1. No category

MINISTERIO DE OBRAS PÚBLICAS Y TRANSPORTES
AUDITORÍA GENERAL
INFORME DE CONTROL INTERNO
Nº AG-I-09-2015
“ESTUDIO ESPECIAL SOBRE LOS RECURSOS
INFORMÁTICOS DEL MOPT PUESTOS A DISPOSICIÓN DE
LA DIRECCIÓN DE INGENIERÍA DE TRÁNSITO”
MARZO - 2015
 2523-2639 // 2222-0464
Fax:2222-8310 E-mail [email protected]
 10176-1000 San José
1.-
Ministerio de Obras Públicas y Transportes
Auditoría General
Informe de Control Interno
No. AG-I-09-2015
ÍNDICE
RESUMEN EJECUTIVO…………………………………………………………………………..1
1.- INTRODUCCIÓN……………………………………………………………………...............2
1.2.- NORMATIVA SOBRE TRÁMITE DE INFORMES…………………..………..................2
1.3.- OBJETIVOS…………………………………………………………………………………..4
1.3.1.- OBJETIVO GENERAL……………………………………………..………………….....4
1.3.2.- OBJETIVOS ESPECÍFICOS…………………………………………………………….4
1.4.- ALCANCE DEL ESTUDIO…………………………………………………………….…….4
1.5.- PROCEDIMIENTOS EJECUTADOS…………………………………………………..…..4
1.6.- NORMATIVA APLICABLE……………………………………………………………..……5
1.7.- COMUNICACIÓN DE RESULTADOS………………………………………………..…....5
1.8.- RIESGO………………………………………………………………………………….…....5
2.- RESULTADOS………………………………………………………………………………….7
2.1.- GENERALIDADES DE LA DIRECCIÓN DE
INGENIERÍA
DE TRÁNSITO…..………………………………………………………………………….…..…..7
2.2.- VERIFICAR LOS RECURSOS INFORMÁTICOS (HARDWARE
Y SOFTWARE) QUE TIENE LA DIRECCIÓN GENERAL DE
INGENIERÍA DE TRÁNSITO..................................................................................................8
2.3.- VERIFICAR EL USO Y FUNCIONAMIENTO DE LOS
RECURSOS INFORMÁTICOS DE LA DIRECCION GENERAL DE
INGENIERÍA DE TRÁNSITO, EN CUMPLIMIENTO CON LA
NORMATIVA DE TI…………..………………………………….……………………………..……12
2.4.- VERIFICAR LA ATENCIÓN RECIBIDA DE LA DIRECCIÓN
DE INFORMÁTICA DE LOS REPORTES DE INCIDENCIAS
POR
PROBLEMAS
RELACIONADOS
CON
LOS
RECURSOS
INFORMÁTICOS
DE
LA
DIRECCION
GENERAL DE INGENIERÍA DE TRANSITO…………………...…………………………….….15
3.- CONCLUSIONES……………………………………………………………………………..17
4.- RECOMENDACIONES....…………………………………………………………………....19
ii.-
Ministerio de Obras Públicas y Transportes
Auditoría General
Informe de Control Interno
No. AG-I-09-2015
RESUMEN EJECUTIVO
Qué examinamos?
Se verifica el uso y la funcionalidad de los recursos informáticos del MOPT
proporcionados a la Dirección de Ingeniería de Tránsito.
Por qué es importante?
Como parte del proceso fiscalizador de la Auditoría, es importante determinar el
funcionamiento que se hace de los activos informáticos dispuestos para apoyar las
labores operativas de la Dirección General de Ingeniería de Tránsito.
Qué encontramos?
1. Desconocimiento de la distribución de la red.
2. Personal que desconoce las acciones a seguir en caso de presentarse
incidentes de atención inmediata como la interrupción de comunicaciones.
3. Condiciones adecuadas del cuarto donde se custodian los Servidores.
4. Almacenamiento y digitalización de documentos considerados importantes.
5. Desecho de equipo informático.
6. Desatención parcial en el Soporte brindado por la Dirección de Informática del
MOPT, a pesar de pertenecer a la Institución.
Qué sigue?
1. Recomendar se realice un inventario de la distribución de la red de
comunicaciones de la Dirección General de Ingeniería de Tránsito.
2. Recomendar se capacite y delegue personal que en coordinación con
Informática pueda atender situaciones que requieran colaboración inmediata.
3. Recomendar se analicen las condiciones ambientales con que cuenta el cuarto
de servidores
4. Recomendar se valore la posibilidad de proporcionar a la DGIT mecanismos
para la digitalización, almacenamiento, recuperación de información
considerada como importante.
5. Recomendar el retiro efectivo de equipo de informática que puede ser utilizado
por otras dependencias.
