Señor
Xxx Xxxx, 00 de octubre de 2019
DCC-TI-SFE-001
Señor
Licenciado
XXXXX XXXXXXX XXXXXXX
Auditor Interno
Servicio Fitosanitario del Estado (SFE) Estimado Licenciado:
De acuerdo con los términos de la contratación administrativa 2019CD-000006- 0090100001, promovida por la dependencia a su cargo, a través de la Proveeduría Institucional del Servicio Fitosanitario del Estado; denominada “Servicios de auditoría interna para realizar una auditoría de sistemas de información”, nos permitimos adjuntarle el informe final que contiene los resultados del estudio de auditoría; el cual incluye los productos requeridos por la citada contratación.
El presente trabajo ha sido realizado con base en los términos especificados en el cartel relativo a la referida contratación y de acuerdo con el desarrollo del programa de trabajo presentado por nuestra representada.
Las observaciones del presente informe no van dirigidas a funcionarios o empleados en particular, sino únicamente tienden a fortalecer el sistema de control interno y los procedimientos relacionados con las tecnologías de información.
XXXXX XXXXXXX XXXXXXXXXX
Firmado digitalmente por XXXXX XXXXXXX XXXXXXXXXX XXXXXXX (FIRMA)
Xxxxxx Xxxxxxx
Firmado digitalmente por Xxxxxx Xxxxxxx Xxxxxxx
XXXXXXX (FIRMA) Fecha: 2019.10.25
14:23:43 -06'00'
Xxxxxxx
Fecha: 2019.10.25
13:01:41 -06'00'
Lic. Xxxxxxx Xxxxxxxxxx Xxxxxxx Máster Xxxxxx Xxxxxxx Xxxxxxx Contador Público Autorizado No. 5607 Gerente de Auditoría de TI
Xxxxxx xx Xxxxxxxxx Xx. 0000 FIG 7 CISA #1189851 Vence el 30 de setiembre del 2019
MINISTERIO DE AGRICULTURA Y GANADERÍA SERVICIO FITOSANITARIO DEL ESTADO
INFORME DE AUDITORíA N° AI-SFE-SA-INF-005-2019
AUDITORÍA DE SISTEMAS DE INFORMACIóN
OCTUBRE 2019
Índice
1.5 Periodo de realización del estudio 9
1.6 Limitaciones del estudio 10
1.7 Normativa técnica aplicada al estudio 10
1.8 Comunicación de resultados 10
Capítulo II: Resultados (Hallazgos) 11
2.1 Cumplimiento parcial de la metodología para la gestión de proyectos de TI en el desarrollo del sistema de nómina, activos fijos e inventario de suministros (OPTEC) 11
2.2 Ausencia de criterios formales para definir los proyectos estratégicos en TI para el SFE 16
2.3 Ausencia de un procedimiento formal para definir la usabilidad de los sistemas de información 18
2.4 No se cuenta con lineamientos para regular la práctica de revisión de las bitácoras de los sistemas de información a nivel del SFE 21
2.5 El Sistema de Registro de Importadores (SIREIM) no está siendo utilizado por las áreas usuarias. 24
2.6 No cumplimiento de recomendaciones emitidas por la Auditoría Interna del SFE.
2.7 Existencia de cuentas de usuario activas de funcionarios que cesaron funciones en el SFE 31
2.8 Inconsistencias identificadas en las bases de datos Fitos_CertEspeciales, MORI, SAUDE, SICA, SICOIN, SIDEX, XXXXXX y SISOAR 34
Capítulo III: Asuntos por informar 38
3.1 Sobre el nivel de cumplimiento de la metodología TI-MT-03 y de los procedimientos de desarrollo de software en los expedientes “Sistema de impresión de certificados fitosanitarios para exportación fuera del SIVUCE 2.0”, “Solicitudes de certificación especial”, “Aplicación móvil consulta de exportador”, “Sistema de consultas de estadísticas de importación”, “XXXXXX” y “SISOAR”. 38
4.1 Inconsistencias encontradas en las bases de datos 41
Resumen ejecutivo
De acuerdo con el Plan Anual de Labores de la Auditoría Interna del presente período, se realizó el estudio especial mediante la contratación de “Servicios de auditoría interna para realizar una auditoría de sistemas de información”.
Considerando los resultados obtenidos, se determinaron 8 hallazgos, que informan en términos generales sobre los siguientes aspectos:
1. Se determinó un cumplimiento parcial del procedimiento para la gestión de proyectos de TI en el proyecto de desarrollo de nómina, activos fijos e inventario de suministros. Ver detalle en el Hallazgo 2.1.
2. Se identificó la carencia de criterios para definir qué proyectos son considerados estratégicos para el SFE, de modo que la Comisión de TI pueda dar seguimiento a estos de acuerdo con lo establecido en el reglamento. Ver detalle en el Hallazgo 2.2.
3. No se cuenta con un procedimiento formalmente establecido para la verificación de la usabilidad de los sistemas de información del SFE. Ver detalle en el Hallazgo 2.3.
4. Se determinó la ausencia de lineamientos formales para la revisión de las bitácoras de los sistemas de información por parte de las áreas usuarias. Ver detalle en el Hallazgo 2.4.
5. Se identificó que el sistema SIREIM no está siendo utilizado por parte de las áreas usuarias, no obstante, se han realizado gestiones para identificar qué información se debe migrar al mismo, así como la que se debe ingresar manualmente. Ver detalle en el Hallazgo 2.5.
6. Existen recomendaciones que aún no han sido atendidas, o bien, aún están en proceso de implementación por lo cual no se ha cumplido con los plazos establecidos. Ver detalle en el Hallazgo 2.6.
7. Se evidenció la existencia de cuentas de usuario activas que pertenecen a exfuncionarios del SFE. Ver detalle en el Hallazgo 2.7.
8. Se identificó la existencia de inconsistencias en la información almacenada en las bases de datos del SFE, entre ellas, datos de prueba, información no significativa o información no coherente, datos faltantes, entre otras. Ver detallen en el Hallazgo 2.8.
Se evidenció el no cumplimiento total de la metodología para la gestión de proyectos de TI, específicamente para los proyectos Sistema de impresión de certificados fitosanitarios para exportación fuera del SIVUCE 2.0, Solicitudes de certificación especial, Aplicación móvil consulta de exportador, Sistema de consultas de estadísticas de importación, XXXXXX y SISOAR. Ver detalle en el Capítulo III: Asuntos por informar.
Capítulo I: Introducción
1.1 Origen del estudio
Mediante oficio AI SFE 045-2019 del 15 xx xxxxx del año 2019, se comunicó a la Unidad de Tecnologías de Información la realización del estudio el cual forma parte del Plan Anual de Labores de la Auditoría Interna del Servicio Fitosanitario del Estado (SFE) para el año 2019. Como parte de dicho plan, se destinaron recursos para realizar el estudio especial de auditoría orientado a “Servicios de auditoría interna para realizar una auditoría de sistemas de información”.
1.2 Objetivos del estudio
1.2.1 Determinar si la gestión asociada al desarrollo (interno y externo) de los sistemas de información objeto de fiscalización, se realizó en apego a los estándares y mecanismos de control implementados por la Unidad de Tecnologías de la Información (UTI) del Servicio Fitosanitario del Estado (SFE).
1.2.2 Determinar la calidad de la información almacenada en las bases de datos de los sistemas de información que se encuentran en producción y que son objeto de fiscalización.
1.2.3 Verificar la gestión emprendida por la administración en la atención de recomendaciones contenidas en informes de períodos anteriores.
1.2.4 Medir la percepción de los usuarios respecto a:
a. La calidad del servicio brindado por la UTI con respecto a la gestión vinculada con el desarrollo y soporte técnico (en fase de producción) relativa a los sistemas de información sujetos a fiscalización.
b. La calidad sobre el funcionamiento de los sistemas de información sujetos a fiscalización.
