado de avance de los proyectos.
Asimismo, en relación con la seguridad de la información se determinó que el Ministerio no se
dispone de un sistema formal de gestión de la seguridad de la información, que permita garantizar
de manera razonable la confidencialidad, integridad y disponibilidad de la información
institucional, exponiendo al MAG a vulnerabilidades por uso indebido de información, alteración no
autorizada o pérdida de esta, sabotajes, fraudes y alto riesgo de suspensión de servicios
informáticos por fallas en los equipos principales. Aunado a esto, no cuenta con la capacidad para
administrar adecuadamente los riesgos y reducir el impacto de los servicios por fallas en su
plataforma tecnológica, dado que no cuenta con un Plan de Continuidad de Tecnologías de
Información.
Tampoco existen sistemas de información que apoyen la función sustantiva del MAG,
específicamente la relacionada con la DNEA a través de las Direcciones Regionales y las Agencias
de Servicios Agropecuarios (ASA), debido a que en cada una de esas dependencias se han
establecido formas distintas para llevar el registro de las actividades relacionadas con los servicios
prestados a los productores, situación que impide almacenar, procesar e integrar los datos
uniformemente para la adecuada y oportuna toma de decisiones institucionales.
¿Qué sigue?
Con el propósito de concretar las oportunidades de mejora determinadas, se giraron disposiciones
al Ministro de Agricultura y Ganadería, para que se establezca formalmente una unidad
administrativa encargada de la Función de TI dentro de la estructura orgánica del MAG, se reactive
la Comisión Gerencial de Informática, se defina y ponga en ejecución un procedimiento o
mecanismo de control que permita asegurar en todo momento que el Plan Estratégico de
Tecnologías de Información y Comunicación se encuentre debidamente alineado con el Plan
Estratégico Institucional, se diseñe, desarrolle e implemente un sistema de información que apoye
la labor sustantiva de la DNEA, un Plan de Continuidad de TI y un sistema formal de gestión de la
seguridad de la información.
Por su parte, se dispone al Oficial Mayor y Director Administrativo Financiero, para que se defina y
ponga en ejecución un sistema de seguimiento y monitoreo del estado de avance de los proyectos
del PETIC.
Contraloría General de la República
T: (506) 2501-8000, F: (506) 2501-8100 C: contraloria.general@cgr.go.cr
http://www.cgr.go.cr/ Apdo. 1179-1000, San José, Costa Rica
División de Fiscalización Operativa y Evaluativa
Área de Fiscalización de Servicios Económicos
INFORME NRO. DFOE-EC-IF-15-2015
DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA
ÁREA DE FISCALIZACIÓN DE SERVICIOS ECONÓMICOS
INFORME DE LA AUDITORÍA DE CARÁCTER ESPECIAL SOBRE LA GESTIÓN
DE LOS SISTEMAS DE INFORMACIÓN EN EL MINISTERIO
DE AGRICULTURA Y GANADERÍA
(MAG)
1.
INTRODUCCIÓN
ORIGEN DE LA AUDITORÍA
1.1. En el Ministerio de Agricultura y Ganadería (MAG), es de relevancia analizar la forma
en que la gestión de los sistemas de información contribuye al logro de los objetivos
estratégicos, especialmente en lo que se refiere a la Dirección Nacional de Extensión
Agropecuaria (DNEA), por cuanto dentro de sus funciones le corresponde la
asistencia técnica, capacitación y atención de los productores agropecuarios a nivel
nacional. Asimismo, la DNEA es la instancia que brinda el aval técnico a los proyectos
de inversión agropecuaria propuestos por las organizaciones de productores
agropecuarios y que se canalizan mediante las Agencias de Servicios Agropecuarios
(ASA) y las Direcciones Regionales del MAG.
1.2. El estudio se realizó con fundamento en las competencias que le confieren a esta
Contraloría General de la República los artículos 183 y 184 de la Constitución
Política, 17, 21 y 37 de su Ley Orgánica N° 7428, y en cumplimiento del programa
anual de trabajo de la División de Fiscalización Operativa y Evaluativa (DFOE).
OBJETIVO DE LA AUDITORÍA
1.3. Determinar si los sistemas de información contribuyen al logro de los objetivos
estratégicos del Ministerio de Agricultura y Ganadería (MAG).
ALCANCE DE LA AUDITORÍA
1.4. La auditoría abarcó el análisis de las acciones realizadas por la Administración en lo
que respecta a la gestión de sistemas de información que se utilizan para brindar los
Contraloría General de la República
T: (506) 2501-8000, F: (506) 2501-8100 C: contraloria.general@cgr.go.cr
http://www.cgr.go.cr/ Apdo. 1179-1000, San José, Costa Rica
División de Fiscalización Operativa y Evaluativa
Área de Fiscalización de Servicios Económicos
2
servicios, en particular los correspondientes a la DNEA del MAG; durante el período
comprendido entre el 1 de enero de 2011 y el 31 de diciembre de 2013, y se amplió
en los casos en que se consideró necesario.
ASPECTOS POSITIVOS QUE FAVORECIERON LA EJECUCIÓN DE LA AUDITORÍA
1.5. Como parte de los aspectos positivos que favorecieron la ejecución de la Auditoría es
importante mencionar que se tuvo una amplia colaboración por parte de la
Administración del MAG y sus dependencias, situación que coadyuvó con el
cumplimiento de los objetivos de la auditoría.
GENERALIDADES ACERCA DE LA AUDITORÍA
1.6. El accionar del Ministerio de Agricultura y Ganadería en el contexto del Sector
Agropecuario se encuentra regulado por la Ley de Fomento a la Producción
Agropecuaria (FODEA) N° 7064 del 29 de abril de 1987 y los reglamentos emitidos
mediante el Decreto Ejecutivo N° 19420 del 13 de noviembre de 1989, en lo que
respecta a la regulación del fomento agropecuario y el Decreto Ejecutivo N° 26431
del 2 de octubre de 1997 que reglamenta específicamente la parte de la Ley
Orgánica del MAG y del proceso de planificación ministerial; así como, aquella
normativa general contenida en la Ley de Planificación Nacional N° 5525.