6. Seguimiento al cumplimiento de lo recomendado.
1.-
Ministerio de Obras Públicas y Transportes
Auditoría General
Informe de Control Interno
No. AG-I-09-2015
MINISTERIO DE OBRAS PÚBLICAS Y TRANSPORTES
AUDITORÍA GENERAL
INFORME DE CONTROL INTERNO
N° AG-I-09-2015
“ESTUDIO ESPECIAL SOBRE LOS RECURSOS INFORMÁTICOS DEL
MOPT PUESTOS A DISPOSICIÓN DE LA DIRECCIÓN DE INGENIERÍA
DE TRÁNSITO”
1.-
INTRODUCCIÓN
1.1.- ORIGEN DEL ESTUDIO
El estudio se realizó de conformidad con las competencias que ostenta la
Auditoría General, de acuerdo con lo estipulado en el Artículo 22, incisos a)
y b) de la Ley General de Control Interno. En cumplimiento del Plan de
Trabajo 2015, se efectuó una revisión y análisis de los Recursos Informáticos
del MOPT puestos a disposición de la Dirección General de Ingeniería de
Tránsito.
1.2.- NORMATIVA SOBRE TRÁMITE DE INFORMES
De acuerdo con lo dispuesto por la Contraloría General de la República, de
la Ley General de Control Interno N° 8292, se incorporan en este informe los
artículos siguientes, relacionados con el trámite de informes de auditoría.
“Artículo 36.-Informes dirigidos a los titulares subordinados. Cuando los informes
de auditoría contengan recomendaciones dirigidas a los titulares subordinados, se
procederá de la siguiente manera:
a)
El titular subordinado, en un plazo improrrogable de diez días hábiles
contados a partir de la fecha de recibido el informe, ordenará la implantación de
las recomendaciones. Si discrepa de ellas, en el transcurso de dicho plazo elevará
el informe de auditoría al jerarca, con copia a la auditoría interna, expondrá por
escrito las razones por las cuales objeta las recomendaciones del informe y
propondrá soluciones alternas para los hallazgos detectados.
2.-
Ministerio de Obras Públicas y Transportes
Auditoría General
Informe de Control Interno
No. AG-I-09-2015
b)
Con vista de lo anterior, el jerarca deberá resolver, en el plazo de veinte
días hábiles contados a partir de la fecha de recibo de la documentación
remitida por el titular subordinado; además, deberá ordenar la implantación de
recomendaciones de la auditoría interna, las soluciones alternas propuestas por el
titular subordinado o las de su propia iniciativa, debidamente fundamentadas.
Dentro de los primeros diez días de ese lapso, el auditor interno podrá
apersonarse, de oficio, ante el jerarca, para pronunciarse sobre las objeciones o
soluciones alternas propuestas. Las soluciones que el jerarca ordene implantar y
que sean distintas de las propuestas por la auditoría interna, estarán sujetas, en lo
conducente, a lo dispuesto en los artículos siguientes.
c) El acto en firme será dado a conocer a la auditoría interna y al titular
subordinado correspondiente, para el trámite que proceda.
Artículo 37.- Informes dirigidos al jerarca. Cuando el informe de auditoría esté
dirigido al jerarca, éste deberá ordenar al titular subordinado que corresponda,
en un plazo improrrogable de treinta días hábiles contados a partir de la fecha de
recibido el informe, la implantación de las recomendaciones. Si discrepa de tales
recomendaciones, dentro del plazo indicado deberá ordenar las soluciones
alternas que motivadamente disponga; todo ello tendrá que comunicarlo
debidamente a la auditoría interna y al titular subordinado correspondiente.
Artículo 38.- Planteamiento de conflictos ante la Contraloría General de la
República. Firme la resolución del jerarca que ordene soluciones distintas de las
recomendadas por la auditoría interna, ésta tendrá un plazo de quince días
hábiles, contados a partir de su comunicación, para exponerle por escrito los
motivos de su inconformidad con lo resuelto y para indicarle que el asunto en
conflicto debe remitirse a la Contraloría General de la República, dentro de los
ocho días hábiles siguientes, salvo que el jerarca se allane a las razones de
inconformidad indicadas.
La Contraloría General de la República dirimirá el conflicto, en última instancia, a
solicitud del jerarca, de la Auditoría Interna o de ambos, en un plazo de treinta
días hábiles, una vez completado el expediente que se formará al efecto. El
hecho de no ejecutar injustificadamente lo resuelto en firme por el órgano
contralor dará lugar a la aplicación de las sanciones previstas en el Capítulo V de
la Ley Orgánica de la Contraloría General de la República, N°7428, de 7 de
setiembre de 1994.
Artículo 39.- Causales de responsabilidad administrativa. El jerarca y los titulares
subordinados incurrirán en responsabilidad administrativa y civil, cuando
corresponda, si incumplen injustificadamente los deberes asignados en esta Ley,
sin perjuicio de otras causales previstas en el régimen aplicable a la respectiva
relación de servicios.
El jerarca, los titulares subordinados y los demás funcionarios públicos, incurrirán en
responsabilidad administrativa, cuando debiliten con sus acciones el sistema de
control interno u omitan las actuaciones necesarias para establecerlo,
mantenerlo, perfeccionarlo y evaluarlo, según la normativa técnica aplicable.