1.3 Alcance del estudio
El alcance del estudio comprendió los siguientes aspectos:
Objetivo | Alcance |
1.2.1 | 1.3.1 Verificar si los sistemas de información automatizados que se encuentran en producción y que se describen seguidamente, se gestionaron en apego a las regulaciones internas implementadas por la UTI: • Sistema de Solicitud de Certificados Fitosanitarios para exportación fuera del SIVUCE 2.0 • Solicitudes de Certificación Especial • Aplicación móvil- Consulta de Exportador • Sistema de Consultas de Estadísticas de importación • Xxxxxx (Laboratorio de Diagnostico) • SICOAR |
1.2.1 | 1.3.2 Verificar si los sistemas de información automatizados, que corresponden a proyectos de TI, a través de desarrollo externo, los cuales se describen seguidamente, se gestionaron en apego a las regulaciones internas implementadas por la UTI (se auditará hasta la etapa de desarrollo en que se encuentra cada sistema, así mismo se verificará la existencia de expediente de ejecución contractual debidamente conformado y actualizado, mediante los cuales se haya ejercido control con respecto a los términos de referencia relacionados con dichos procesos de contratación administrativa). • Sistema de planillas de Pagos • Sistema de Control de Activos • Sistema de inventario de suministros |
1.2.1 | 1.3.3 Verificar el nivel de participación de la Comisión de Tecnologías de la Información y de la UTI, con respecto a los proyectos de TI relacionados con los sistemas de información descritos en los numerales 3.1 y 3.2 relativos al alcance del estudio; para lo cual se deberá revisar el libro de actas que soporta la gestión de este órgano colegiado. |
1.2.1 | 1.3.7 Verificar la condición en que se encuentra el desarrollo externo del sistema Registro de Agroquímicos en Línea-ICE; situación que debe permitir determinar si ese proyecto de TI se ha desarrollado satisfactoriamente o si el mismo está presentando inconvenientes para su desarrollo y posterior entrada en producción; en este último caso, se deberán identificar las causas que están generando dicha situación. Este aspecto tiene relación con recomendaciones a las cuales se le debe dar seguimiento. |
1.2.1 | 1.3.8 Verificar la condición en que se encuentra el funcionamiento del Sistema de Registro de Importadores (SIREIM), proyecto que corresponde a un desarrollo interno; situación que debe permitir determinar si el mismo se encuentra en producción y operando |
satisfactoriamente; caso contrario, se determinen las casusas que estén generando inconvenientes para el uso efectivo de ese sistema | |
1.2.2 | 1.3.4 Validar la actualización y la calidad de la información almacenada en las bases de datos de los sistemas que se describen en el cuadro siguiente: • Sistema de Solicitud de Certificados Fitosanitarios para exportación fuera del SIVUCE 2.0 • Registro de exportadores (SIDEX) • Solicitudes de Certificación Especial • Aplicación móvil- Consulta de Exportador • SICA • SICOIN • Registro de firmas para FRF • Sistema de Consultas de Estadísticas de importación • Monitoreo del control de residuos de plaguicidas para importación (MORI) • SAUDE • Xxxxxx (Laboratorio de Diagnostico) • SISOAR |
1.2.2 | 1.3.5 Verificar si los respaldos asociados a los sistemas descritos en el numeral 3.4 del alcance del estudio, se realizaron en apego a las regulaciones internas establecidas por la UTI para esos efectos. Lo anterior debe considerar, la verificación del último respaldo que fue realizado, a efecto de validar la calidad del mismo. |
1.2.2 | 1.3.6 Verificar la aprobación e implementación de lineamientos y/o prácticas administrativas orientadas a la revisión de las bitácoras de los sistemas de información descritos en el numeral 3.4 del alcance del estudio; gestión que esté destinada, a que se realicen de forma periódica y que se puedan detectar oportunamente los comportamientos atípicos de los sistemas que podrían afectar la integridad de la información. |
1.2.3 | 1.3.9 Verificar la efectividad de la gestión emprendida por la administración con relación a las siguientes recomendaciones: • Recomendación 2.6.1.6.3 contenida en el informe de auditoría AI-SFE-SA-INF-003-2013 comunicado con oficio AI SFE 250-2013. • Recomendaciones 2.5.6.1, 2.25.6.1, 2.25.6.2, 2.25.6.3, 2.25.6.4 y 2.25.6.5 contenidas en el informe de auditoría AI-SFE-SA-INF-006- 2015 comunicado con oficio AI SFE 010-2016. • Recomendaciones 2.5.6.1 y 2.5.6.2 contenidas en el informe de auditoría AI-SFE-SA-INF-002-2016 comunicado con oficio AI SFE 137-2016. • Recomendaciones 2.3.6.3, 2.3.6.4, 2.9.6.4, 2.12.6.3, 2.12.6.4, 2.12.6.5, 2.13.6.1, 2.14.6.1, 2.14.6.2, 2.14.6.3, 2.15.6.1, 2.16.6.1, 2.16.6.2, 2.16.6.3, 2.17.6.1, 2.21.6.1, 2.21.6.3, 2.22.6.1, 2.22.6.2, 2.22.6.3, 2.22.6.4, 2.22.6.5, 2.23.6.1, 2.23.6.2 y 2.23.6.3, |
contenidas en el informe de auditoría AI-SFE-SA-INF-005-2017 comunicado con oficio AI SFE 193-2017. | |
1.2.4.a | 1.3.10 Conocer el nivel de satisfacción de los usuarios internos, que han solicitado a la Unidad de TI, el desarrollo (interno o externo) de sistemas informáticos en términos de calidad del servicio; específicamente con relación a los sistemas de información descritos en los numerales 3.1 y 3.2 del alcance del estudio. (muestra representativa). |
1.2.4.b | 1.3.11 Medir la percepción de la calidad con relación al funcionamiento de los sistemas informáticos descritos en el numeral 3.4 del alcance del estudio, mediante la aplicación de una encuesta dirigida a los usuarios (muestra representativa). |
1.4 Metodología aplicada
El enfoque general que utilizamos para llevar a cabo esta evaluación, se enmarcó dentro de las normas para el ejercicio de la auditoría interna en el sector público costarricense, reglamento de organización y funcionamiento de la auditoría interna del SFE, técnicas para la gestión y control de las tecnologías de la información emitidas por la Contraloría General de la República, apoyándose en la aplicación de las mejores prácticas a nivel de la valoración de riesgos e implementación de controles en las estructuras funcionales, operativas y estratégicas de Tecnología de Información.
Para el desarrollo del trabajo de campo, empleamos una variedad de instrumentos metodológicos, dentro de los que destacan los siguientes:
• Delimitación del marco conceptual, legal, administrativo, organizacional y de ejecución por medio del cual se efectuó la evaluación.
• Aplicación de técnicas y normas de auditoría, aplicables al objeto de esta contratación.
• Identificación y obtención de documentación que resultó relevante para la evaluación.
• Cuestionarios dirigidos a los responsables de la administración y ejecución de las acciones establecidas en los términos de referencia.
• Entrevistas con personal clave, que permitió obtener información de los aspectos y actividades funcionales que no estén documentados.
• Otras técnicas, herramientas o métodos que resulten necesarias para mejorar la comprensión o el análisis de la información obtenida, utilizados según criterio profesional de los auditores asignados a este proyecto.
1.5 Periodo de realización del estudio
Del 00 xx xxxx xxx 0000 xx 00 xx xxxxxxxxx xxx 0000.
1.6 Limitaciones del estudio
1.6.1 El sistema Registro de firmas para FRF no está siendo utilizado dado que se retiró de producción oficialmente por la Unidad de Tecnologías de Información apoyándose con la justificación brindada por el Departamento de Control Fitosanitario. Debido a lo anterior, no se evaluaron las bases de datos de este sistema según el alcance 1.3.4 del presente estudio, ni se consideró dentro del cuestionario del alcance 1.3.11.
1.7 Normativa técnica aplicada al estudio
Se observará en la ejecución del estudio de auditoría, las regulaciones contenidas en las “Normas para el Ejercicio de la Auditoría Interna en el Sector Público", "Manual de Normas Generales de Auditoría para el Sector Público" (ambos documentos emitidos por la Contraloría General de la República) y el Reglamento de Organización y Funcionamiento de la Auditoría Interna del Servicio Fitosanitario del Estado (Decreto Ejecutivo N º 36356-MAG); así como en lo aplicable, el estudio se soportó en las buenas prácticas implementadas por el Contratista, que regulan su quehacer profesional.
1.8 Comunicación de resultados
El día 24 de octubre de 2019 se realizó la denominada Conferencia Final de Resultados, por parte de la administración activa participaron:
Ing. Xxxx Xxxxxxxx Xxxxx, Subdirectora SFE
Lic. Xxxxxx Xxxxxx Xxxxxx, Jefe de la Unidad de Tecnologías de Información Licda. Xxxxxxxx Xxxxx Xxxxxx, Jefe Departamento Administrativo y Financiero Ing. Xxxx Xxxxxxxxxx Xxxxxx, Jefe Departamento de Certificación Fitosanitaria
Ing. Xxxxxx Xxxxxx Xxxxxxxxx, Jefe Ventanilla Única, Departamento de Control Fitosanitario Ing. Xxxx Xxxxxx Xxxxxxx, Desarrollo de Sistemas, UTI
Ing. Xxxxxx Xxxxxxx Xxxxxxx, Control Interno, Unidad de PCCI Licda. Xxxxxx Xxxx Xxxx, Proyectos, Unidad de PCCI
Capítulo II: Resultados (Hallazgos)
2.1 Cumplimiento parcial de la metodología para la gestión de proyectos de TI en el desarrollo del sistema de nómina, activos fijos e inventario de suministros (OPTEC).
2.1.1 Criterio
2.1.1.1 Ley General de Control Interno N° 8292, artículo 16 - Sistemas de información.
2.1.1.2 Normas técnicas para la gestión y el control de las tecnologías de información (N-2-2007-CO-DFOE), numeral 1.5 Gestión de proyectos.
2.1.1.3 Normas de Control Interno para el Sector Público (N-2-2009-CO-DFOE), numeral 5.4 Gestión documental.
2.1.1.4 Marco de referencia de Objetivos de Control para Información y Tecnologías Relacionadas (COBIT versión 5), procesos BAI01 Gestión de Programas y Proyectos y APO01 Gestionar el Marco de Gestión de TI, objetivo de control APO01.08 Mantener el cumplimiento con las políticas y procedimientos.
2.1.1.5 Procedimiento de Ejecución de Proyectos de Tecnología Información para el Servicio Fitosanitario del Estado, código TI-PO-02.
2.1.2 Condición
2.1.2.1 Sobre la documentación generada según el procedimiento para la ejecución de proyectos de TI para el SFE (TI-PO-02):
Producto de la revisión de la documentación del proyecto OPTEC (implementación de un sistema para nómina, activos fijos e inventario de suministros), la cual se encuentra en el expediente del proyecto, se determinó que existe un cumplimiento parcial en cuanto a la documentación que se debió elaborar como parte de la ejecución del proyecto.
Según el cronograma del proyecto, este se planificó para una duración de 11 meses a través de un proveedor externo mediante la contratación 2018LN-000005-0090100001 que ofrezca el servicio de la plataforma o sistema.
De conformidad con el procedimiento para la ejecución de proyectos de TI para el SFE (TI-PO-02), numeral 6.3 Solicitud de Cambios en los proyectos, se establece lo siguiente:
“6.3.1. Cuando sea necesario registrar un cambio que afecta de alguna forma el desarrollo normal del proyecto, se utilizará el documento TI-PO-02_F-05 Formulario de Registro de Solicitud de Cambios.”
Sin embargo, al momento de la revisión (mes de julio del año 2019) se identificó que este proyecto aún no ha finalizado, lo cual incumple con la fecha establecida en el cronograma. Según lo indicado por parte de la Jefatura del Departamento Administrativo y Financiero (DAF), el proyecto se retrasó debido a que se requería realizar un levantamiento de información de activos fijos e inventarios de modo que esta fuera la información inicial del sistema. Para ello, se contrató una consultoría bajo el número de procedimiento
2018CD-000060-0090100001 para realizar dicho proceso, no obstante, hubo retrasos con los resultados, por lo que el proceso de pruebas y carga de información inicial en el sistema se vio afectado.