1.7. El artículo 49 de la Ley N° 7064, dispone que una de las áreas sustantivas de la
competencia del MAG es la extensión agropecuaria. Asimismo, el artículo 50 de la
citada Ley dispuso que para el cumplimiento de sus fines contará con los órganos
necesarios para la dirección, planificación, control y evaluación, así como aquellos
organismos asesores que señalen la ley y sus reglamentos.
1.8. En adición a lo mencionado, el Decreto Ejecutivo N° 26431-MAG del 5 de noviembre
de 1997, otorgó funciones específicas a cada unidad de dicho Ministerio; siendo que
en el artículo 2 se dispusiera que el MAG debe: “4. Planificar, elaborar e
implementar los programas agropecuarios a nivel regional y nacional, para mejorar
la prestación de los servicios al productor…”, función que le fue conferida a la
Dirección de Extensión Agropecuaria mediante los artículos 28 y 29 del citado
Decreto.
1.9. Posteriormente dicha Dirección de Extensión Agropecuaria fue transformada en la
Dirección Superior de Operaciones Regionales y Extensión Agropecuaria (DSOREA)
hasta el mes de abril de 2014.
Contraloría General de la República
T: (506) 2501-8000, F: (506) 2501-8100 C: contraloria.general@cgr.go.cr
http://www.cgr.go.cr/ Apdo. 1179-1000, San José, Costa Rica
División de Fiscalización Operativa y Evaluativa
Área de Fiscalización de Servicios Económicos
3
1.10. En la actualidad las funciones de Extensión Agropecuaria las realiza la DNEA, por
medio de las Unidades de Extensión Agropecuaria, Direcciones Regionales,
Secretaría Técnica de Exoneraciones y Programas Nacionales.
1.11. En el siguiente diagrama se muestra la estructura orgánica del MAG, aprobada por el
Ministerio de Planificación y Política Económica (MIDEPLAN):
Diagrama de Estructura N° 1
Fuente: Administración del MAG (oficio GTI-93-2014).
METODOLOGÍA APLICADA
1.12. La auditoría se realizó de conformidad con lo establecido en el Manual General de
Fiscalización Integral (MAGEFI), las Normas Generales de Auditoría para el Sector
Público, el Procedimiento de Auditoría y las Normas Técnicas para la Gestión y el
Control de las Tecnologías de Información, emitidas por la Contraloría General de la
República, así como otras fuentes de normativa y prácticas generalmente aceptadas
que resultan aplicables.
Contraloría General de la República
T: (506) 2501-8000, F: (506) 2501-8100 C: contraloria.general@cgr.go.cr
http://www.cgr.go.cr/ Apdo. 1179-1000, San José, Costa Rica
División de Fiscalización Operativa y Evaluativa
Área de Fiscalización de Servicios Económicos
4
1.13. Para efectos del presente estudio, se requirió la realización de entrevistas,
confirmaciones, comprobaciones, inspecciones físicas, análisis documentales,
pruebas analíticas y la correspondiente comunicación de los resultados.
COMUNICACIÓN PRELIMINAR DE LOS RESULTADOS DE LA AUDITORÍA
1.14. Los resultados de la auditoría se expusieron verbalmente el día 24 de marzo de 2015
en la sala Tecnológica en el MAG, en la cual se encontraban presentes los siguientes
funcionarios del MAG: Lic. Edward Araya Rodríguez, Oficial Mayor y Director
Administrativo Financiero, Lic. Rafael Espinosa Jiménez, Jefe del Área de Cómputo,
Licda. María Elena Orozco Vílchez, Jefe de Unidad de Planificación Estratégica, Lic.
Mario Molina Bonilla, Auditor Interno.
1.15. El borrador del presente informe se entregó el 24 de marzo de 2015 en el Despacho
del Ministro, con el oficio DFOE-EC-0252 (04377), con el propósito de que en un
plazo de cinco días hábiles formularan y remitieran a la Gerencia del Área de
Fiscalización de Servicios Económicos, las observaciones que estimaran pertinentes
sobre el contenido de dicho documento.
1.16. Mediante oficio N° DM-MAG-0245-2015 de fecha 30 de marzo de 2015, la institución
remitió las observaciones sobre el contenido del borrador informe. Lo resuelto sobre
los planteamientos efectuados en dicho oficio se considera en el Anexo N° 1 de este
documento.
2.
RESULTADOS
TEMA 1: PLANIFICACIÓN ESTRATÉGICA DE LAS TECNOLOGÍAS DE
INFORMACIÓN (TI) EN EL MAG
HALLAZGO 1.1: FUNCIÓN DE TI EN EL MAG
2.1. Las Normas de Control Interno del Sector Público1, en la Norma 2.5, dispone que:
El jerarca y los titulares subordinados, según sus competencias y de conformidad con
el ordenamiento jurídico y las regulaciones emitidas por los órganos competentes,
deben procurar una estructura que defina la organización formal, sus relaciones
jerárquicas, líneas de dependencia y coordinación, así como la relación con otros
elementos que conforman la institución, y que apoye el logro de los objetivos. Dicha
1
Normas de Control Interno para el Sector Público (N-2-2009-CO-DFOE), publicadas en La Gaceta N° 26
del 6 de febrero de 2009.
Contraloría General de la República
T: (506) 2501-8000, F: (506) 2501-8100 C: contraloria.general@cgr.go.cr
http://www.cgr.go.cr/ Apdo. 1179-1000, San José, Costa Rica
División de Fiscalización Operativa y Evaluativa
Área de Fiscalización de Servicios Económicos
5
estructura debe ajustarse según lo requieran la dinámica institucional y del entorno
y los riesgos relevantes.