(…)”
3.-
Ministerio de Obras Públicas y Transportes
Auditoría General
Informe de Control Interno
No. AG-I-09-2015
1.3.- OBJETIVOS
1.3.1.- OBJETIVO GENERAL
Analizar la funcionalidad técnica y operativa de los Recursos Informáticos
del MOPT puestos a disposición de la Dirección General de Ingeniería de
Tránsito.
1.3.2.- OBJETIVOS ESPECÍFICOS
1.3.2.1.- Verificar los Recursos Informáticos (Hardware y Software) que
tiene la Dirección de Ingeniería de Tránsito.
1.3.2.2.- Verificar el uso y funcionamiento de los Recursos Informáticos de
la Dirección General de Ingeniería de Tránsito, en cumplimiento con la
normativa relacionada con TI.
1.3.2.3.- Verificar la atención recibida de la Dirección de Informática en
los reportes de incidencias por problemas relacionados con los Recursos
Informáticos de la Dirección de Ingeniería de Tránsito.
1.4.- ALCANCE DEL ESTUDIO
El estudio comprende el análisis y revisión de los Recursos Informáticos del
MOPT puestos a disposición de la Dirección General de Ingeniería de
Tránsito de 2013 a la fecha.
1.5.- PROCEDIMIENTOS EJECUTADOS
El procedimiento utilizado para alcanzar los objetivos propuestos en este
estudio comprende la metodología establecida en el Manual de Normas
General de Auditoría para el Sector Público (Aprobado mediante
Resolución del Despacho de la Contraloría General de la República, N° RCO-94-2006 del 17 de noviembre, 2006), que contempla el uso de las
siguientes técnicas:




Análisis y revisión del marco normativo.
Revisiones selectivas.
Entrevistas y consultas.
Recolección de información.
4.-
Ministerio de Obras Públicas y Transportes
Auditoría General
Informe de Control Interno
No. AG-I-09-2015
1.6.- NORMATIVA APLICABLE
El presente estudio se realizó de conformidad con lo dispuesto en la Norma
No. 1.3.3 de las Normas para el Ejercicio de la Auditoría Interna en el Sector
Público, mediante la aplicación de:
 Ley General de Control de Interno Nº 8292.
 Normas de Control Interno para el Sector Público (N-2-2009-CO-DFOE),
publicado en la Gaceta No. 26 del 26 de enero de 2009.
 Normas para el Ejercicio de la Auditoría Interna en el Sector Público
(R-DC-064-2014).
 Normas Institucionales de Seguridad de la Información.
 Sistema de Información Organizacional (SIOR).
 Normas Técnicas para la Gestión y el Control de las Tecnologías de
Información (N-2-2007-CO-DFOE), normativa que rige a partir del 31
de julio de 2007.
1.7.- COMUNICACIÓN DE RESULTADOS
En atención a lo señalado en la Norma N° 205 (Comunicación de
Resultados) del Manual de Normas Generales de Auditoría para el Sector
Público, el 19 de marzo del año en curso, se remitió borrador del informe en
formato digital, a la Dirección de Ingeniería de Tránsito, convocando para
la discusión de resultados, el día 23 de marzo de 2015 a las 10:00 a.m. horas
en la Auditoría General.
1.8.- RIESGO
Nivel de Riesgo:
De acuerdo con lo establecido en el Manual de Normas Generales de
Auditoría para el Sector Público (NGASP), específicamente en el inciso c)
del punto 05 de la Norma 203, para efectos de sus estudios, las Auditorías
Internas deben considerar los resultados de la valoración del riesgo, para
este caso se tomó en cuenta tanto Las normas técnicas para la Gestión y el
Control de las Tecnologías de Información como las sanas prácticas
propuestas por COBIT que hacían referencia a lo dictaminado por la norma
de TI.
Por lo cual esta Auditoría efectuará el análisis respectivo con el propósito de
emitir recomendaciones encaminadas a subsanar cualquier deficiencia
detectada en el sistema de control interno o en el cumplimiento de las
normas técnicas de TI, para así disminuir ese riesgo.
5.-
Ministerio de Obras Públicas y Transportes
Auditoría General
Informe de Control Interno
No. AG-I-09-2015
Debido a que no se había evaluado con anterioridad el funcionamiento de
los Recursos Informáticos en la Dirección de Ingeniería de Tránsito, el riesgo
se determina como alto.
Los riesgos encontrados, como parte de la evaluación se citan a
continuación:
Dirección
del MOPT
Normas de TI
Componente
COBIT
 Administración de
Recursos de TI
 Gestión
Calidad
de
 Manejo
incidentes
Dirección
Ingeniería de
Tránsito
la
de
 Gestión
de
Seguridad de la
Información
 Administración de
datos
 Obligaciones
gestión de TI
de
 Administración
de
Recursos
de TI
 Administración
de Calidad
 Garantizar la
Seguridad de
los Sistemas
 Administración
de los datos
 Garantizar el
cumplimiento
de TI
Riesgo de TI
Ponderación
 Buen
funcionamiento
de la plataforma
 Interrupciones
operativas
 Respaldos de la
información
 Desecho
activos
informáticos
de
Alto
 Digitalización de
la información
 Seguridad de la
información
Fuente: Valoración del riesgo de la Auditoría.