Según lo comentado, el contratista que tuvo a cargo el desarrollo del proyecto es responsable de cargar la información inicial, y el resultado de la consultoría era el insumo para cargar los datos que se iban a utilizar de pruebas y la carga inicial del sistema. Para el caso de las pruebas se indicó que para el caso de nómina se requería la información de planilla del último mes, de activos fijos se cargaron 100 registros y de inventarios 50 ítems. No obstante, dado que no se documentó el retraso (justificaciones del caso) ni se generó el registro de los cambios (dado que afectó la ejecución normal del proyecto), se determinó que no se cumplió a cabalidad con lo establecido en el procedimiento TI-PO-02.
2.1.2.2 Sobre la asignación de responsables y firmas en la documentación del proyecto:
Producto de la revisión de la documentación contenida en el expediente del proyecto, se identificó la existencia de documentación que no presenta un responsable directo en los acuerdos tomados en reuniones, o bien, carecen de las firmas por parte de los responsables en acuerdos establecidos como control de la comunicación y entendimiento de la tarea asignada. Los folios vinculados con los documentos contenidos en el referido expediente se muestran en el cuadro siguiente:
Folio | Documento | Observación |
006 | Registro de involucrados. | Faltan las firmas de los proveedores. |
026 | Registro de aceptación de entregables. | Falta la firma de la coordinadora del proyecto (Xxxx Xxxxxxxx Xxxxx). |
031 | Minuta de reunión. | Faltan firmas en los acuerdos de los proveedores. |
055 | Documento de revisión del cartel - Sistema de Activos Fijos. | No define claramente el responsable de las tareas asignadas al cliente, solo indica “SFE” y no poseen firmas. |
062 | Minuta de reunión. | Falta la firma del analista de sistemas en los acuerdos tomados. |
065 | Minuta de reunión. | Los acuerdos no poseen responsables ni presentan firmas. |
066 | Minuta de reunión. | Falta firma del proveedor. |
083 | Registro de aceptación de entregables. | Faltan firmas de la coordinadora de proyectos y del Líder de proyecto (OPTEC). |
084 | Minuta de reunión. | Falta nombre y firma del responsable del acuerdo tomado. |
113 | Documento de revisión del cartel - Sistema de Inventarios. | No define claramente el responsable de las tareas asignadas al cliente, solo indica “SFE” y no posee firmas. |
131 | Minuta de reunión. | Los acuerdos no poseen responsables ni firmas. |
Folio | Documento | Observación |
132 | Minuta de reunión. | Los acuerdos no poseen responsables ni firmas. |
133 | Minuta de reunión. | El acuerdo no presenta responsable ni firma. |
134 | Minuta de reunión. | De los 4 acuerdos solo uno indica responsable y ninguno posee firmas. |
135 | Minuta de reunión. | Los acuerdos no poseen responsables ni firmas. |
136 | Minuta de reunión. | Los acuerdos no poseen responsables ni firmas. |
137 | Minuta de reunión. | Los acuerdos no poseen responsables ni firmas. |
141 | Minuta de reunión. | El acuerdo no presenta responsable ni firma. |
182 | Documento de revisión del cartel - Sistema de Nómina. | No define claramente el responsable de las tareas asignadas al cliente, solo indica “SFE” y no poseen firmas. |
229 | Minuta de reunión. | Un acuerdo no posee responsable ni firma. |
2.1.3 Causa
2.1.3.1 Supervisión insuficiente para cumplir a cabalidad con el procedimiento para la ejecución de proyectos de TI para el SFE (TI-PO-02).
2.1.3.2 Ausencia de un control para verificar y supervisar la existencia de las respectivas firmas en la documentación del proyecto.
2.1.3.3 Posible desconocimiento en detalle de los requisitos de documentación establecidos en los procedimientos de gestión de proyectos del SFE (código TI-PO-02).
2.1.4 Efecto
2.1.4.1 Debilitamiento del sistema de control interno vinculado con la gestión de proyectos de TI.
2.1.4.2 Incumplimiento del procedimiento TI-PO-02, el cual obedece a las sanas prácticas de COBIT, adoptado por la organización como estándar en la gestión de proyectos de TI a nivel institucional; en complemento a la normativa técnica en TI establecida por la Contraloría General de la República.
2.1.4.3 Riesgo potencial para soportar adecuadamente la toma de decisiones, ante la falta de parte de la documentación requerida para la gestión del proyecto.
2.1.5 Conclusión
Producto de la revisión del expediente del proyecto, se evidenció que el mismo presenta un debilitamiento en cuanto a:
• La documentación y justificación formal de los retrasos que ha presentado el mismo, lo cual impide tener una clara trazabilidad del desarrollo del proyecto. Dicha ausencia de documentación formal puede dificultar tener un panorama claro del estado del proyecto y de su conclusión, así como no brindar la información suficiente para la toma de decisiones, como podría ser aquella, vinculada con la autorización de la entrada en producción de los respectivos sistemas.
• La ausencia de firmas en la documentación del proyecto (principalmente en los acuerdos tomados en las reuniones) no garantiza que la persona responsable esté debidamente informada del compromiso asumido, lo cual podría ocasionar retrasos en el proyecto.
Por otro lado, también podría verse afectado negativamente el grado de madurez del sistema de control interno con respecto al cumplimiento de la normativa técnica y buenas prácticas que regulan la materia de TI a nivel institucional.
2.1.6 Recomendación
A la Dirección Ejecutiva:
2.1.6.1 Girar instrucciones a la Coordinadora del Proyecto (Adquisición de Licencia ERP Sistema de planificación de recursos empresariales, módulos de nómina, inventario de suministros y control de activos fijos), con el fin de que se atienda lo siguiente:
a) Documentar formalmente la justificación de los retrasos que ha tenido el proyecto y de las decisiones tomadas, conforme lo dispuesto en el numeral 6.3 del Procedimiento de Ejecución de Proyectos de Tecnología Información para el Servicio Fitosanitario del Estado (TI-PO-02). Para ello, se puede hacer uso del documento TI-PO-02_F-05 Formulario de Registro de Solicitud de Cambios, en el cual se debe justificar las razones en las que se incurrió realizar cambios en las fechas establecidas del proyecto (cronograma).
b) Analizar las debilidades que presenta la documentación que soporta las reuniones realizadas, misma que forma parte del expediente del proyecto, según lo descrito en el presente hallazgo, y de ser posible, se adopten las medidas para solucionar lo que corresponda.
c) Asignar la responsabilidad de la atención de acuerdos (compromisos) a la coordinadora del proyecto, Licda. Xxxxxxxx Xxxxx Xxxxxx, en lugar de utilizar las siglas “SFE”; por cuanto la misma debe direccionarse a un responsable.
d) Xxxxxxxxx como temas a tratar en la siguiente reunión relacionada con la ejecución del proyecto de TI, los aspectos descritos en los incisos a), b) y c) anteriores, a efecto de que se adopten las medidas respectivas, situación que debe contribuir con la documentación efectiva de los asuntos tratados,
conforme a lo dispuesto en el Procedimiento de Ejecución de Proyectos de Tecnología Información para el Servicio Fitosanitario del Estado, código TI-PO- 02.
A la Unidad de Tecnologías de Información:
2.1.6.2 Incorporar como parte de la implementación de sanas prácticas administrativas, lo siguiente:
a) Revisiones periódicas vinculadas con la verificación del cumplimiento del procedimiento de ejecución de proyectos de TI para el SFE (TI-PO-02) por parte de los coordinadores de proyecto; comunicando los resultados de esa gestión, a las instancias respectivas para lo que corresponda.
b) Xxxxxxx al inicio de la ejecución de cada proyecto de TI, la inducción (asesoría) sobre la aplicación del procedimiento TI-PO-02; situación que, entre otros aspectos, debe facilitar el uso del documento TI-PO-02_F-05 Formulario de Registro de Solicitud de Cambios. Esta gestión deberá documentarse.
2.2 Ausencia de criterios formales para definir los proyectos estratégicos en TI para el SFE.
2.2.1 Criterio
2.2.1.1 Ley General de Control Interno N° 8292, artículo 16 - Sistemas de información.
2.2.1.2 Normas técnicas para la gestión y el control de las Tecnologías de Información (N-2-2007-CO-DFOE), numeral 5.1 Seguimiento de los procesos de TI.
2.2.1.3 Marco de referencia de Objetivos de Control para Información y Tecnologías Relacionadas (COBIT versión 5), proceso MEA01 Supervisar, evaluar y valorar el rendimiento y la conformidad, objetivo de control MEA01.01 Establecer un enfoque de la supervisión.
2.2.1.4 Reglamento de funcionamiento de la Comisión de Tecnología de Información del Servicio Fitosanitario del estado (CTI-SFE).
2.2.2 Condición
El artículo 2 del Reglamento de la Comisión de Tecnología de Información del SFE, indica que “La CTI-SFE ejercerá sus funciones en los bienes, proyectos, programas y procedimientos de tecnologías de información que utilicen Unidades, Departamentos y la Dirección del Servicio Fitosanitario del Estado y que sean catalogados como proyectos estratégicos” y una de las funciones de dicha Comisión es “Conocer los avances de los proyectos catalogados como estratégicos y brindar las recomendaciones que sean necesarias a las diferentes instancias durante su etapa de desarrollo”. Los proyectos estratégicos “Son todos aquellos que son definidos por la Dirección del SFE en coordinación o apoyo del área de Proyectos de la Unidad de PCCI”, esto según el artículo 3 del reglamento.
El 6 xx xxxx del presente año (2019) la CTI-SFE envió el oficio CTI-0001-2019 a la Dirección Ejecutiva del SFE para que les indicara cuáles son los proyectos estratégicos y así, realizar un seguimiento al avance de estos, sin embargo, en el momento de la consulta (en julio de este año) no se había recibido respuesta a dicho oficio. Por lo tanto, la Comisión de TI es quien ha definido los proyectos a los cuales le debe dar seguimiento, de acuerdo con criterios propios.