2.2. Las Normas Técnicas para la Gestión y el Control de las Tecnologías de Información
(TI), en su norma 2.4 indica:
El jerarca debe asegurar la independencia de la Función de TI respecto de las áreas
usuarias y que ésta mantenga la coordinación y comunicación con las demás
dependencias tanto internas como externas. / Además, debe brindar el apoyo
necesario para que dicha Función de TI cuente con una fuerza de trabajo motivada,
suficiente, competente y a la que se le haya definido, de manera clara y formal, su
responsabilidad, autoridad y funciones.
2.3. Asimismo, en la Norma 1.6 de dichas Normas Técnicas se establece en relación con
las decisiones sobre asuntos estratégicos de TI que:
El jerarca debe apoyar sus decisiones sobre asuntos estratégicos de TI en la asesoría
de una representación razonable de la organización que coadyuve a mantener la
concordancia con la estrategia institucional, a establecer las prioridades de los
proyectos de TI, a lograr un equilibrio en la asignación de recursos y a la adecuada
atención de los requerimientos de todas las unidades de la organización.
2.4. En la auditoría realizada se determinó que en el MAG no está formalmente definida
la Función de TI, tal y como lo establece la norma 2.4 supra citada. Al respecto, el
Decreto 26431-MAG2 le asignó al Sistema Unificado de Información institucional
(SUNII), funciones en materia de tecnología de información, sin embargo por
disposición administrativa3 se separaron dichas funciones del SUNII, para conformar
un área de cómputo adscrita a la Dirección Administrativa Financiera, mientras se
realizaban los trámites legales respectivos para su creación y formalización. A la
fecha del estudio dichos trámites no se han llevado a cabo4.
2.5. Sobre el particular debe señalarse que pese a que en el año 2008 se conformó un
equipo de trabajo para el proyecto de implementación de las Normas Técnicas de TI,
el cual determinó la necesidad de definir la Función de TI tal y como lo establecen
dichas normas, la Administración, no ha realizado las acciones pertinentes para su
formalización.
2
Del 2 de octubre de 1997, publicado en la Gaceta N° 213 del 5 de noviembre de 1997.
3
Oficio N° DAF-221-2001 del 27 de agosto de 2001.
4
En el año 2011, en el MAG se elaboró una propuesta de reorganización parcial para crear la Dirección de
Tecnologías de Información, sin embargo, a la fecha no se ha concretado el proceso para ejecutarla
(Oficio GTI-27-2011 del 15 de abril de 2011).
Contraloría General de la República
T: (506) 2501-8000, F: (506) 2501-8100 C: contraloria.general@cgr.go.cr
http://www.cgr.go.cr/ Apdo. 1179-1000, San José, Costa Rica
División de Fiscalización Operativa y Evaluativa
Área de Fiscalización de Servicios Económicos
6
2.6. Adicionalmente, mediante Decreto Ejecutivo N° 29500-MAG5, se creó la Comisión
Gerencial de Informática, al considerar "Que es necesario que exista una instancia
asesora de alto nivel en materia informática dentro de la institución". Desde su
creación en el año 2001, la Comisión ha llevado a cabo solamente nueve sesiones de
trabajo, según se documenta en las actas, pese a que, en la última sesión realizada el
8 de febrero de 2008, se determinó que: “Para dar formalidad a esta Comisión…
Todo lo que tenga que ver en materia de Tecnología de Información debe ser
aprobada por esta Comisión”.
2.7. En línea con lo anterior, y con base en una recomendación del Instituto Tecnológico
de Costa Rica (ITCR), se intentó6 propiciar un relanzamiento de la Comisión
Gerencial, para que fungiera a nivel institucional como responsable de brindar la
guía en materia de desarrollo tecnológico; en la definición de prioridades referentes
a tecnología de información; en el manejo de prioridades de las inversiones y en
general, en la toma de decisiones estratégicas de TI; sin embargo, dicho intento no
se ha logrado concretar a la fecha.
2.8. Al no estar formalmente establecida y definida la Función de TI dentro de la
estructura organizativa del MAG, y dado que la Comisión Gerencial de Informática ha
estado inactiva desde el año 2008, la Administración no ha podido contar
formalmente con la autoridad y competencia para realizar las acciones propias en
materia de TI y, se ha visto limitada en la gestión y toma de decisiones relacionadas
con el desarrollo del Plan Estratégico de Tecnologías de Información y Comunicación
(PETIC), el establecimiento de prioridades para el desarrollo de sistemas, la
determinación de las necesidades de adquisición de software y hardware, la
formulación de políticas, el control y seguimiento de los proyectos del PETIC, así
como en la integración y actualización de los sistemas de información.
HALLAZGO 1.2: ALINEAMIENTO Y PLANIFICACIÓN ESTRATÉGICA DE LAS TI EN EL MAG
2.9. En relación con la planificación estratégica de las TI la Norma 2.1 de las citadas
Normas Técnicas indica que: “La organización debe lograr que las TI apoyen su
misión, visión y objetivos estratégicos mediante procesos de planificación que logren
el balance óptimo entre sus requerimientos, su capacidad presupuestaria y las
oportunidades que brindan las tecnologías existentes y emergentes”.
5
Publicado en La Gaceta del 18 de mayo de 2001, y modificado por el Decreto N°32654-MAG publicado en
La Gaceta del 3 de octubre de 2005.
6
Oficio de la Viceministra de ese entonces, N° DVM-XC-147-2013 del 8 de mayo de 2013.
Contraloría General de la República
T: (506) 2501-8000, F: (506) 2501-8100 C: contraloria.general@cgr.go.cr
http://www.cgr.go.cr/ Apdo. 1179-1000, San José, Costa Rica
División de Fiscalización Operativa y Evaluativa
Área de Fiscalización de Servicios Económicos
7
2.10. Asimismo, la Norma 1.5 de las Normas Técnicas sobre gestión de proyectos,
establece que "La organización debe administrar sus proyectos de TI de manera que
logre sus objetivos, satisfaga los requerimientos y cumpla con los términos de
calidad, tiempo y presupuesto óptimos preestablecidos".
