Tel.

(506) 2501-8000
Fax. (506) 2501-8100
http://www.cgr.go.cr Apto. 1179-1000, San Jos, Costa Rica
Correo Electrnico: contralora.general@cgr.go.cr
23 de marzo, 2011
AIG-008
Informe I-AIG-01-11



Licenciado
Miguel Aguilar Zamora
Jefe
Unidad de Tecnologas de Informacin

Estimado seor:
Asunto: Cuarto Informe contentivo de los resultados del estudio sobre el diseo de
sistemas en punto a su estructura de control
Esta Auditora Interna realiza un estudio sobre el diseo de sistemas en punto a su
estructura de control, a fin de verificar si las aplicaciones desarrolladas por la Unidad de
Tecnologa de Informacin (UTI), incluyen los controles adecuados y pertinentes que garanticen
la exactitud, integridad, oportunidad, autorizacin de entradas, procesamiento y salidas de la
informacin.
Al respecto es importante resaltar que el valor agregado pretendido por esta Auditora
Interna con el presente informe es promover la definicin e implantacin efectiva de estndares y
procesos que permitan rutinas de administracin de la calidad durante el desarrollo de sistemas.
Dicho estudio se realiza de acuerdo con las Normas Internacionales para el Ejercicio
Profesional de la Auditora Interna, el Manual de Normas Generales de Auditora para el Sector
Pblico y el Manual de Normas para el Ejercicio de la Auditora Interna en el Sector Pblico.
Especficamente el presente informe expone los resultados obtenidos de la evaluacin relativa a
la gestin de la calidad que respecto del desarrollo de sistemas ha efectuado la UTI y su alcance
comprende el perodo que va de julio del 2009 a diciembre de 2010, amplindose cuando se
estim necesario.

1. RESULTADOS
Como parte de las acciones emprendidas para la implementacin de las normas tcnicas
emitidas por esta Contralora General en materia de Tecnologas de Informacin
1
y, en particular,
para la gestin y aseguramiento de la calidad durante el desarrollo y evolucin de las soluciones
tecnolgicas, la UTI formul el documento denominado Marco General para la Gestin de la

1
Normas tcnicas para la gestin y el control de las Tecnologas de Informacin, publicada en la Gaceta No.
119 del 21/06/07 y con vigencia a partir de junio del 2008.

Lic. Miguel Aguilar Zamora 2 23 de marzo, 2011
Tel. (506) 2501-8000
Fax. (506) 2501-8100
http://www.cgr.go.cr Apto. 1179-1000, San Jos, Costa Rica
Correo Electrnico: contralora.general@cgr.go.cr
Calidad en TIC, segn consta en el informe intitulado Normas Tcnicas en Tecnologas de
Informacin y Comunicaciones, Informe final, Versin 1.0.0. Expresamente consigna ese
Marco que:
2.2.1 Generalidades /Para que el sistema opere consistentemente, se mantenga y
pueda mejorarse, se deben establecer, documentar e implantar, documentos que
incluyen:
a. Las declaraciones documentadas de una Poltica y objetivos de la calidad,
b. El presente Marco de Gestin de la Calidad,
c. Los documentos y procedimientos requeridos por la organizacin para asegurar la
planificacin, operacin y control efectivo de las actividades propias del proceso de
Gestin de tecnologas de informacin y comunicacin (El subrayado no consta en
el original).