Se consultó, cuáles son los criterios que utiliza la CTI-SFE para clasificar un proyecto como estratégico, debido a que solo a este tipo de proyectos se le brinda un seguimiento; se indicó que en la mayoría de los casos se le da seguimiento a los proyectos que son externos, poseen algún tipo de problema (por ejemplo, que tenga atrasos) o conlleve mucho presupuesto. Esto demuestra que no se cuenta con un criterio definido formalmente el cual indique cómo realizar la clasificación de dichos proyectos.
2.2.3 Causa
2.2.3.1 No se cuenta con criterios formalmente definidos para determinar qué es un proyecto estratégico de TI.
2.2.4 Efecto
2.2.4.1 Riesgo potencial de que se seleccionen los proyectos estratégicos de TI bajo criterios subjetivos.
2.2.5 Conclusión
La ausencia de criterios técnicos para la identificación de proyectos de TI clasificados como estratégicos, estaría incidiendo negativamente en el sistema de control interno; por cuanto ante esta situación, se podría estar dando un seguimiento a proyectos que no posean una importancia alta para el SFE, lo cual podría ocasionar que no se detecten del todo u oportunamente, problemas en otros proyectos que sí responden a una condición estratégica para la organización; generándose entre otros aspectos, dificultades en la toma de decisiones.
Considerando los términos del artículo 2 del Reglamento de la Comisión de Tecnología de Información del SFE, la CTI-SFE no tiene competencia para definir en forma oficiosa cuáles proyectos deben ser considerados estratégicos; razón por la cual, dicho órgano colegiado debe eliminar este tipo de prácticas. En ese sentido, lo que le correspondería es señalarle a la Dirección que, de no formalizarse este aspecto, dicha situación de mantenerse en el tiempo le estaría generando una limitante para poder cumplir con la función asignada, con las consecuencias negativas que eso le podría originar a la organización.
2.2.6 Recomendación
A la Dirección Ejecutiva:
2.2.6.1 Definir los criterios técnicos para seleccionar y categorizar un proyecto de TI como estratégico para el SFE (algunos criterios a considerar son presupuesto, impacto en los procesos, nivel de complejidad o cualquier otro que requiera la Dirección). Dichos criterios deben ser incorporados como parte de las regulaciones internas vigentes; un aspecto a valorar sería integrarlos al procedimiento para la identificación, priorización, elaboración y seguimiento de proyectos (PCCI-AP-PO- 01), durante las actividades de intervención de la Dirección para determinar qué proyectos se deben de realizar. Para lo anterior, la Dirección puede coordinar con la Unidad de PCCI
2.3 Ausencia de un procedimiento formal para definir la usabilidad de los sistemas de información.
2.3.1 Criterio
2.3.1.1 Ley General de Control Interno N° 8292, artículo 16 - Sistemas de información.
2.3.1.2 Normas técnicas para la gestión y el control de las Tecnologías de Información (N-2-2007-CO-DFOE), numeral 4.2 Administración de la plataforma tecnológica.
2.3.1.3 Marco de referencia de Objetivos de Control para Información y Tecnologías Relacionadas (COBIT versión 5), proceso APO01 Gestionar el Marco de Gestión de TI, objetivo de control APO01.08 Mantener el cumplimiento con las políticas y procedimientos.
2.3.1.4 Reglamento de funcionamiento de la Comisión de Tecnología de Información del Servicio Fitosanitario del estado (CTI-SFE).
2.3.2 Condición
El numeral 7 del Artículo 9 del reglamento de la Comisión de Tecnología de Información del SFE, establece que una de las funciones de dicha Comisión, es la siguiente: “Dar un seguimiento anual a la usabilidad de los sistemas de información implementados en el SFE”. Para esto, el administrador de las bases de datos monitorea el estado de las bases de datos de los sistemas e identifica cuál fue el último uso dado.
Se suministró un informe elaborado en el año 2018 el cual incluye los sistemas que se encuentran en producción, el usuario experto, el encargado, estado en el que se encuentra y la fecha de cuándo fue el último uso de la base de datos de cada sistema. Por otra parte, este informe también incluye los sistemas que están en desarrollo y el estado de estos. Dicho informe fue presentado a la Comisión de TI con el objetivo de identificar el estado de los sistemas y así determinar las acciones por seguir con respecto a los resultados obtenidos.
Pese a que en la práctica se está realizando un cumplimiento de esta función de la Comisión, se carece de un procedimiento documentado y formalmente establecido en el cual se explique cómo se determina la usabilidad de los sistemas, cómo se procede al identificar sistemas sin uso y la responsabilidad de la Comisión de TI con los resultados que muestra la UTI sobre este proceso (por ejemplo, los criterios para determinar qué hacer con el sistema que no se utiliza), dado que actualmente se elabora un informe en el cual se indica cuál fue el último uso de las bases de datos de los sistemas y se presentan los resultados a la Comisión.
2.3.3 Causa
2.3.3.1 No se cuenta con un procedimiento documentado para determinar la usabilidad de los sistemas de información implementados en el SFE.
2.3.4 Efecto
2.3.4.1 Desconocimiento de las tareas por realizar para determinar la usabilidad de los sistemas.
2.3.4.2 No se puede medir el rendimiento del proceso.
2.3.5 Conclusión
Tras la revisión del Reglamento de la Comisión de TI, se identificó que una de las funciones que debe desempeñar dicha Comisión es la de dar un seguimiento a la usabilidad de los sistemas de información, es decir, determinar si estos están siendo utilizados por las respectivas áreas usuarias.
Operativamente esta actividad sí se está llevando a cabo, con lo cual se está cumpliendo con una de las funciones que debe desempeñar dicha Comisión. Sin embargo, este proceso no se encuentra documentado formalmente, por lo tanto, no se podría medir si este se está ejecutando de la manera correcta o podría conducir a que no haya una estandarización de las tareas que se deben de realizar, ocasionando que no siempre se realice de la misma manera.
Si bien, la implementación de sanas prácticas fortalece el sistema de control interno, es necesario que las mismas formen parte de la documentación del Sistema de Gestión de la Calidad, a efecto de que en forma efectiva y estandarizada se integren a la gestión, respondiendo sobre todo ese tipo de actividades de control a la administración del riesgo.
2.3.6 Recomendación
A la Unidad de Tecnologías de Información:
2.3.6.1 Establecer la regulación interna (procedimiento, instructivo, formularios, etc.) relacionada con la determinación de la usabilidad de los sistemas de información, la cual debe formar parte de la documentación del Sistema de Gestión de la Calidad. Sobre este particular, dicha regulación debe propiciar como mínimo, lo siguiente:
a) Estandarizar la aplicación de acciones que permitan la generación de resultados sobre la usabilidad de los sistemas.
b) Xxxxxxx, entre otros aspectos, lo siguiente:
• Criterios que regulen la identificación de los sistemas que serían sujetos a la revisión asociada a su usabilidad.
• Periodicidad en que se debe aplicar la revisión de la usabilidad de los sistemas.
• Responsables de llevar a cabo la revisión de la usabilidad de los sistemas.
• Estructura del informe que contendrá los resultados de la usabilidad de los sistemas.
• Remisión de los informes a la Comisión de Tecnologías de Información.
• Documentación de acciones realizadas producto de la atención de instrucciones emitidas por la Dirección como resultado de acuerdos de la Comisión de Tecnologías de la Información.
En forma previa a la oficialización de esa regulación interna, la UTI se podría apoyar en la Comisión de Tecnologías de Información, en las etapas de diseño y revisión de este procedimiento, a efecto de recibir retroalimentación de ese órgano colegiado.
2.4 No se cuenta con lineamientos para regular la práctica de revisión de las bitácoras de los sistemas de información a nivel del SFE.
2.4.1 Criterio
2.4.1.1 Normas técnicas para la gestión y el control de las tecnologías de información (N-2-2007-CO-DFOE), numeral 1.4 Gestión de la seguridad de la información, 1.4.5 Control de acceso.
2.4.1.2 Marco de referencia de Objetivos de Control para Información y Tecnologías Relacionadas (COBIT versión 5), proceso BAI03 Gestionar la Identificación y Construcción de Soluciones, objetivo de control BAI03.05 Construir soluciones; y proceso DSS05 Gestionar Servicios de Seguridad, objetivo de control DSS05.07 Supervisar la infraestructura para detectar eventos relacionados con la seguridad.
2.4.2 Condición
Se solicitó a la Unidad de Tecnologías de Información los lineamientos o mecanismos implementados para la revisión de las bitácoras de los sistemas de información a nivel del SFE, no obstante, sobre este particular, mediante el oficio TI-0028-2019 del 10 xx xxxx del 2019, se señaló lo siguiente:
Actualmente no se cuenta con lineamientos establecidos para la revisión de las bitácoras de los sistemas. Cabe mencionar que los sistemas si cuentan con bitácoras, pero la forma de lectura de las mismas es de índole técnico-informático.
Un aspecto que se debería valorar al establecer estos lineamientos es, si la designación de él o los responsables de la revisión se debería realizar desde que se apruebe la idea de proyecto por parte de PCCI y de este modo esté respaldada por la Dirección Ejecutiva o la oficina de proyectos, esto dada la responsabilidad que conllevan estas revisiones periódicas de bitácoras o información del sistema en específico.
Cabe mencionar que, tras la consulta a las áreas usuarias, hay funcionarios que no conocen la existencia de las bitácoras del sistema, o bien, solo realizan la solicitud de verificación a la UTI tras encontrar alguna inconsistencia en la información, por lo que no es una práctica regular en la institución el realizar revisiones a través de estas bitácoras.
2.4.3 Causa
2.4.3.1 Ausencia de lineamientos para la revisión de las bitácoras de los sistemas de información, que definan la responsabilidad y periodicidad de la práctica.