2.11. Al respecto, en la auditoría realizada se evidenció que el MAG en noviembre de
2014, aprobó el Plan Estratégico de Tecnologías de Información y Comunicación
2014-2018, el cual fue elaborado en respuesta a la necesidad de incluir dentro de la
planificación institucional la tecnología de información, como un elemento de
carácter estratégico para el cumplimiento de los objetivos del Ministerio.
2.12. La importancia de contar con un Plan Estratégico de Tecnologías de Información
debidamente aprobado y formalizado, radica en que los objetivos estratégicos en
materia de TI se encuentren alineados con los objetivos del Plan Estratégico
Institucional (PEI), para garantizar una mayor eficacia y eficiencia en el cumplimiento
de los objetivos institucionales. A la fecha de cierre de esta auditoría, en el MAG no
existe formalmente aprobado un PEI.
2.13. No obstante lo indicado, es importante señalar que en el MAG a finales del año 2013
se elaboró una propuesta de PEI para el período 2014-2017. Además, según
manifestaron personeros del área de cómputo y de la Unidad de Planificación
Estratégica, en el marco conceptual de ambos planes se contempló una alineación y
vinculación, por medio de los objetivos, lineamientos e indicadores, con base en las
mejores prácticas de COBIT7 y utilizando la metodología de cascada de metas8.
2.14. Sin embargo, también es importante señalar que la propuesta de plan estratégico
institucional fue elaborada en la Administración 2010-2014 y no ha sido aprobada,
ya que se encuentra en una fase de revisión y ajuste por las actuales autoridades del
MAG, con el fin de alinear los objetivos estratégicos de la propuesta de PEI con la
política y lineamientos que se definan para el Sector Agropecuario y de Desarrollo
Rural y el Plan Nacional de Desarrollo 2015-2018.
2.15. Por tanto, al no contar el MAG con un Plan Estratégico Institucional debidamente
aprobado, el aporte que las Tecnologías de Información brindan al cumplimiento de
los objetivos estratégicos institucionales se ve limitado, así como el alineamiento
que se pretende mediante el proceso de planificación, debido a que no se tiene la
7
8
El COBIT es el marco de trabajo propuesto como mejores prácticas para el gobierno y la gestión de las
tecnologías de información, por la Asociación de Auditoría y Control de Sistemas de Información (ISACA
por sus siglas en inglés).
En COBIT 4.1 la cascada de metas es una visión global de cómo se relacionan las metas genéricas del
negocio con las metas de TI, con los procesos de TI y con los criterios de información.
Contraloría General de la República
T: (506) 2501-8000, F: (506) 2501-8100 C: contraloria.general@cgr.go.cr
http://www.cgr.go.cr/ Apdo. 1179-1000, San José, Costa Rica
División de Fiscalización Operativa y Evaluativa
Área de Fiscalización de Servicios Económicos
8
certeza de que la propuesta de PEI contenga plasmada la dirección y el rumbo que
en esta materia quieran impulsar las autoridades de la Administración actual.
2.16. En línea con lo anterior, también es menester señalar que, si bien el PETIC contiene
un portafolio de proyectos dividido en tres carteras, a saber: 1) Fortalecimiento de la
función de Tecnologías de Información y Comunicación, 2) Apoyo a la Actividad
Sustantiva y 3) Cumplimiento Normativo, incluyendo el detalle de cada proyecto,
trabajo a realizar, prioridad, duración, productos esperados, indicadores de logro y
año o semestre del proyecto. Los esfuerzos realizados por el área de cómputo9 no
han sido suficientes para controlar y dar seguimiento al cumplimiento de los
objetivos establecidos en dicho Plan.
2.17. Lo anterior obedece principalmente, a que, a la fecha no se han establecido los
elementos necesarios ni se han incorporado los actores requeridos para garantizar la
efectividad en la implementación del PETIC, pues no se ha establecido e
implementado un sistema de seguimiento y monitoreo del estado de avance de los
proyectos, ni ha sido posible contar con la participación de la Comisión Gerencial de
Informática por encontrarse inactiva como se mencionó supra.
2.18. Las debilidades señaladas en el seguimiento y monitoreo de los proyectos del PETIC,
ponen en riesgo el cumplimiento de los objetivos establecidos en dicho Plan y limita
el seguimiento oportuno de su desarrollo, la comunicación a la Administración
Superior del estado de los proyectos y la contribución de éstos al logro de los
objetivos estratégicos institucionales.
TEMA 2: SEGURIDAD DE LA INFORMACIÓN EN EL MAG
HALLAZGO 2.1: CARENCIA DE UN SISTEMA DE GESTIÓN DE LA SEGURIDAD
INFORMACIÓN Y DE UN PLAN DE CONTINUIDAD DE TI EN EL MAG
DE LA
2.19. La Norma 1.4 de las Normas Técnicas de TI señala que:
La organización debe garantizar, de manera razonable, la confidencialidad,
integridad y disponibilidad de la información, lo que implica protegerla contra uso,
divulgación o modificación no autorizados, daño o pérdida u otros factores
9
En el área de cómputo se elaboró una Metodología para la Administración de Proyectos de TI para uso
interno en la cual se establece que: “El administrador del proyecto debe confeccionar informes de
seguimiento mensuales, en los cuales se documente el estado actual del proyecto en términos de tiempo,
costo, alcance (detalle esperado a la fecha) y calidad (criterios de aceptación). Se deben identificar los
problemas y realizar la gestión de riesgos del proyecto”, sin embargo solo se ha generado un único
informe en octubre de 2014, en el cual en el apartado de "Seguimiento a los Riesgos", únicamente se
indica "Debido a la no entrega de avances no se han establecido nuevos riesgos".