El estudio realizado por esta Auditora Interna evidenci que si bien se formul ese Marco
General ste no ha sido debidamente implementado al igual que los procedimientos o rutinas de
registro formales que deben acompaar ese tipo de normativa para asentar de manera razonable
su cumplimiento y propiciar su mejoramiento continuo durante el desarrollo de sistemas; a lo
anterior se ana que no obstante en dicho informe se menciona la fecha a partir de la cual debera
ser aplicado no se determin su promulgacin y entrada en vigencia oficial.
Consecuentemente, tal condicin no garantiza que se realicen, segn lo previsto, cada uno
de los elementos propios del desarrollo de sistemas que ese Marco contempla en sus diversas
etapas. Sobre el particular es necesario sealar que en la revisin de expedientes de sistemas que
son posteriores a la fecha de emisin del informe Normas Tcnicas en Tecnologas de
Informacin y Comunicaciones, Informe final, Versin 1.0.0, contentivo del citado Marco, se
determinaron casos como los siguientes:
No consta la verificacin, mediante listas de cotejo que seala ese Marco, respecto
de las actividades relacionadas con el Diagnstico y Anlisis del Sistema.
No consta la aprobacin o visto bueno en diversos entregables derivados del
desarrollo de sistemas, por parte de los diferentes actores del desarrollo del sistema,
mediante la firma o un medio de control similar que consigna ese Marco.
Los expedientes revisados no consignaban el resultado de la ejecucin del plan de
pruebas que refiere el supracitado Marco. Cabe adicionar que a raz del presente
estudio la UTI realiz las gestiones para incorporar a los expedientes tal informacin,
la cual se encontraba en poder de los Lderes de Proyecto (usuarios) de las Unidades
Ejecutoras conformadas para el desarrollo.

Lic. Miguel Aguilar Zamora 3 23 de marzo, 2011
Tel. (506) 2501-8000
Fax. (506) 2501-8100
http://www.cgr.go.cr Apto. 1179-1000, San Jos, Costa Rica
Correo Electrnico: contralora.general@cgr.go.cr
Es preciso destacar que al no contarse con un sistema de gestin de la calidad instaurado,
no es viable realizar un monitoreo sistemtico que conlleve a una correccin de desviaciones de
calidad y a la retroalimentacin pertinente a los participantes en el desarrollo; situacin que
expone los sistemas a riesgos de efectividad y eficiencia siendo stos que alguna funcionalidad
no opere tal como estaba previsto o no permitan una utilizacin plena de recursos.
En relacin con lo anterior es pertinente indicar que las Normas tcnicas para la gestin y el
control de las Tecnologas de Informacin en diferentes numerales sealan:
1.2 Gestin de la calidad / La organizacin debe generar los productos y servicios
de TI de conformidad con los requerimientos de sus usuarios con base en un enfoque
de y mejoramiento continuo.
1.5 Gestiona de proyectos / La organizacin debe administrar sus proyectos de TI
de manera que logre sus objetivos, satisfaga los requerimientos y cumpla con los
trminos de calidad, tiempo y presupuesto ptimos preestablecidos.

Asimismo, las Normas de control interno para el Sector Pblico
2
son claras en el
establecimiento de las polticas y las actividades de control pertinentes para gestionar y verificar
la gestin de la calidad, segn lo expresa en el numeral siguiente:
1.9 Vinculacin del SCI con la calidad / El jerarca y los titulares subordinados,
segn sus competencias, deben promover un compromiso institucional con la calidad
y apoyarse en el SCI para propiciar la materializacin de ese compromiso en todas
las actividades y actuaciones de la organizacin. A los efectos, deben establecer las
polticas y las actividades de control pertinentes para gestionar y verificar la calidad
de la gestin, para asegurar su conformidad con las necesidades institucionales, a la
luz de los objetivos, y con base en un enfoque de mejoramiento continuo. (El
subrayado no consta en el original).

Por lo tanto, la definicin del Marco antes indicado, por s mismo, no aporta mayor valor a
la gestin de calidad, pues no obstante que es pilar fundamental, su puesta en operacin con la
instauracin de procedimientos formales, ejecutados de manera regular y estandarizada, es lo
que a la postre permite garantizar que la funcin de TI en el desarrollo de sistemas coadyuva a la
gestin institucional; permite la revisin, tanto interna como externa, de esa gestin y, por
consiguiente, la mejora continua.



2
Publicado en la Gaceta No. 26 del 06/02/09.

Lic. Miguel Aguilar Zamora 4 23 de marzo, 2011
Tel. (506) 2501-8000
Fax. (506) 2501-8100
http://www.cgr.go.cr Apto. 1179-1000, San Jos, Costa Rica
Correo Electrnico: contralora.general@cgr.go.cr
2. CONCLUSIN
El establecimiento de un estndar de calidad y sus respectivos procedimientos debidamente
implementados para el desarrollo de sistemas de la UTI, permite fortalecer la cultura y promover
una efectiva gestin de calidad y, deviene en factor coadyuvante para garantizar razonablemente
el cumplimiento de todas y cada unas de las etapas propias del ciclo de vida de desarrollo, con lo
cual se minimiza a su vez la posibilidad de que se presenten omisiones de requisitos o ausencias
de componentes claves en los expedientes de sistemas que constituyen la evidencia sustancial del
descargo de las responsabilidades tanto de funcionarios de esa Unidad como de los usuarios que
conforman las unidades ejecutoras. Consecuentemente, se precisa de la efectiva implementacin
del sistema de gestin de calidad que fuera identificado, en su oportunidad, por la misma
Administracin como una de las respuestas a las normas tcnicas vigentes en materia de
Tecnologas de Informacin.