2.4.4 Efecto
2.4.4.1 Ausencia de un monitoreo periódico de las bitácoras de los sistemas de información para verificar si estos presentan comportamientos atípicos (con respecto a datos
considerados como críticos), en algún momento determinado los cuales pueden pasar desapercibidos, sin que se generen alertas oportunas.
2.4.5 Conclusión
Los sistemas de información del SFE cuenta con bitácoras las cuales mantienen un histórico de las transacciones que realizan los usuarios. Las buenas prácticas en materia de TI indican que se debe mantener bitácoras con el fin de mantener una trazabilidad de las operaciones que soportan los sistemas, no obstante, esta práctica debe ser regulada para establecer formalmente los responsables y la periodicidad de las revisiones, así como los campos que almacenan información que es considerada como crítica.
Según lo indicado por la UTI, los lineamientos no se han establecido, por lo que las áreas usuarias no realizan las respectivas revisiones. Al no revisar de manera periódica los movimientos registrados en las bitácoras de los sistemas de información, existe el riesgo de que no se brinde una acción adecuada y oportuna ante situaciones no controladas tras el uso de los sistemas.
Para la implementación de las bitácoras en los sistemas de información, durante la toma de requerimientos las áreas usuarias pueden suministrar la información requerida para determinar qué datos son críticos, los cuales se deben ver reflejados en las bitácoras del sistema. Del mismo modo, podrían existir dos modalidades para el acceso a estas:
a) La Unidad de Tecnologías de Información (UTI) provea un servicio para suministrar las bitácoras de un determinado sistema a aquellos usuarios autorizados, es decir, que tengan la responsabilidad de realizar las respectivas revisiones.
b) Agregar la funcionalidad en los sistemas de información, para que los usuarios, según los permisos otorgados de acuerdo con sus responsabilidades, puedan acceder a las bitácoras y realizar la respectiva revisión.
Para ambos casos, los usuarios deben mantener evidencia de la revisión, con el fin de respaldar la ejecución del proceso.
2.4.6 Recomendación
A las áreas usuarias de los sistemas de información Sistema de Solicitud de Certificados Fitosanitarios para exportación fuera del SIVUCE 2.0, Registro de exportadores (SIDEX), Solicitudes de Certificación Especial, Aplicación móvil - Consulta de Exportador, SICA, SICOIN, Sistema de Consultas de Estadísticas de importación, Monitoreo del control de residuos de plaguicidas para importación (MORI), SAUDE, XXXXXX (Laboratorio de Diagnostico) y SISOAR:
2.4.6.1 Determinar qué información es de importancia para la unidad o departamento, con el fin de establecer la que es considerada como crítica y que debe ser monitoreada en forma periódica en los sistemas de información. Consecuente con lo anterior, se debe solicitar a la UTI los cambios que sean necesarios para que las bitácoras de los
sistemas contemplen dicha información y se ajusten a las necesidades de las áreas usuarias; estableciendo con claridad el mecanismo que permitiría y facilitaría el acceso a dichas bitácoras. Se hace extensiva la presente recomendación, a todas aquellas áreas usuarias que estén vinculadas con sistemas en producción, así como a los proyectos de TI que se encuentran en diseño o desarrollo. Para lo anterior, las áreas usuarias se pueden apoyar en la UTI.
A la Unidad de Tecnologías de Información:
2.4.6.2 Emitir la regulación interna de revisión de bitácoras de los sistemas de información del SFE, con el fin de que se realice de forma periódica y se puedan detectar oportunamente eventuales comportamientos atípicos de los sistemas que podrían afectar la integridad de la información. Dicha regulación, entre otros aspectos, debe orientar sobre:
a) La identificación y documentación de la información considerada como crítica.
b) El mecanismo que debe utilizar para informar de esa necesidad a la UTI.
c) La periodicidad en que se deben realizar las revisiones de las bitácoras.
d) Los responsables de efectuar las respectivas revisiones (identificación de los cargos).
e) El medio que se utilizará para acceder las bitácoras.
Esta regulación se deberá documentar a través del Sistema de Gestión de la Calidad.
2.5 El Sistema de Registro de Importadores (SIREIM) no está siendo utilizado por las áreas usuarias.
2.5.1 Criterio
2.5.1.1 Ley General de Control Interno N° 8292, artículo 16 - Sistemas de información.
2.5.1.2 Normas técnicas para la gestión y el control de las Tecnologías de Información (N-2-2007-CO-DFOE), numerales 3.2 Implementación de software.
2.5.1.3 Marco de referencia de Objetivos de Control para Información y Tecnologías Relacionadas (COBIT versión 5), proceso BAI03 Gestionar la identificación y construcción de soluciones.
2.5.2 Condición
El Sistema de Registro de Importadores (SIREIM) es un sistema que fue desarrollado por la Unidad de Tecnologías de Información (UTI), el cual entró en producción en marzo del año 2018. Se desarrolló con el objetivo de contar con un registro web de importadores, el cual se encuentra basado en el decreto ejecutivo 36999-MAG. Además, será tomado como base para la creación de la nota técnica 35, que será implementada en el VUCE 2.0, que es administrado por PROCOMER.
Este sistema actualmente no está siendo utilizado por el Departamento de Control Fitosanitario. Se procedió a indagar el motivo y se determinó que el sistema no se está utilizando dado que en un inicio había dos personas asignadas de cargar información en el mismo, sin embargo, una de ellas fue trasladada, por lo tanto, quedó una sola persona a cargo de esta labor. Dada esta razón, se dificulta iniciar con la carga de información en SIREIM.
El encargado de Ventanilla Única del SFE brindó la idea de migrar la información del sistema SICA al SIREIM, por tal motivo se realizó una reunión con la UTI para identificar la factibilidad de realizar dicha migración al sistema, esto con el fin de que el proceso de carga de información sea más ágil.
Ante esta situación, se obtuvo una respuesta de la UTI indicando que se podría migrar la información del importador y de representantes desde SICA al SIREIM. Ya se está trabajando en la migración y transformación de los datos. Con respecto a la información de productos, la UTI sugirió cargarla directamente en el sistema (proceso manual).
Pese a que se han estado realizando gestiones para poder utilizar el sistema, no se ha definido un plan de trabajo en el cual se establezcan tiempos definidos para terminar con la carga de información y ajustes que sean necesarios en el SIREIM, por lo tanto, no se podría determinar cuándo estará listo el sistema para poder ser utilizado.
2.5.3 Causa
2.5.3.1 SIREIM no se está utilizando debido a que no se ha finalizado con la carga de información en el sistema.
2.5.3.2 No se ha definido un plan de trabajo para establecer plazos de entrega, por lo que, se desconoce cuándo se podrá utilizar el sistema.
2.5.4 Efecto
2.5.4.1 No se visualiza un aprovechamiento de la inversión realizada por el SFE para el desarrollo del sistema SIREM, lo cual, al tratarse de recursos públicos, podría eventualmente generar consecuencias negativas para los funcionarios que por acción u omisión propician que esta situación se mantenga en el tiempo.
2.5.4.2 El sistema SIREIM podría no estar con toda la información requerida por el VUCE 2.0 cuando este entre en producción.
2.5.5 Conclusión
Se identificó que el sistema SIREIM fue desarrollado por la UTI con una alta prioridad, sin embargo, este no se está utilizando debido a que aún no cuenta con toda la información necesaria que permita su uso, en su lugar, se está utilizando el sistema SICA, el cual, por su antigüedad se considera obsoleto.
Se han estado realizando gestiones para poder iniciar con la carga de información en el sistema, sin embargo, no se cuenta con un cronograma en el cual se indique cuándo estará la información completa en el SIREIM, por lo tanto, se desconoce si este estará listo cuando el sistema VUCE 2.0 de PROCOMER entre en producción. Dada esta situación, se imposibilita la toma de decisiones respecto a la priorización de este proyecto debido a la ausencia de una planificación para finalizar su implementación; dicha situación lejos de beneficiar el sistema de control interno lo debilita.
2.5.6 Recomendación
Al Departamento de Control Fitosanitario:
2.5.6.1 Elaborar y oficializar el plan de trabajo en el cual se consigne como mínimo las actividades necesarias para poder contar con la información requerida en el SIREIM, así como se definan los responsables y las fechas de ejecución asociadas a las mismas. Para lo anterior, el Departamento de Control Fitosanitario se podrá apoyar en la UTI.
2.5.6.2 Oficializar el uso obligatorio del SIREM informando de dicha decisión a las instancias respectivas; lo anterior, una vez realizada la carga de la información que es requerida, según los resultados que se generen producto de la implementación de la recomendación 2.5.6.1 anterior.
2.6 No cumplimiento de recomendaciones emitidas por la Auditoría Interna del SFE.
2.6.1 Criterio
2.6.1.1 Ley General de Control Interno N° 8292, artículo 12 - Deberes del jerarca y de los titulares subordinados en el sistema de control interno, artículo 17 - Seguimiento del sistema de control interno.
2.6.1.2 Normas de Control Interno para el Sector Público (N-2-2009-CO-DFOE), numeral 6.1 Seguimiento del SCI.
2.6.2 Condición
Como parte del estudio realizado, se dio seguimiento a recomendaciones (seleccionadas según el alcance de la auditoría) de los informes AI-SFE-SA-INF-003-2013, AI-SFE-SA-INF-006-2015, AI-SFE-SA-INF-002-2016 y AI-SFE-SA-INF-005-2017.
Producto de la revisión de la documentación proporcionada y de las reuniones con las áreas usuarias del SFE responsables de la implementación de las recomendaciones emitidas, se determinó que no se han cumplido con los plazos establecidos. A continuación, se indican las recomendaciones que aún no se han atendido.