Contraloría General de la República
T: (506) 2501-8000, F: (506) 2501-8100 C: contraloria.general@cgr.go.cr
http://www.cgr.go.cr/ Apdo. 1179-1000, San José, Costa Rica
División de Fiscalización Operativa y Evaluativa
Área de Fiscalización de Servicios Económicos
9
disfuncionales. / Para ello debe documentar e implementar una política de seguridad
de la información y los procedimientos correspondientes, asignar los recursos
necesarios para lograr los niveles de seguridad requeridos.
2.20. Adicionalmente, la Norma 1.4.1 en relación con la implementación de un marco de
seguridad de la información, indica que la institución debe implementar este marco,
para lo cual debe:
a) Establecer un marco metodológico que incluya la clasificación de los recursos de
TI, según su criticidad, la identificación y evaluación de riesgos, la elaboración e
implementación de un plan para el establecimiento de medidas de seguridad, la
evaluación periódica del impacto de esas medidas y la ejecución de procesos de
concienciación y capacitación del personal. / b) Mantener una vigilancia constante
sobre todo el marco de seguridad y definir y ejecutar periódicamente acciones para
su actualización. / c) Documentar y mantener actualizadas las responsabilidades
tanto del personal de la organización como de terceros relacionados.
2.21. Estos criterios se refuerzan en las mejores prácticas consignadas en la norma ISO
27001, en su numeral 5, en cuanto a que: “la gerencia debe proporcionar evidencia
de su compromiso con el establecimiento, implementación, operación, monitoreo,
revisión, mantenimiento y mejoramiento del Sistema de Gestión de la Seguridad de la
Información (SGSI) al establecer una política de seguridad, asegurar que se
establezcan objetivos y planes del SGSI, establecer roles y responsabilidades para la
seguridad de la información”.
2.22. Además y en forma complementaria a lo indicado supra, en la Norma 1.4.7
Continuidad de los servicios de TI, se establece que: “La organización debe mantener
una continuidad razonable de sus procesos y su interrupción no debe afectar
significativamente a sus usuarios. / Como parte de ese esfuerzo debe documentar y
poner en práctica, en forma efectiva y oportuna, las acciones preventivas y
correctivas necesarias con base en los planes de mediano y largo plazo de la
organización, la evaluación e impacto de los riesgos y la clasificación de sus recursos
de TI según su criticidad”.
2.23. En la auditoría realizada se evidenció que en el Ministerio de Agricultura y
Ganadería, no se cuenta con un sistema formal de gestión de la seguridad de la
información que incluya políticas, procesos, procedimientos, estructuras
organizacionales y funciones para establecer, monitorear, revisar y mejorar los
controles que permitan asegurar el cumplimiento de los objetivos de seguridad, con
el fin de garantizar de manera razonable la confidencialidad, integridad y
disponibilidad de la información institucional; así como fortalecer y apoyar el
cumplimiento de los objetivos institucionales.
Contraloría General de la República
T: (506) 2501-8000, F: (506) 2501-8100 C: contraloria.general@cgr.go.cr
http://www.cgr.go.cr/ Apdo. 1179-1000, San José, Costa Rica
División de Fiscalización Operativa y Evaluativa
Área de Fiscalización de Servicios Económicos
10
2.24. Esta situación se presenta debido a que el MAG no ha impulsado las acciones
necesarias para la implementación del sistema de gestión de la seguridad de la
información, ello a pesar de haberse elaborado en el año 2009 un documento
contentivo de Políticas y Normas Generales de Tecnologías de Información, en el
que se incluyen aspectos generales relativos a seguridad y, se establece que para su
actualización se debe revisar formalmente una vez cada año. A la fecha de esta
auditoría no se había realizado ninguna revisión, actualización o modificación.
2.25. Lo anterior, expone a la institución a vulnerabilidades por uso indebido de
información, alteración o pérdida de esta; sabotajes; fraudes; alto riesgo de
suspensión de servicios informáticos por fallas en los equipos principales y
debilidades en las instalaciones del centro de cómputo, tales como10:
10

El área donde se encuentran los equipos servidores del MAG no reúne las
condiciones mínimas de seguridad requeridas para un centro de cómputo,
debido a que por limitaciones de espacio el área destinada a servidores es
compartida con el área de soporte. Dicha área no cuenta con las cerraduras
apropiadas y no se tiene control de acceso por medio de bitácoras, los aires
acondicionados no son apropiados y se encuentran sobre las áreas de trabajo
y los equipos (UPS) y el cableado de los equipos dispuestos en el rack se
encuentran desordenados y algunos conectores sin rotular.

No existen accesos adecuados a los paneles (Racks), donde se encuentran
instalados los servidores para realizar un adecuado mantenimiento de estos.
Los accesos al centro de cómputo son estrechos y existen escritorios y equipos
en el suelo, dificultando cualquier vía de acceso de emergencia y de
evacuación. Además, no existen detectores de humo, alarmas contra incendio,
así como tampoco dispositivos o mecanismo de extinción de incendio.
Inspección física realizada a las instalaciones del área de cómputo y los principales equipos de TI del
MAG, el 11 de diciembre de 2014.
Contraloría General de la República
T: (506) 2501-8000, F: (506) 2501-8100 C: contraloria.general@cgr.go.cr
http://www.cgr.go.cr/ Apdo. 1179-1000, San José, Costa Rica
División de Fiscalización Operativa y Evaluativa
Área de Fiscalización de Servicios Económicos
11

Por su parte los respaldos de las bases de datos son almacenados en el mismo
equipo donde reside la base de datos y una vez a la semana se migran a un
equipo externo, el cual se encuentra en el mismo recinto, expuesto a los
mismos riesgos que el servidor principal.