De acuerdo con la metodología establecida, el riesgo a nivel de procesos
se mide de acuerdo con su nivel de cumplimiento, el cual se establece en
función de los estudios de control interno, advertencias, denuncias,
cumplimiento de recomendaciones y demás estudios de carácter especial.
NIVEL DE CUMPLIMIENTO
Ponderación
Rango inferior
Rango superior
Alto
Medio
Bajo
0
4
7
3
6
10
6.-
Ministerio de Obras Públicas y Transportes
Auditoría General
2.-
Informe de Control Interno
No. AG-I-09-2015
RESULTADOS
Producto del análisis documental, entrevistas, revisión física relacionada con
el tema de los Recursos Informáticos del MOPT puestos a disposición de la
Dirección de Ingeniería de Tránsito, se determinó lo siguiente.
2.1.- Generalidades de la Dirección de Ingeniería de Tránsito
La Dirección de Ingeniería de Tránsito surgió del Departamento de
Ingeniería de Tránsito, debido a la necesidad de tecnificar, mejorar, vigilar,
controlar y regular el tránsito y el transporte en el territorio nacional (Decreto
Ejecutivo No. 8625-T, publicando en La Gaceta No. 115 del 16 de junio de
1978).
Casi un año después, el 25 de mayo de 1979 se creó “La Ley de
Administración Vial” (Ley 6324), según La Gaceta No. 97, que regulará lo
concerniente al tránsito de personas, vehículos y bienes en la red de
caminos públicos, así como aspectos de Seguridad Vial y de la
Contaminación Ambiental causada por los vehículos automotores.
El objetivo que deberá alcanzar será procurar que las vías públicas del país
cuenten con los requerimientos técnicos adecuados en materia de
Seguridad Vial. Los servicios que presta son a nivel nacional e involucra a la
Dirección General, direcciones regionales o sedes, corredores y
destacados.
La Dirección de Ingeniería de Tránsito cuenta en la actualidad con la
siguiente estructura:
Organigrama de la Dirección General de Ingeniería de Tránsito
Planeamiento Administrativo
DIT-13
Fuente: Sistema de Información Organizacional (SIOR)
7.-
Ministerio de Obras Públicas y Transportes
Auditoría General
Informe de Control Interno
No. AG-I-09-2015
2.2.- Verificar los Recursos Informáticos (Hardware y Software) que tiene la
Dirección General de Ingeniería de Tránsito
La Dirección General de Ingeniería de Tránsito cuenta con recursos
informáticos que se le han proporcionado para la realización de sus tareas
operativas. Esas facilidades tecnológicas están compuestos tanto de:
 Hardware definido por la Real Academia Española (RAE) como el conjunto de
componentes que comportan la parte material o física de una computadora;
como de,
 Software definido en contraposición como los componentes lógicos o
intangibles de una computadora. La DGIT utiliza el SINAEP, SAEM, CITEC, SAI,
SIGEVA, Base de Datos Departamento de Estudios y Diseños.
Estos recursos le han sido provistos tanto por el Ministerio de Obras Públicas y
Transportes como por el Consejo de Seguridad Vial. Entre ellos encontramos,
estaciones de trabajo, Servidores, equipos de comunicaciones, entre otros.
Como parte de la información provista para la elaboración del Informe, se
detectaron las siguientes situaciones:
- Hay equipo informático para desecho, pero no ha sido removido desde
que se reportó, según consta en Oficios dirigidos a:
 COSEVI el 04 de diciembre de 2013 (DGIT-SD-346/12-2013); y al,
 MOPT el 04 de diciembre de 2013 (DGIT-SD-345/12-2013).
Equipo de Informática del MOPT para desecho
Fuente: Tomado en las visitas realizadas a la DGIT.
8.-
Ministerio de Obras Públicas y Transportes
Auditoría General
Informe de Control Interno
No. AG-I-09-2015
- La Dirección General de Ingeniería de Tránsito, envía información
actualizada del mediante el oficio DGIT-SD-043/03-2015, ya que a la hora
de realizar la verificación física del mismo por medio del oficio DGIT-SD233/08-2014, éste se encontraba desactualizado.
- Hasta finales de 2013 la Dirección de Ingeniería de Tránsito contaba con
el apoyo que les brindaba un técnico en informática, pero fue trasladado a
las oficinas de la Asesoría de Tecnologías de Información (ATI del COSEVI).
Esta situación fue comunicada a la Dirección de Informática, el 13 de mayo
de 2014 en el Oficio DGIT-0344-2014.
Nueva designación del técnico informático
Fuente: Corresponde a un extracto del Oficio original N° DGIT-0344-2014
Cabe mencionar que este funcionario que conoce bien la forma en que
está ordenada la red local, se pensiona a final de año, por lo que se debe
aprovechar su pericia antes que deje de laborar, para el traslado del
conocimiento.