Informe | Recomendación | Departamento o Unidad | Fecha de emisión1 | Fecha de recibido2 | Fecha límite3 | Estado4 |
AI-SFE-SA-INF-003-2013 | 2.6.1.6.3 | Departamento Agroquímicos y Equipos. | 05-12-2013 | No definido | No definido | RNC |
AI-SFE-SA-INF-006-2015 | 2.3.6.2 | Unidad de Tecnologías de la Información. | 25-01-2016 | No definido | No definido | RNC |
AI-SFE-SA-INF-006-2015 | 2.25.6.1 | Dirección. | 25-01-2016 | 25-01-2016 | 31-07-2016 | RPC |
AI-SFE-SA-INF-006-2015 | 2.25.6.2 | Dirección. | 25-01-2016 | 25-01-2016 | 31-07-2016 | RPC |
AI-SFE-SA-INF-006-2015 | 2.25.6.3 | Dirección. | 25-01-2016 | 25-01-2016 | 31-07-2016 | RPC |
AI-SFE-SA-INF-002-2016 | 2.5.6.1 | Departamento de Operaciones Regionales. | 25-05-2016 | 25-05-2016 | 28-02-2017 | RPC |
AI-SFE-SA-INF-002-2016 | 2.5.6.2 | Departamento de Operaciones Regionales. | 25-05-2016 | 25-05-2016 | 31-01-2017 | RPC |
AI-SFE-SA-INF-005-2017 | 2.2.6.2 | Unidad de Tecnologías de la Información. | 13-09-2017 | No definido | No definido | RNC |
AI-SFE-SA-INF-005-2017 | 2.2.6.4 | Unidad de Tecnologías de la Información. | 13-09-2017 | No definido | No definido | RPC |
AI-SFE-SA-INF-005-2017 | 2.3.6.2 | Unidad de Tecnologías de la Información. | 13-09-2017 | 31-03-2018 | 31-10-2018 | RNC |
AI-SFE-SA-INF-005-2017 | 2.3.6.3 | Unidad de Tecnologías de la Información. | 13-09-2017 | 31-03-2018 | 31-10-2018 | RPC |
AI-SFE-SA-INF-005-2017 | 2.3.6.4 | Unidad de Tecnologías de la Información. | 13-09-2017 | 31-03-2018 | No definido | RNC |
AI-SFE-SA-INF-005-2017 | 2.12.6.3 | Departamento Agroquímicos y Equipos. | 13-09-2017 | 30-06-2018 | No definido | RNC |
AI-SFE-SA-INF-005-2017 | 2.12.6.4 | Departamento Agroquímicos y Equipos. | 13-09-2017 | No definido | No definido | RPC |
AI-SFE-SA-INF-005-2017 | 2.12.6.5 | Departamento Agroquímicos y Equipos. | 13-09-2017 | No definido | No definido | RNC |
AI-SFE-SA-INF-005-2017 | 2.14.6.1 | Unidad de Registro Agroquímicos y Equipos de Aplicación. | 13-09-2017 | 31-03-2018 | No definido | RPC |
AI-SFE-SA-INF-005-2017 | 2.14.6.2 | Unidad de Registro Agroquímicos y Equipos de Aplicación. | 13-09-2017 | No definido | No definido | RNC |
AI-SFE-SA-INF-005-2017 | 2.15.6.1 | Unidad de Registro Agroquímicos y Equipos de | 13-09-2017 | 28-02-2018 | No definido | RNC |
1 Fecha de emisión del Informe de Auditoría.
2 Fecha de recepción de la recomendación a la unidad correspondiente.
3 Fecha límite de cumplimiento.
4 RNC: Recomendación no cumplida / RPC: Recomendación en proceso de cumplimiento.
Informe | Recomendación | Departamento o Unidad | Fecha de emisión1 | Fecha de recibido2 | Fecha límite3 | Estado4 |
Aplicación. | ||||||
AI-SFE-SA-INF-005-2017 | 2.21.6.1 | Departamento Control Fitosanitario. | 13-09-2017 | 31-08-2018 | No definido | RPC |
AI-SFE-SA-INF-005-2017 | 2.22.6.1 | Departamento Agroquímicos y Equipos. | 13-09-2017 | No definido | No definido | RNC |
AI-SFE-SA-INF-005-2017 | 2.22.6.2 | Unidad de Tecnologías de la Información. | 13-09-2017 | 30/06/2018 | No definido | RPC |
AI-SFE-SA-INF-005-2017 | 2.22.6.3 | Unidad de Registro Agroquímicos y Equipos de Aplicación. | 13-09-2017 | No definido | No definido | RNC |
AI-SFE-SA-INF-005-2017 | 2.22.6.4 | Unidad de Registro Agroquímicos y Equipos de Aplicación. | 13-09-2017 | 31/03/2018 | No definido | RNC |
AI-SFE-SA-INF-005-2017 | 2.22.6.5 | Unidad Control Residuos Agroquímicos. | 13-09-2017 | 31/03/2018 | No definido | RNC |
AI-SFE-SA-INF-005-2017 | 2.23.6.1 | Unidad de Registro Agroquímicos y Equipos de Aplicación. | 13-09-2017 | 31/03/2018 | No definido | RNC |
AI-SFE-SA-INF-005-2017 | 2.23.6.2 | Unidad de Registro Agroquímicos y Equipos de Aplicación. | 13-09-2017 | 31/03/2018 | No definido | RNC |
AI-SFE-SA-INF-005-2017 | 2.23.6.3 | Unidad de Registro Agroquímicos y Equipos de Aplicación. | 13-09-2017 | 31/03/2018 | No definido | RNC |
Respecto a las recomendaciones emitidas al Departamento de Operaciones Regionales (DOR), principalmente para el cumplimiento de la recomendación 2.5.6.1 del informe AI-SFE-SA-INF-002-2016, se indicó que se está conversando con OIRSA para recibir una donación de un sistema el cual subsana deficiencias que posee el departamento, sin embargo, este proceso no ha sido catalogado como un proyecto del SFE. Cabe indicar que el sistema permitiría registrar información en el campo, para lo cual se requeriría el uso de dispositivos móviles (según lo indicado, la mayoría de los funcionarios estarían dispuestos a utilizar el dispositivo personal), no obstante, se señala que es posible que el SFE requiera realizar una inversión en la adquisición de dispositivos móviles para esta labor.
En cuanto a la comunicación de la existencia de recomendaciones pendientes, es importante mencionar que la Auditoría Interna del SFE, a través del oficio AI-SFE-331-2018 enviado el 13-12-2018, dio conocimiento a la administración del estado de las recomendaciones expuestas anteriormente.
2.6.3 Causa
2.6.3.1 Incumplimiento en los plazos definidos para la implementación de recomendaciones emitidas por la Auditoría Interna.
2.6.3.2 Priorización de otras actividades en los departamentos o unidades.
2.6.4 Efecto
2.6.4.1 Debilitamiento del sistema de control interno en función de las deficiencias expuestas en los hallazgos de informes de periodos anteriores.
2.6.5 Conclusión
A través de las entrevistas realizadas a las áreas usuarias responsables de implementar las gestiones requeridas para subsanar las deficiencias documentadas en informes emitidos por la Auditoría Interna, se determinó la existencia de múltiples recomendaciones con un estado de no cumplimiento o con gestiones parciales, lo cual mantiene la deficiencia demostrada.
Cabe mencionar que el fin de las recomendaciones emitidas es fortalecer el sistema de control interno en la institución, por lo que el incumplimiento y/o la no atención oportuna de las recomendaciones evitaría dicho fortalecimiento, y por el contrario podría debilitar en mayor medida las nuevas gestiones realizadas por la administración al mantener debilidades de periodos anteriores.
Respecto a las gestiones realizadas por el DOR para la implementación de un sistema (como parte del cumplimiento de deficiencias identificadas por la Auditoría Interna), mismo que va a ser donado en apariencia por el OIRSA, no se tiene catalogado como un proyecto del
SFE, lo cual no se ha generado la documentación formal de este. Cabe mencionar que la implementación de este nuevo sistema podría impactar los procesos del DOR, así como requerir una inversión en la adquisición de dispositivos móviles para el aprovechamiento de las funcionalidades que el sistema brinda (entre ellas la recolección y registro de información en tiempo real).
2.6.6 Recomendación
Al Departamento Agroquímicos y Equipos, Unidad de Tecnologías de la Información, Dirección Ejecutiva, Departamento de Operaciones Regionales, Unidad de Registro Agroquímicos y Equipos de Aplicación, Departamento Control Fitosanitario y Unidad Control Residuos Agroquímicos:
2.6.6.1 Documentar formalmente un plan de acción para implementar las recomendaciones emitidas en informes de Auditoría Interna de periodos anteriores (según las indicadas en la condición de este hallazgo) y remitir una copia a la Auditoría Interna del SFE para dar el respectivo seguimiento.
Al Departamento de Operaciones Regionales (DOR):
2.6.6.2 Definir si en forma efectiva si el SFE se encuentra en presencia de una donación de un sistema de información; de ser así, se debe considerar como mínimo lo siguiente:
a) Gestionar en forma oficial la aceptación de la donación del OIRSA.
b) Coordinar con las diferentes instancias del SFE, a efecto de que dicha donación se ajuste al cumplimiento del ordenamiento jurídico que regula esta materia en el Sector Público.
c) Gestionar la documentación del proyecto, en apego a los estándares definidos por el área de Administración de Proyectos de la Unidad de PCCI. Dicha gestión debe considerar los recursos requeridos para la adquisición de equipo necesario para la implementación del sistema de información respectivo.
2.6.6.3 Realizar un análisis para determinar el impacto de la implementación del nuevo sistema, con el fin de verificar si se ven afectados los procesos del DOR, para documentar los respectivos cambios (por ejemplo, cambios en los procedimientos actuales del departamento).
Para la atención de las recomendaciones anteriores, el DOR podrá apoyarse en la Dirección Ejecutiva del SFE y la Unidad de PCCI, según corresponda.
2.7 Existencia de cuentas de usuario activas de funcionarios que cesaron funciones en el SFE.
2.7.1 Criterio
2.7.1.1 Normas técnicas para la gestión y el control de las tecnologías de información (N-2-2007-CO-DFOE), numeral 1.4 Gestión de la seguridad de la información, apartado 1.4.5 Control de acceso.