En relación con la red inalámbrica se indicó en la inspección que esta se
encuentra protegida de manera lógica únicamente mediante una clave,
aunado a esto, durante la visita se constató que los racks aéreos donde se
encuentran los equipos de comunicación estaban sin llave, lo que facilita el
acceso a terceros e incrementa el riesgo de intrusiones no autorizadas o robos
de equipos.
Contraloría General de la República
T: (506) 2501-8000, F: (506) 2501-8100 C: contraloria.general@cgr.go.cr
http://www.cgr.go.cr/ Apdo. 1179-1000, San José, Costa Rica
División de Fiscalización Operativa y Evaluativa
Área de Fiscalización de Servicios Económicos
12
2.26. Adicionalmente a lo comentado en párrafos anteriores, se determinó que el MAG no
cuenta con capacidad para administrar los riesgos y reducir el impacto de los
servicios por interrupciones de su plataforma tecnológica, debido a que no cuenta
con un Plan de Continuidad de Tecnologías de Información que obedezca a un
Análisis de Impacto del Negocio, en el que se determine cómo puede afectar la
suspensión de los servicios de tecnologías de información las funciones
administrativas, sustantivas y de servicios del Ministerio.
2.27. Esta carencia se presenta debido a la falta de planificación estratégica de las
tecnologías de información, dado que el MAG nunca había contado con un PETIC, tal
como se comentó en párrafos anteriores, sino hasta el año 2014 en el que se incluyó
como parte del portafolio de proyectos la “Mejora a la gestión de la continuidad de
servicios de TIC”.
2.28. La ausencia de este Plan de Continuidad provoca que en caso de presentarse
eventos que puedan afectar los servicios que presta el Ministerio, se exponga a
riesgos como la interrupción del apoyo que brindan los sistemas de información, el
no poder recuperarse ante una falla, provocando pérdida de información y atraso en
los servicios brindados y podría incidir en la restauración oportuna y exitosa de
estos.
Contraloría General de la República
T: (506) 2501-8000, F: (506) 2501-8100 C: contraloria.general@cgr.go.cr
http://www.cgr.go.cr/ Apdo. 1179-1000, San José, Costa Rica
División de Fiscalización Operativa y Evaluativa
Área de Fiscalización de Servicios Económicos
13
HALLAZGO 2.2: AUSENCIA DE SISTEMAS DE INFORMACIÓN
2.29. La Norma 1.411 Gestión de la seguridad de la información, señala que: “La
organización debe garantizar, de manera razonable, la confidencialidad, integridad y
disponibilidad de la información, lo que implica protegerla contra uso, divulgación o
modificación no autorizados, daño o pérdida y otros factores disfuncionales”.
2.30. Por su parte, las Normas de Control Interno para el Sector Público12, en su Norma 5.3
indica que:
La organización y el funcionamiento de los sistemas de información deben estar
integrados a nivel organizacional y ser coherentes con los objetivos institucionales y,
en consecuencia, con los objetivos del SCI. / La adecuación de tales sistemas a los
objetivos institucionales involucra, entre otros, su desarrollo de conformidad con el
plan estratégico institucional, y con el marco estratégico de las tecnologías de
información, cuando se haga uso de estas para su funcionamiento.
2.31. Respecto de la función sustantiva del MAG a cargo de la Dirección Nacional de
Extensión Agropecuaria (DNEA) se tiene como objetivo el “Incrementar la
productividad y competitividad de la producción por cadena productiva para su
inserción exitosa en los mercados globalizados, contribuyendo al desarrollo del
medio rural, al aumento del empleo y al bienestar general de la población”. Para el
cumplimiento de este objetivo cuenta con nueve Direcciones Regionales, las cuales a
su vez se dividen en Agencias de Servicios Agropecuarios (ASA).
2.32. Con el objetivo de verificar la forma en que los sistemas de información apoyan esa
labor sustantiva, se visitaron cuatro de las nueve Direcciones Regionales, a saber:
Central Sur, Pacifico Central, Central Oriental y Central Occidental, así como 12 de las
ASA13 adscritas a esas Direcciones. Al respecto, se determinó que no se cuenta con
un sistema de información institucional que apoye la actividad sustantiva
relacionada con la asistencia técnica, capacitación y atención de los productores
agropecuarios a nivel nacional.
2.33. Tal situación, ha propiciado que en cada una de las Direcciones Regionales se
establecieran formas distintas para llevar el registro de las actividades relacionadas
con los servicios prestados a los productores. Entre otros, se recurre a archivos
11
Normas Técnicas para la Gestión y el Control de las Tecnologías de Información de la CGR, N-2-2007-CODFOE, publicada en La Gaceta Nro. 119 del 21 de junio, 2007.
12
Normas de control interno para el Sector Público N-2-2009-CO-DFOE, publicada en La Gaceta N° 26 del 6
de febrero de 2009.
13
Puriscal, Santa Anta, Esparza, San Mateo, Orotina, Llano Grande, Paraíso, Tierra Blanca, Alajuela, Sarchí,
Naranjo y Atenas.
Contraloría General de la República
T: (506) 2501-8000, F: (506) 2501-8100 C: contraloria.general@cgr.go.cr
http://www.cgr.go.cr/ Apdo. 1179-1000, San José, Costa Rica
División de Fiscalización Operativa y Evaluativa
Área de Fiscalización de Servicios Económicos
14
físicos con los expedientes, listados en Word y Excel e incluso existe un sistema
desarrollado informalmente, en una de las Direcciones Regionales.
2.34. La ausencia de un sistema de información integrado se presenta debido a la falta de
planificación estratégica de las tecnologías de información, ya que, es hasta en el
mes de noviembre de 2014 que se aprueba el PETIC, el cual incluye como parte del
portafolio de proyectos el siguiente: “Desarrollo e Implementación del Sistema de
Información de Extensión Agropecuaria del Ministerio de Agricultura y Ganadería”,
con el fin de desarrollar e implementar un sistema de información que permita
articular todos los servicios y productos comunes y especializados que apoyen la
función sustantiva del MAG.