Además de los escenarios expuestos también,
- Se desconoce la conformación y distribución de la red de la DGIT, a pesar
de ser un servicio provisto por la Institución, con el apoyo del Consejo de
Seguridad Vial, tal como se asegura en el Oficio de Informática 2015-078.
- La DGIT no cuenta con un Sistema de Archivo Digital, pese a la
importancia Institucional de la información que maneja. Esto contribuiría en
gran medida a brindar Seguridad a la Información que maneja la Institución
y permitiría tener respaldos en caso que los documentos físicos o
expedientes experimentaran algún tipo de deterioro físico o pérdida.
9.-
Ministerio de Obras Públicas y Transportes
Auditoría General
Informe de Control Interno
No. AG-I-09-2015
Al respecto, la Dirección de Ingeniería de Tránsito, expuso las necesidades
que se tenían en el Oficio DGIT-00144-2013 del 20 de febrero de 2013,
Digitalización de documentación impresa
Fuente: Corresponde a un extracto del Oficio original N° DGIT-00144-2013
- Se utiliza un repositorio para la información, almacenada en uno de los
Servidores (pero se desconoce en cuál) de los trabajos del Departamento
Administrativo, el Departamento de Estudios y Diseños, así como otros
Departamentos, donde se crearon carpetas y no todos tienen acceso, pero
no reciben ningún tipo de administración o mantenimiento. El respaldo de
información sólo se realiza en los Servidores.
- El Departamento de Estudios y Diseños utiliza información que ha sido
consignada en Access, pero a la que tiene acceso tanto el Jefe del
Departamento como la Secretaria.
La normativa interna se refiere al tema de los respaldos, en el Manual de
Políticas de Seguridad de la Información, en su POL-SH-00004 USO DE
UNIDADES DE RESPALDO DE LA INFORMACIÓN, indica:
“…
10.-
Ministerio de Obras Públicas y Transportes
Auditoría General
Informe de Control Interno
No. AG-I-09-2015
Para la información que generen los usuarios en sus actividades oficiales, sean
estas internas o externas a la institución, se debe utilizar los medios que
normalmente se encuentran instalados en los equipos, entre los que se puede
mencionar los quemadores de discos compactos y DVD, dispositivos USB,
Firewire, entre otros.
Por lo anterior, toda unidad que cuente con dispositivos para la realización de
respaldos debe velar porque se haga un uso adecuado de esos recursos,
utilizándolos únicamente para cumplir con los intereses de la Institución, y
tomando en cuenta las funcionalidades operativas del equipo.
Adicional debe guardarse las copias de la información que se reproduce en
ellos garantizando que las mismas sean almacenadas de manera segura.”
Las Normas Técnicas para la gestión y el control de las Tecnologías de
Información (N-2-2007-CO-DFOE), indican en el apartado 1.3 Gestión de
riesgos, para asegurar el buen funcionamiento de los servicios de TI:
“La organización debe responder adecuadamente a las amenazas que
puedan afectar la gestión de las TI.”
Conforme la propuesta de COBIT 4.1, el aumento del valor de las TI así
como su adecuado aprovechamiento se logra mediante la reducción del
riesgo, con la revisión de aspectos como:
- DS11 Administración de Datos,
“Mantener la integridad, exactitud, disponibilidad y protección de datos”
- DS12 Administración del Ambiente Físico,
“Proporcionar y mantener un ambiente físico adecuado para proteger los
activos de TI contra acceso, daño o robo”
- DS13 Administración de Operaciones,
“Cumplir con los niveles operativos de servicio para procesamiento de datos
programado, protección de datos de salida sensitivos y monitoreo y
mantenimiento de la infraestructura”
11.-
Ministerio de Obras Públicas y Transportes
Auditoría General
Informe de Control Interno
No. AG-I-09-2015
2.3.- Verificar el uso y funcionamiento de los Recursos Informáticos de la
Dirección General de Ingeniería de Tránsito, en cumplimiento con la
normativa de TI.
En cuanto al funcionamiento de los Recursos Informáticos, nos indica el
personal de la DGIT que:
- La atención de Soporte técnico, no es tan oportuna a problemas que
requieren atención inmediata. Al respecto se expuso la problemática que
experimentan debido a la constante pérdida de comunicación con los
servidores, que imposibilita el acceso de los usuarios a la información y la
forma como se atiende esta situación es reseteando físicamente los equipos
por medio del botón de apagado.
- El apoyo técnico que se ha brindado tanto del MOPT como de COSEVI, no
permite que se establezca una continuidad en el servicio.
- El personal existente en la DGIT no tiene mayor conocimiento informático
para atender adecuadamente incidentes técnicos cuando se presentan
inconvenientes con los Servidores o el mismo equipo de cómputo, por lo
que las soluciones que están utilizando pueden generar un problema más
serio que incida en la pérdida irrecuperable de un activo o de la misma
información, que se tiene desde hace años.