2.7.1.2 Normas de Control Interno para el Sector Público (N-2-2009-CO-DFOE), numeral 5.8 Control de sistemas de información.
2.7.1.3 Marco de referencia de Objetivos de Control para Información y Tecnologías Relacionadas (COBIT versión 5), proceso DSS05 Gestionar Servicios de Seguridad, objetivo de control DSS05.04 Gestionar la identidad del usuario y el acceso lógico.
2.7.2 Condición
Producto del envío de un cuestionario a los usuarios de algunos de los sistemas del SFE vía correo electrónico, se identificó la existencia de cuentas de usuario activas que pertenecen a funcionarios que ya no laboran (por jubilación, despido, renuncia o permisos sin goce xx xxxxxxx por periodos prolongados) para el SFE.
Cabe mencionar que, en julio del presente año, la Unidad de Tecnologías de la Información (UTI) realizó un recordatorio a la Unidad de Recursos Humanos (RRHH) indicándole que no se han realizado las respectivas notificaciones del personal que ha cesado funciones, ya que se ha identificado de manera informal la existencia de cuentas de usuario de funcionarios que ya no laboran para el SFE.
Por otro lado, se identificó la existencia de una cuenta de un funcionario con el puesto de “Misceláneo de Servicio Civil 2” de la Estación de Control Fitosanitario ubicada en Puerto xx Xxxxx. Dicha cuenta de usuario es del Sistema de Consultas de Estadísticas de Importación.
2.7.3 Causa
2.7.3.1 No se comunica los movimientos de personal por parte de la Unidad de Recursos Humanos a la UTI.
2.7.3.2 No se revisa periódicamente los perfiles de los usuarios en los sistemas de información.
2.7.4 Efecto
2.7.4.1 Debilitamiento del proceso de control interno en relación con la gestión de perfiles de usuario.
2.7.4.2 Existencia de brechas de seguridad de la información en los sistemas del SFE.
2.7.4.3 Posible exposición de información sensible a personas que ya no laboran para el SFE.
2.7.5 Conclusión
La ausencia de notificaciones por parte de la Unidad de Recursos Humanos a la Unidad de Tecnologías de Información propicia la existencia de cuentas de usuario que se podrían utilizar para realizar transacciones no autorizadas, o bien, para exponer información sensible a través del uso de estas cuentas. Dado que los funcionarios ya no laboran para la institución, dichas cuentas carecen de responsables, lo cual imposibilitaría dar un seguimiento adecuado.
Además, se identificó la existencia de una cuenta de usuario en el Sistema de Consultas de Estadísticas de Importación, la cual pertenece a un funcionario con el puesto “Misceláneo de Servicio Civil 2”. Estas situaciones se pueden dar por la ausencia de revisiones de los perfiles de usuario periódicamente, lo cual permitiría identificar cuentas de funcionarios que dejaron de laborar o fueron trasladados y de aquellos que no deberían tener acceso. De este modo, se podría alertar a la UTI de manera oportuna sobre las cuentas que deben ser inhabilitadas.
La existencia de estas cuentas puede generar una brecha en la seguridad de la información en la institución, podría debilitar el sistema de control interno respecto a las medidas implementadas para garantizar la seguridad de la información a nivel institucional.
2.7.6 Recomendación
A la Jefatura del Departamento Administrativo y Financiero:
2.7.6.1 Girar instrucciones a la Unidad de Recursos Humanos, con el propósito de que se notifique a la Unidad de Tecnologías de la Información los movimientos de personal que requieren modificaciones en los accesos a la información que posee el funcionario, de modo que la UTI pueda inhabilitar o modificar oportunamente el perfil del usuario en los sistemas de información o plataforma tecnológica. La notificación se debe hacer de carácter inmediato tras la realización del movimiento de personal. Este tipo de prácticas deben formar parte de las regulaciones internas de la Unidad de Recursos Humanos.
A las jefaturas de los departamentos Control Fitosanitario, Certificación Fitosanitaria y de Laboratorios:
2.7.6.2 Girar instrucciones a los administradores de los sistemas de información (Sistema de Solicitud de Certificados Fitosanitarios para exportación fuera del SIVUCE 2.0, Solicitudes de Certificación Especial, Aplicación móvil - Consulta de Exportador, Sistema de Consultas de Estadísticas de Importación, XXXXXX (Laboratorio de Diagnostico) y SISOAR), con el propósito de que se realicen revisiones periódicas de los perfiles de usuario para verificar si los usuarios que hacen uso de su sistema poseen la cantidad mínima de permisos requeridos para realizar sus funciones.
2.8 Inconsistencias identificadas en las bases de datos Fitos_CertEspeciales, MORI, SAUDE, SICA, SICOIN, SIDEX, XXXXXX y SISOAR.
2.8.1 Criterio
2.8.1.1 Ley General de Control Interno N° 8292, artículo 16 - Sistemas de información.
2.8.1.2 Normas técnicas para la gestión y el control de las tecnologías de información (N-2-2007-CO-DFOE), numeral 4.3 Administración de los datos.
2.8.1.3 Normas de Control Interno para el Sector Público (N-2-2009-CO-DFOE), numeral 5.8 Control de sistemas de información.
2.8.1.4 Marco de referencia de Objetivos de Control para Información y Tecnologías Relacionadas (COBIT versión 5), proceso DSS06 Gestionar Controles de Proceso de Negocio.
2.8.2 Condición
Mediante la revisión de las bases de datos Fitos_CertEspeciales, MORI, SAUDE, SICA, SICOIN, SIDEX, XXXXXX y SISOAR, se identificó la existencia de inconsistencias en la información almacenada. Dichas inconsistencias son las siguientes:
Base de datos | Tipos de inconsistencias identificadas |
Fitos_CertEspeciales | • Falta de estandarización en los datos. • Existencia de información no significativa.5 • Datos de prueba en el ambiente de producción. • Campos nulos y vacíos. |
MORI | • Datos de prueba en el ambiente de producción. • Campos nulos. |
SAUDE | • Se identificó información no significativa. • Campos vacíos. |
SICA | • Se identificó información no significativa. • Falta de estandarización de datos • Campos nulos y vacíos • Datos de pruebas en el ambiente de producción. |
SICOIN | • Información no significativa. • Campos vacíos y nulos. • Datos de prueba en el ambiente de producción. • Falta de estandarización de los datos. |
5 Las inconsistencias por información no significativa se refieren a la existencia de datos registrados que no poseen un sentido lógico en relación con el nombre del campo en la tabla o los demás datos del registro. Por ejemplo, en un campo de dirección física de una persona, el valor registrado es “7”, o bien, en cualquier otro campo, la persona que registra la información ingresó una secuencia aleatoria de letras, tal como “adsfsdfsfa” o valores como “zzzzzzzzzzz”.
Base de datos | Tipos de inconsistencias identificadas |
SIDEX | • Datos de prueba en el ambiente de producción. • Campos nulos y vacíos. • Existencia de datos no significativos. |
XXXXXX | • Existencia de datos no significativos. • Falta de estandarización de datos. • Campos nulos y vacíos. • Datos de pruebas en el ambiente de producción. |
SISOAR | • Campos vacíos y nulos. |
Cabe mencionar que la información analizada en las bases de datos suministradas corresponde a los datos que las áreas usuarias consideran críticas. Para el caso del sistema XXXXXX, no se recibió respuesta por parte del área usuaria, por lo que se evaluó la totalidad de los campos.
El detalle de las inconsistencias encontradas, ver el Anexo: Inconsistencias encontradas en las bases de datos.
En Informe de auditoría AI-SFE-SA-INF-006-2015 “Evaluación del grado de madurez del sistema de control interno relativo al proceso denominado Gestión de la Tecnología de la Información (SFE-TI-01) y auditoría de los sistemas de información automatizados del Servicio Fitosanitario del Estado.” (comunicado con oficio AI SFE 010-2016), consigna las recomendaciones 2.25.6.1, 2.25.6.2 y 2.25.6.3 que en forma integral están direccionadas al establecimiento de mecanismos de control orientados al establecimiento de sanas prácticas que permitan la actualización y la revisión periódica de la información almacenada en base de datos. Dichas recomendaciones cuentan con instrucción superior para su atención.
2.8.3 Causa
2.8.3.1 Ausencia de controles en la entrada de datos a nivel de los sistemas de información del SFE, los cuales permiten el registro de información sin el uso de filtros.
2.8.3.2 Ausencia de un control para verificar y supervisar la calidad de la información suministrada en los sistemas de información del SFE.
2.8.4 Efecto
2.8.4.1 Debilitamiento del sistema de control interno en el almacenamiento de información poco útil para la gestión del SFE.
2.8.5 Conclusión
Se determinó que la falta de oportunidad en la atención de recomendaciones está incidiendo en forma negativa en la calidad de la información que se registra en base de datos.
Consecuente con lo anterior, se detectaron inconsistencias en la información almacenada en los sistemas de información del SFE. En ese sentido debe considerarse que la información que se registra en sistema debería ser exacta, suficiente y de valor para la institución. Al existir inconsistencias en la información que da soporte a los procesos del SFE, puede dificultar la toma de decisiones por la falta de calidad en los datos almacenados, con los inconvenientes negativos que dicha situación podría generar en la gestión.
2.8.6 Recomendación
A los administradores del Sistema de Solicitud de Certificados Fitosanitarios para exportación fuera del SIVUCE 2.0, Registro de exportadores (SIDEX), Solicitudes de Certificación Especial, Aplicación móvil - Consulta de Exportador, SICA, SICOIN, Sistema de Consultas de Estadísticas de importación, Monitoreo del control de residuos de plaguicidas para importación (MORI), SAUDE, XXXXXX (Laboratorio de Diagnostico) y SISOAR:
2.8.6.1 Revisar los controles de ingreso de datos en los sistemas de información del SFE, con el fin de que se determinen las causas técnicas y humanas que han generado las inconsistencias que se presentan en la base de datos. Como resultado de esa revisión, se debe valorar la implementación de controles adicionales en los sistemas, gestión que se deberá coordinar con la UTI. En caso de que se considere la no viabilidad de la modificación y mejora de los sistemas de información actuales, se debe documentar la respectiva justificación y analizar los riesgos asociados de continuar con la problemática.