2.35. La situación expuesta ha impedido a las Direcciones Regionales y a las ASA contar
con un sistema de información institucional que permita almacenar, procesar e
integrar la información relacionada con la identificación de productores
agropecuarios, organizaciones, inventario y control de proyectos, asistencias
técnicas, capacitaciones y servicios brindados a los productores, así como el
seguimiento de las propuestas técnicas realizadas a estos. Esta carencia afecta la
adecuada toma de decisiones institucional al no contar con información oportuna,
así como imposibilita el seguimiento y evaluación de la labor realizada y los
resultados obtenidos con los servicios brindados por el MAG.
2.36. Aunado a esto se presenta el riesgo de que la confidencialidad, integridad y
disponibilidad de la información se vean comprometidas, debido a que cada
Dirección Regional utiliza distintas maneras para almacenar y procesar la
información, entre las cuales se pueden citar el uso de procedimientos manuales
que implican controles más complejos y menos efectivos, sin que haya una
estandarización de procesos para tales fines.
3.
CONCLUSIONES
3.1. En el Ministerio de Agricultura y Ganadería se presentan oportunidades de mejora
importantes en materia de tecnologías de información, relacionadas con la Función
de TI, la asesoría al jerarca por medio de una representación razonable de la
organización para la toma de decisiones, un mayor apoyo a la consecución de la
misión, visión y objetivos estratégicos del Ministerio por medio de un alineamiento
adecuado en la planificación y el seguimiento y control de los proyectos del PETIC.
3.2. En materia de seguridad de la información el MAG no cuenta con capacidad para
administrar adecuadamente los riesgos y reducir el impacto de los servicios por fallas
en su plataforma tecnológica, dado que no dispone de un Plan de Continuidad de
Contraloría General de la República
T: (506) 2501-8000, F: (506) 2501-8100 C: contraloria.general@cgr.go.cr
http://www.cgr.go.cr/ Apdo. 1179-1000, San José, Costa Rica
División de Fiscalización Operativa y Evaluativa
Área de Fiscalización de Servicios Económicos
15
Tecnologías de Información. Tampoco cuenta con un sistema formal de gestión de la
seguridad de la información, que permita garantizar de manera razonable la
confidencialidad, integridad y disponibilidad de la información institucional,
exponiendo a la institución a vulnerabilidades por uso indebido de información y
debilidades en las instalaciones del centro de datos.
3.3. Asimismo, en relación con la gestión realizada por el Ministerio para asegurar que
los sistemas de información contribuyan al logro de los objetivos institucionales, el
MAG no cuentan con un sistema de información institucional que apoye la función
sustantiva, por lo cual cada una de las Direcciones Regionales y las ASA han
establecido formas distintas para llevar el registro de las actividades relacionadas
con los servicios prestados a los productores, situación que impide almacenar,
procesar e integrar la información para la adecuada y oportuna toma de decisiones
institucionales.
4.
DISPOSICIONES
4.1. De conformidad con las competencias asignadas en los artículos 183 y 184 de la
Constitución Política, los artículos 12 y 21 de la Ley Orgánica de la Contraloría
General de la República, N° 7428, y el artículo 12 inciso c) de la Ley General de
Control Interno, se emiten las siguientes disposiciones, las cuales son de
acatamiento obligatorio y deberán ser cumplidas dentro del plazo (o en el término)
conferido para ello, por lo que su incumplimiento no justificado constituye causal de
responsabilidad.
4.2. Este Órgano Contralor se reserva la posibilidad de verificar, por los medios que
considere pertinentes, la efectiva implementación de las disposiciones emitidas, así
como de valorar el establecimiento de las responsabilidades que correspondan, en
caso de incumplimiento injustificado de tales disposiciones.
AL DR. LUIS FELIPE ARAUZ CAVALLINI, MINISTRO DE AGRICULTURA Y GANADERÍA O
QUIEN OCUPE SU CARGO
4.3. Establecer formalmente, la función de TI, en un plazo no mayor de 120 días hábiles
contados a partir de la fecha de recepción de este informe, dentro de la estructura
organizativa del MAG, para tal efecto debe considerarse entre otros, las
competencias, potestades, responsabilidades y roles, en concordancia con las
Normas Técnicas de Gestión y Control de las Tecnologías de Información. Sobre el
particular, se le solicita remitir a esta Contraloría General en un plazo no mayor de
10 días hábiles posteriores al vencimiento de ese plazo, una certificación en la cual
Contraloría General de la República
T: (506) 2501-8000, F: (506) 2501-8100 C: contraloria.general@cgr.go.cr
http://www.cgr.go.cr/ Apdo. 1179-1000, San José, Costa Rica
División de Fiscalización Operativa y Evaluativa
Área de Fiscalización de Servicios Económicos
16
se acredite que dicha unidad administrativa fue formalmente establecida. (Ver
Hallazgo 1.1, párrafos del 2.1 al 2.8).
4.4. Reactivar, en un plazo no mayor de 45 días hábiles, la Comisión Gerencial de
Informática (CGI); así como en un plazo de 60 días hábiles, definir las funciones,
responsabilidades y roles respectivos para la CGI. Sobre el particular, se le solicita
remitir a esta Contraloría General en un plazo no mayor de 10 días hábiles
posteriores a esa definición una certificación en la cual se acredite la reactivación de
dicha Comisión, los funcionarios designados y la definición de los aspectos señalados
anteriormente. Asimismo, y por un período de dos años informar semestralmente a
esta Contraloría General sobre la actividad realizada por dicha Comisión. Todos los
plazos rigen a partir de la fecha de recepción de este informe. (Ver Hallazgo 1.1,
párrafos del 2.1 al 2.8).