- En una visita realizada a las instalaciones donde se guardan los servidores,
en ese momento el aire acondicionado estaba dañado, lo que podía
incidir en la pérdida física de los equipos por sobrecalentamiento. En una
visita posterior se comprobó que ya había sido reparado el mismo, pero el
lugar donde se encuentran los servidores no tiene las condiciones
adecuadas para la adecuada custodiar de estos equipos.
- A finales del mes de febrero del año en curso, en una nueva visita
realizada, el mismo aire acondicionado, presentaba un problema de fuga
de agua, debido a que es un aire de confort y no de precisión, no
autorregula su temperatura, por esta razón en ocasiones forma escarcha
que se derrite, generando humedad.
12.-
Ministerio de Obras Públicas y Transportes
Auditoría General
Informe de Control Interno
No. AG-I-09-2015
Aire acondicionado
Fuente: Corresponde a visita realizada en el mes de febrero
- En una visita al Taller de Señales, se llegó a evidenciar que se manejan
registros de Inventarios en formato Excel, lo que supone una debilidad por la
inexistencia de controles adecuados para determinar la manipulación de la
información que se lleva.
Herramientas para el control de Entradas/Salidas
Inventario anual
Movimiento de materiales
Fuente: Corresponde a Plantillas proporcionadas por el Taller de Señales, utilizadas para llevar el
control de entradas y salidas
13.-
Ministerio de Obras Públicas y Transportes
Auditoría General
Informe de Control Interno
No. AG-I-09-2015
Estas situaciones ponen el riesgo el apartado 1.4 Gestión de la Seguridad de
la Información, de las Normas Técnicas para la gestión y el control de las
Tecnologías de Información (N-2-2007-CO-DFOE), donde refiere:
“La organización debe garantizar, de manera razonable, la confidencialidad,
integridad y disponibilidad de la información, lo que implica protegerla contra
uso, divulgación o modificación no autorizados, daño o pérdida u otras factores
disfuncionales.”
- Otro de los Departamentos analizados debido a la herramienta
informática que manejan, fue Semáforos que cuenta con el Sistema
encargado de administrar los controles de semáforos de cada intersección
denominado SIGA, que está en red con el Sistema Centralizado (también
utilizado para llevar la gestión de estos dispositivos) y se comunica con el
Centro de Control de Tránsito. El SIGA fue desarrollado en lenguaje Visual y
adquirido en el 2007 con la empresa SEMEX.
Cada Control de Semáforo funciona como un computador, en la
actualidad el sistema administra 321 intersecciones sólo en San José. La
interconexión Alajuela, Heredia y Cartago se realiza por medio del sistema
IQ Central, que cuenta con tecnología más avanzada, por esta razón y
debido a que el contrato de mantenimiento expira en mayo de este año,
se tomó la decisión de migrar la información del SIGA al IQ Central.
La adquisición del SIGA se hizo por medio de una contratación con el
COSEVI.
14.-
Ministerio de Obras Públicas y Transportes
Auditoría General
Informe de Control Interno
No. AG-I-09-2015
2.4.- Verificar la atención recibida en la Dirección de Informática de los
reportes de incidencias por problemas relacionados con los Recursos
Informáticos de la Dirección General de Ingeniería de Tránsito
Como parte de la información facilitada para la realización de éste estudio,
se llegó a determinar la existencia del “CONVENIO MARCO DE
COOPERACIÓN INTERINSTITUCIONAL PARA LA TRANSFERENCIA DEL
CONOCIMIENTO, INFORMACIÓN Y SISTEMAS EN MATERIA DE TECNOLOGÍA
DE LA INFORMACIÓN ENTRE EL MINISTERIO DE OBRAS PÚBLICAS Y
TRANSPORTES, EL CONSEJO DE SEGURIDAD VIAL, EL CONSEJO NACIONAL DE
VIALIDAD, EL CONSEJO DE TRANSPORTE PÚBLICO, EL CONSEJO NACIONAL
DE CONCESIONES Y EL CONSEJO DE AVIACIÓN CIVIL”, publicado en La
Gaceta N°188 del 11 de mayo de 2010, donde el artículo tercero expone el
objetivo de cooperación interinstitucional para, “…promover la
transferencia de conocimiento, intercambio de información, uso de
sistemas informáticos comunes y elementos de hardware, software y
telecomuniciones”, pero a pesar que el tercer párrafo del artículo cuarto de
los alcances de Convenio, habla de “contar con una colaboración técnica
recíproca, de manera que el personal técnico pueda realizar actividades
de soporte, donde existan equipos de dos o más Instituciones participantes
en este convenio”, (lo subrayado no corresponde al original).
Marco de Cooperación
Fuente: Convenio de colaborativo
Consultado el personal de la DGIT sobre las atenciones recibidas, manifiesta
que cada vez que se reporta un incidente relacionado con el equipo de
cómputo de la dependencia a la Dirección de Informática, a pesar de la
existencia del Convenio, no se atiende indicando que no es equipo de la
Institución.