3. RECOMENDACIONES A LA UNIDAD DE TECNOLOGAS
DE INFORMACIN
Con el objetivo de normalizar la situacin sobre la normativa y los procedimientos de
control de calidad; al efecto de coadyuvar en la mejora continua del proceso de desarrollo de
sistemas y teniendo como valor agregado promover la definicin e implantacin efectiva de
estndares y procesos que permitan rutinas de administracin de la calidad, esta Auditora
recomienda a esa Jefatura lo siguiente:
3.1 Efectuar las diligencias que correspondan, segn sus competencias, para la
promulgacin oficial y vinculante de un marco de gestin de la calidad de TIC el cual
proveer una plataforma bsica para dotar de un enfoque institucional, estndar y
formal de esa gestin y coadyuvar a la evolucin progresiva del mismo.
3.2 Definir formalmente los procedimientos por medio de los cuales se propiciar la
ejecucin del marco de gestin de la calidad de TIC incluyendo las pistas
documentales pertinentes que se debern generar ya sea de tipo electrnico o manual.
3.3 Establecer los responsables que, en adelante, debern monitorear los procedimientos,
y realizar la optimizacin permanente del sistema de gestin de calidad en los
diferentes proyectos de desarrollo.

Es de especial relevancia manifestar que esa Jefatura dispone de un plazo improrrogable de
10 das hbiles contados a partir de la fecha de recibo del presente informe para ordenar la
implantacin de tales recomendaciones, segn lo establecen expresamente los artculos Nos. 42
del Reglamento de Organizacin y Funcionamiento de la Auditora Interna y 36 de Ley General
de Control Interno, el cual regula tambin los dems mecanismos procedimentales a seguir para
los informes de auditora dirigidos a los titulares subordinados en caso de discrepancia.

Lic. Miguel Aguilar Zamora 5 23 de marzo, 2011
Tel. (506) 2501-8000
Fax. (506) 2501-8100
http://www.cgr.go.cr Apto. 1179-1000, San Jos, Costa Rica
Correo Electrnico: contralora.general@cgr.go.cr
Asimismo que, el artculo No. 39 de dicha Ley establece las posibles responsabilidades en que se
puede incurrir por el incumplimiento injustificado de los deberes asignados.
De aceptarse las recomendaciones giradas, esa Gerencia deber proporcionar en los
prximos 15 das hbiles contados a partir del da siguiente del recibo del presente informe, el
plazo que estima demandar su implantacin, para que de conformidad con la normativa que rige
la disciplina de auditora, esta Auditora lleve a cabo el correspondiente seguimiento. De igual
forma copia de los documentos contentivos de las acciones e instrucciones giradas por esa
Gerencia de Divisin, para ordenar la implantacin de las recomendaciones contenidas en el
presente documento.
Asimismo, de conformidad con el artculo 40 y 41 del Reglamento de Organizacin y
Funcionamiento de la Auditora Interna, vigente a partir del 28 de agosto de 2007, el borrador del
presente informe fue remitido a esa Unidad
3
, con la finalidad de propiciar una mayor
comprensin y anlisis de su contenido y brindar un debido soporte a los comentarios por
realizar. Dicha reunin se realiz el 22 de este mes con usted y los licenciados Jorge Garnier
Rovira y Jorge Len Rodrguez, Fiscalizadores de esa Unidad, en la cual se discutieron los
asuntos expuestos en este informe, del cual -se deja constancia- no se presentaron observaciones
por escrito.

Atentamente,




Licda. Cira Vargas Pea
Auditora Interna











CVP/yrg

Ci Archivo

3
Mediante oficio No. AIG-006 del 16/03/11.