4.5. Definir y poner en ejecución, en un plazo no mayor de 60 días hábiles contados a
partir de la fecha de recibo de este informe, un procedimiento o mecanismo de
control que permita asegurar que en todo momento, el Plan Estratégico de
Tecnologías de Información y Comunicación se encuentre debidamente alineado con
el Plan Estratégico Institucional. Sobre el particular, se le solicita remitir a esta
Contraloría General en un plazo no mayor de 10 días hábiles posteriores al
vencimiento de ese plazo, una certificación en la cual se acredite la definición y
puesta en ejecución del mecanismo o procedimiento de control indicado. (Ver
Hallazgo 1.2, párrafos del 2.9 al 2.18).
4.6. Definir e implementar, en un plazo no mayor de 180 días hábiles, un sistema formal
de gestión de la seguridad de la información que incluya procesos, procedimientos,
estructuras organizacionales, funciones y objetivos que permitan monitorear, revisar
y mejorar los controles que garantizan razonablemente la confidencialidad,
integridad y disponibilidad de la información institucional. Remitir a esta Contraloría
General, en un plazo máximo de 10 días hábiles posteriores al plazo indicado,
certificación en la cual conste la definición e implementación del sistema, asimismo,
en un plazo de 90 días hábiles un reporte del avance en el cumplimiento de esta
disposición. Todos los plazos rigen a partir de la fecha de recibo de este informe.
(Ver Hallazgo 2.1, párrafos del 2.19 al 2.28).
4.7. Elaborar, aprobar y divulgar, en un plazo no mayor de 180 días hábiles, un Plan de
Continuidad de TI que obedezca a un Análisis de Impacto de Negocio. Remitir a esta
Contraloría General, en un plazo máximo de 10 días hábiles posteriores al plazo
indicado, certificación en la cual conste la elaboración, aprobación y divulgación del
Plan, asimismo, en un plazo de 90 días hábiles un reporte del avance en el
Contraloría General de la República
T: (506) 2501-8000, F: (506) 2501-8100 C: contraloria.general@cgr.go.cr
http://www.cgr.go.cr/ Apdo. 1179-1000, San José, Costa Rica
División de Fiscalización Operativa y Evaluativa
Área de Fiscalización de Servicios Económicos
17
cumplimiento de esta disposición. Todos los plazos rigen a partir de la fecha de
recibo de este informe. (Ver Hallazgo 2.1, párrafos del 2.19 al 2.28).
4.8. Diseñar, desarrollar e implementar un sistema de información, con el objetivo de
que la DNEA cuente con un instrumento tecnológico que apoye su labor sustantiva y
que le permita almacenar, procesar e integrar la información relacionada con los
servicios prestados a los productores agropecuarios. Para dar cumplimiento a lo
dispuesto, se le concede un plazo máximo de 90 días hábiles para que presente una
propuesta de cómo se va a diseñar, desarrollar e implementar el sistema. Sobre el
particular, dicha propuesta debe contener al menos, estrategias, acciones,
cronograma de actividades con plazos, fechas de inicio y conclusión, responsables y
recursos financieros. Asimismo, se le solicita remitir a esta Contraloría General en un
plazo no mayor de 10 días hábiles posteriores al vencimiento del plazo indicado
supra, una certificación en la cual se acredite que se elaboró la propuesta para el
diseño desarrollo e implementación de dicho sistema, así como adjuntar el
cronograma de actividades con plazos, fechas de inicio y conclusión, responsables y
recursos financieros. Durante dos años posteriores a la elaboración de la propuesta,
remitir informes trimestrales sobre el grado de avance del proyecto. Todos los plazos
rigen a partir de la fecha de recibo de este informe. (Ver Hallazgo 2.2, párrafos del
2.29 al 2.36).
AL LIC. EDWARD ARAYA RODRÍGUEZ, OFICIAL MAYOR Y DIRECTOR ADMINISTRATIVO
FINANCIERO O QUIEN OCUPE SU CARGO
4.9. Definir y poner en ejecución, en un plazo no mayor de 60 días hábiles contados a
partir de la fecha de recibo de este informe, un sistema de seguimiento y monitoreo
del estado de avance de los proyectos del PETIC, según lo establecido en su Plan de
Implementación. Sobre el particular, se le solicita remitir a esta Contraloría General
en un plazo no mayor de 10 días hábiles posteriores al vencimiento de ese plazo, una
certificación en la cual se acredite la definición y puesta en ejecución de dicho
sistema. (Ver Hallazgo 1.2, párrafos del 2.9 al 2.18).
Contraloría General de la República
T: (506) 2501-8000, F: (506) 2501-8100 C: contraloria.general@cgr.go.cr
http://www.cgr.go.cr/ Apdo. 1179-1000, San José, Costa Rica
División de Fiscalización Operativa y Evaluativa
Área de Fiscalización de Servicios Económicos
18
ANEXO Nro. 1
OBSERVACIONES AL BORRADOR DEL INFORME DE LA AUDITORÍA DE CARÁCTER
ESPECIAL SOBRE LA GESTIÓN DE LOS SISTEMAS DE INFORMACIÓN EN EL MINISTERIO DE
AGRICULTURA Y GANADERÍA (MAG)
Nro. Párrafos
4.4
Observaciones
Administración
Se solicita ampliar el plazo a 45 días para reactivar la Comisión Gerencial de Informática, dado
que además de reactivar, es necesario aplicar una reingeniería de dicha comisión desde la
autoridad central del MAG, tomando en cuenta aspectos como los siguientes: alcance a nivel
institucional del sector agroalimentario, objetivos, composición y funciones y definición de
estrategias de acción y políticas.
¿Se acoge?
Argumentos
CGR
Sí

No

Parcial

Se acepta la solicitud del MAG y se amplía el plazo para reactivar la Comisión Gerencial de
Informática en un plazo de 45 días hábiles.
Contraloría General de la República
T: (506) 2501-8000, F: (506) 2501-8100 C: contraloria.general@cgr.go.cr
http://www.cgr.go.cr/ Apdo. 1179-1000, San José, Costa Rica