15.-
Ministerio de Obras Públicas y Transportes
Auditoría General
Informe de Control Interno
No. AG-I-09-2015
En varias ocasiones la DGIT informa que reporta problemas de
comunicación y acceso a servicios internos provistos por la infraestructura
existente (Oficio 2015-078, 29 de enero de 2015) y solicita a la Dirección de
Informática su colaboración para lograr un manejo adecuado de la red
interna (DGIT-SV-2479-2014 del 7 de diciembre de 2014).
Pero tal como queda evidenciado, en una comunicación manejada vía
correo electrónico, personeros de la Dirección de Informática manifiestan
desconocer la red interna que maneja la DGIT, a pesar de ser el MOPT la
Institución
la
encargada
de
proveerles
los
servicios
de
internet/comunicaciones (Oficio 2015-078).
Para determinar el grado de conocimiento que tiene la Dirección de
Informática al respecto, se le realiza un cuestionamiento al Director
mediante el oficio AG-0870-2015, a lo que responde que ellos (la DGIT)
cuentan con una Unidad Informática desconcentrada y descentralizada,
por tanto no adscrita a mi representada y se desconocen los proyectos que
desarrolla. (Oficio de Informática 2015-203).
La respuesta motivó la posterior solicitud de aclaración a la Dirección de
Planeamiento Administrativo, quien respondió vía correo electrónico que la
DGIT no cuenta con una ninguna Unidad de Informática y que es la
Dirección de Informática, la responsable de brindarle soporte técnico, por
pertenecer al Ministerio de Obras Públicas y Transportes.
Las Normas Técnicas para la gestión y el control de las Tecnologías de
Información(N-2-2007-CO-DFOE-2), establece en el apartado 1.7
Cumplimiento de obligaciones relacionadas con la gestión de TI, que:
“La organización debe identificar y velar por el cumplimiento del marco jurídico
que tiene incidencia sobre la gestión de TI con el propósito de evitar posibles
conflictos legales que pudieran ocasionar eventuales perjuicios económicos y
de otra naturaleza.”
16.-
Ministerio de Obras Públicas y Transportes
Auditoría General
3.-
Informe de Control Interno
No. AG-I-09-2015
CONCLUSIONES
Luego de analizar los Recursos Informáticos del MOPT puestos a disposición
de la Dirección General de Ingeniería de Tránsito se concluye lo siguiente:
3.1.- La Dirección General de Ingeniería de Tránsito, ha manifestado en
varias oportunidades los constantes problemas que experimentan por la
inestabilidad con la red de comunicaciones, pero la misma Dirección de
Informática indica desconocer de qué forma está distribuida la red local de
comunicaciones, lo que representa riesgos de: operación al afectar las
labores que realizan los funcionarios, de capital de conocimiento debido al
desconocimiento que existe de la distribución de la red y de enlaces de
comunicaciones debido a la interrupción en las redes manifestada por los
usuarios. (ref. 2.2)
3.2.- La Dirección General de Ingeniería de Tránsito, indica la necesidad de
contar con un sistema para la digitalización de documentos, lo cual dada
la importancia de la labor que realiza, lo que brinda una medida de
seguridad en caso de algún siniestro que afecte la documentación física y
planos que maneja, previniendo su deterioro. La situación expuesta supone
un riesgo de asignación de recursos que se da en éste caso por la falta de
una herramienta que permita realizar la funcionalidad requerida, y el
acceso adecuado a la información. (ref. 2.2)
3.3.- La Dirección General de Ingeniería de Tránsito, indica realizar ciertos
respaldos en los Servidores directamente, pero es necesario retomar y
aplicar las notas técnicas de la Dirección de Informática, que hablan
acerca del respaldo de la información de las computadoras (como la STGB-NT-001-2014), donde se señalan los problemas que pueden presentar las
computadoras y eventualmente verse comprometida la información que
custodian, lo que puede llegar a representa un riesgo de disponibilidad en
caso de verse corrupta la información producto de un fallo eléctrico, virus,
etc. (ref. 2.2)
3.4.- La Dirección General de Ingeniería de Tránsito, no cuenta con personal
capacitado en informática para atender aquellas eventualidades que
reportan o demora en su atención, lo que representa un riesgo en el recurso
humano por la falta de conocimiento y habilidades de los funcionarios,
para desempeñar tareas relacionadas con soporte técnico que demandan
atención expedita. (ref. 2.3)
17.-
Ministerio de Obras Públicas y Transportes
Auditoría General
Informe de Control Interno
No. AG-I-09-2015
3.5.- La Dirección General de Ingeniería de Tránsito, tiene el cuarto de
Servidores pero el aire acondicionado presenta algunas dificultades (ya
expuesta: genera escarcha, gotea, no funciona), lo que puede ocasionar
un riesgo de integridad física de los equipos, debido al daño que pueden
materializarse, por la inestabilidad eléctrica o problemas con el aire
acondicionado. (ref. 2.3)
3.6.- El Taller de Señales, maneja formatos en Excel que por ser una
facilidad que ofrece el Office, no supone la existencia de bitácoras o pistas
de Auditoría que garanticen la trazabilidad de la información que se
registra, aunado a esto debido a un error humano se puede llegar a borrar
la información consignada, o corromper el archivo que se maneja hace
años. Para el registro de las señales tampoco, se tiene un campo que
permita registrar aquellas señales que han reingresado al Taller y son
reparadas y redistribuidos, lo cual desactualiza el Inventario que se lleva,
esto genera un riesgo de información porque en caso de no interpretarse
adecuadamente el orden que lleva el responsable de registrar esa
información, se puede hacer una interpretación equivocada de la realidad.
Debido a que se está realizando un estudio que tiene por finalidad la
evaluación del Sistema del Taller y la Bodega, por esta razón, en éste
apartado se menciona la situación encontrada pero no se emitirá ninguna
recomendación al respecto. El estudio se comunicó el Viernes 13 de marzo.
(ref. 2.3)
3.7.- La Dirección de Informática indica que la Dirección General de
Ingeniería de Tránsito tiene una Unidad de Informática desconcentrada,
pero luego de consultar a Planeamiento Administrativo, quedó evidenciado
que tal aseveración es incorrecta y corresponde a la Dirección de
Informática del MOPT atender las solicitudes de la DGIT.
3.8.- Hay equipo informático del MOPT (computadoras) reportado para
desecho, que a la fecha no ha sido retirado, esto provoca acumulación
innecesaria de activos que en algunos casos pueden seguir asignados a un
funcionario, lo que puede generar riesgo de pérdidas de activos,
desactualización del inventario y aumento en la obsolescencia de equipo
que puede ser destinado para otras funciones o dependencias. (ref. 2.2)
18.-
Ministerio de Obras Públicas y Transportes
Auditoría General
4.-
Informe de Control Interno
No. AG-I-09-2015
RECOMENDACIONES
De conformidad con los resultados y las conclusiones se emiten las
siguientes recomendaciones:
A LA DIRECCIÓN GENERAL DE INGENIERÍA DE TRÁNSTIO
4.1.- Realizar las gestiones necesarias en coordinación con la Dirección de
Informática del MOPT y la Asesoría de TI del MOPT para garantizar el
traslado de conocimiento efectivo del ex-funcionario informático que
colaboraba con el Soporte técnico a la DGIT, y generar un levantamiento
actualizado de la distribución de la red, así como los funcionarios que la
componen y los permisos que se tienen sobre las carpetas que existen en el
Servidor donde se realizan los respaldos, lo anterior en el plazo de 2 meses.
(ref. 3.1)
4.2.- Realizar las gestiones necesarias en coordinación con la Dirección de
Informática para contar con un sistema para la digitalización de la
información que maneja la Dirección de Ingeniería de Tránsito y que es de
interés Institucional, lo anterior en el plazo de 1 mes. (ref. 3.2)
4.3.- Realizar las gestiones necesarias para que el personal aplique
conforme sus necesidades los respaldos de información valorada como
importante o significativa de los departamentos de la DGIT, y verificar
eventualmente que se guardan de manera correcta y pueden ser
recuperados eficientemente en caso de algún imprevisto, para así contar
con información relevante para la operativa de la Dirección, lo anterior en
el plazo de 1 mes. (ref. 3.3)
4.4.- Realizar las gestiones necesarias para contar con el apoyo de un
funcionario que sirva de contraparte con Informática para canalizar
aquellos incidentes de Soporte reportados que demanden una atención
inmediata, se debe capacitar con los conocimientos necesarios para
realizar dicha tarea y coordinar con Informática las atenciones que realiza,
lo anterior en el plazo de 2 meses. (ref. 3.4)
4.5.- Realizar las gestiones necesarias en coordinación con la Dirección de
Informática del MOPT, para valorar la suficiencia física que brinda el cuarto
de Servidores de la DGIT para garantizar el buen funcionamiento del equipo
y prevenir daños ocasionados por la humedad, fluido eléctrico, etc., lo
anterior en el plazo de 1 mes. (ref. 3.5)
19.-
Ministerio de Obras Públicas y Transportes
Auditoría General
Informe de Control Interno
No. AG-I-09-2015
4.6.- Realizar las gestiones necesarias para solicitar que el equipo
informático sea debidamente valorado por el ente técnico competente y
desechado por el departamento correspondiente, lo anterior en el plazo de
1 mes. (ref. 3.8)
4.7.- Comunicar en un plazo de diez días, posteriores a la recepción del
presente informe, de acuerdo con lo que establece el artículo 36 de la Ley
General de Control Interno, las gestiones realizadas en atención a lo
recomendado.
A LA DIRECCIÓN DE INFORMÁTICA
4.8.-Comunicar a la Dirección de Ingeniería de Tránsito, la forma en que
atenderá cada una de las solicitudes de servicio realizadas por la DGIT. Lo
anterior en el plazo de quince días.(ref. 3.7)
4.9.- Comunicar en un plazo de diez días, posteriores a la recepción del
presente informe, de acuerdo con lo que establece el artículo 36 de la Ley
General de Control Interno, las gestiones realizadas en atención a lo
recomendado.
20.-