2.8.6.2 Establecer y ejecutar un plan de acción definiendo plazos y actividades para depurar las inconsistencias que actualmente existen en cada uno de los sistemas de información evaluados. El detalle de los registros de las bases de datos que presentan debilidades de información, pueden consultarlo en el link remitido por la Auditoría Interna, vía correo electrónico.
A la Unidad de Tecnologías de la Información:
2.8.6.3 Definir el formulario mediante el cual, cada administrador de los sistemas de información debe identificar y documentar los datos que se deben valorar en las revisiones de calidad de registro de información, información que debe contribuir con la toma de decisiones; resultado de esa gestión, que le debe permitir a la
Dirección con el apoyo de la PCCI y la UTI implementar ese mecanismo de control. Dicha gestión debe alinearse a la atención integral de las recomendaciones 2.25.6.1,
2.25.6.2 y 2.25.6.3 contenidas en el informe de auditoría AI-SFE-SA-INF-006-2015 “Evaluación del grado de madurez del sistema de control interno relativo al proceso denominado Gestión de la Tecnología de la Información (SFE-TI-01) y auditoría de los sistemas de información automatizados del Servicio Fitosanitario del Estado.” (comunicado con oficio AI SFE 010-2016).
Capítulo III: Asuntos por informar
3.1 Sobre el nivel de cumplimiento de la metodología TI-MT-03 y de los procedimientos de desarrollo de software en los expedientes “Sistema de impresión de certificados fitosanitarios para exportación fuera del SIVUCE 2.0”, “Solicitudes de certificación especial”, “Aplicación móvil consulta de exportador”, “Sistema de consultas de estadísticas de importación”, “XXXXXX” y “SISOAR”.
Se revisaron los siguientes expedientes de los proyectos de TI:
• Sistema de impresión de certificados fitosanitarios para exportación fuera del SIVUCE 2.0.
• Solicitudes de certificación especial.
• Aplicación móvil consulta de exportador.
• Sistema de consultas de estadísticas de importación.
• XXXXXX.
• SISOAR.
En todos ellos se identificó que no se elaboraron algunos formularios requeridos en la metodología TI-MT-03 y en los procedimientos de desarrollo de software utilizados (TI-ADS-PO-04 Procedimiento de análisis de sistemas de información v2, TI-ADS-PO-05 Procedimiento de diseño de sistemas de información v1, TI-ADS-PO-06 Procedimiento de programación de sistemas de información v1 y TI-ADS-PO-07 Implementación del sistema de información v1), regulaciones internas que se mantenían vigentes durante la ejecución de esos proyectos. Además, en algunos de ellos, se determinó la existencia de formularios incompletos. A continuación, en la tabla 1 y en la tabla 2 se detalla la situación encontrada. Cabe destacar que, la simbología utilizada en las tablas significa lo siguiente:
• X: No se elaboró el documento.
• ✓: Se elaboró el documento y se encuentra completo.
• !: El documento se encuentra incompleto.
En el caso del sistema XXXXXX, este proyecto fue implementado antes de la creación de la metodología de proyectos, es decir, no se realizó con base en la TI-MT-03, por lo tanto, no se elaboró ninguno de los formularios que en esta se solicitaban.
Además, cabe destacar que en las tablas no se muestran todos los formularios que debían de completarse con la metodología TI-MT-03 y los procedimientos de desarrollo de software, dado que el objetivo es mostrar los formularios de los proyectos en los cuales no se elaboraron o están incompletos.
Tabla 1 Formularios de TI-MT-03 Metodología para administración de proyectos de TI
Formularios / Proyecto | Sistema de impresión de certificados fitosanitarios fuera del SIVUCE 2.0 | Solicitudes de certificación especial | Aplicación móvil Consulta de exportador | Sistema de consultas de estadísticas de importación | SISOAR |
Registro de determinación de problemas u oportunidades | X | X | X | X | X |
Estudio de factibilidad de proyectos de TI | X | X | X | X | X |
Registro de presentación del proyecto | ✓ | ✓ | No se incluyó el presupuesto estimado. | ✓ | ✓ |
Registro de cronograma | No se incluyeron los recursos ni la secuencia de cada entregable o actividad. | No se incluyeron los recursos ni la secuencia de cada entregable o actividad. | No se incluyó la duración, los recursos ni la secuencia de cada entregable o actividad. | No se incluyeron los recursos ni la secuencia de cada entregable o actividad. | No se incluyeron los recursos ni la secuencia de cada entregable o actividad. |
Registro de presupuesto | X | X | X | X | X |
Registro de riesgos | No se completó el campo de nivel o clasificación ni la respuesta de cada riesgo. | No se completó el campo de nivel o clasificación ni la respuesta de cada riesgo. | No se completó el campo de nivel o clasificación ni la respuesta de cada riesgo. | No se completó el campo de nivel o clasificación ni la respuesta de cada riesgo. | No se completó el campo de nivel o clasificación ni la respuesta de cada riesgo. |
Carta constitutiva del proyecto | X | X | X | X | X |
Registro de aceptación de entregables | No se incluyó la fecha de revisión ni la fecha de aceptación de cada entregable. | ✓ | ✓ | ✓ | ✓ |
Registro de métricas de desempeño del proyecto | X | X | X | X | X |
Registro de informe de estado de proyecto | X | X | X | X | X |
Según indicó la UTI los procedimientos de programación que se utilizaron para dichos proyectos son:
• TI-ADS-PO-04 Procedimiento de análisis de sistemas de información v2.
• TI-ADS-PO-05 Procedimiento de diseño de sistemas de información v1.
• TI-ADS-PO-06 Procedimiento de programación de sistemas de información v1.
• TI-ADS-PO-07 Implementación del sistema de información v1.
Tabla 2 Documentos de los procedimientos de programación
Formularios / Proyecto | Solicitudes de certificación especial | Aplicación móvil Consulta de exportador | Sistema de consultas de estadísticas de importación | Xxxxxx (Laboratorio de Diagnóstico) | SISOAR |
Documento de pruebas | ✓ | ✓ | ✓ | X | ✓ |
Nota de aceptación de la etapa de programación | X | ✓ | X | ✓ | X |
Manual técnico | ✓ | ✓ | X | ✓ | ✓ |
Dado lo anterior, se evidencia el no cumplimiento a cabalidad de la metodología TI-MT-03 y de los procedimientos de desarrollo TI-ADS-PO-06 v1 y TI-ADS-PO-07 v1. Cabe destacar que esta metodología se encuentra obsoleta; razón por la cual, no se comunicarán esos resultados a través de un hallazgo, por cuanto ya no es práctico generar recomendaciones sobre este particular; no obstante, es necesario informar a la administración de estos.
Además, es importante mencionar que actualmente existe un procedimiento para la ejecución de proyectos de TI, el cual empezó a regir en el año 2017.
Capítulo IV: Apéndices
4.1 Inconsistencias encontradas en las bases de datos.
4.1.1 Base de datos Fitos_CertEspeciales.
Tabla dbo_Cat_Cultivo | |
Campo | Valores encontrados |
vc_Especie | (campos vacíos) “.” (carácter de punto) |
Tabla dbo_Cat_Leyenda | |
Campo | Valores encontrados |
vc_Descripcion | “Prueba 11” |
Tabla dbo_FTS_CertificadoFitosanitario | |
Campo | Valores encontrados |
vc_TipoCertificado | “Prueba de sistema” |
vc_NombreExportador | “cvv” “PRUEBA” “xxxx xxxxxx Xxxxxx” “prueba xx Xxxxxxx” “XXXXXXX XXXXXX” |
vc_DireccionExportador | “cx” |
vc_NombreImportador | “xx” |
xx_XxxxxxxxxXxxxxxxxxx | “xx” |
xx_Xxx_XxxxXxxx | (xxxxxx xxxxx) |
dt_CertiFito | (campos nulos) |
vc_DireccionExportador | “//” “310101706234” |
vc_ONPF_Destino | (campos nulos) |
si_Fk_PaisTransito | (campos nulos) |
vc_LugarProduccion | (campos nulos) |
vc_IngredienteActivo | “-” (campos vacíos) “XXXXXXXXXXXXXXXX” “.” |
Tabla dbo_FTS_CertificadoFitosanitario | |
Campo | Valores encontrados |
“////////////” “*******” No se estandariza el valor de no aplica (valores encontrados: NO, ninguno, N.A., N/INGUNO, NA, ND, NINGUN0, ninguna, NINGUNON, NO APLICA, S/N, SN). | |
vc_Concentracion | “-” (campos vacíos) “XXXXXXXXXXXXXXXX” “.” “////////////” “*******” No se estandariza el valor de no aplica (valores encontrados: NO, ninguno, N.A., N/INGUNO, NA, ND, NINGUN0, ninguna, NINGUNON, NO APLICA, S/N, SN, NON). |
vc_Duracion | “-” (campos vacíos) “XXXXXXXXXXXXXXXX” “.” “////////////” “*******” “15° C” No se estandariza el valor de no aplica (valores encontrados: NO, ninguno, N.A., N/INGUNO, NA, ND, NINGUN0, ninguna, NINGUNON, NO APLICA, S/N, SN, NON, NINUNO, EALEENINGUNO). |
vc_LugarExpedicion | “29-09-16” No se estandariza el valor no aplica. “A+” “0” “8 bultos/1708.18Kg.” “P” |
dt_Expedicion | (campos nulos) |
Tabla dbo_SFE_Padron | |
Campo | Valores encontrados |
vc_Identificacion | No se estandariza el número de identificación (Valores negativos, Valores de 1 dígito, 4 dígitos, 5 dígitos, 6 dígitos, “aaa”, uso de guiones, “cédula de identidad-x”, entre otros). |
4.1.2 Base de datos MORI.
Tabla dbo_Imp_Importacion | |
Campo | Valores encontrados |
vc_ResultadosExtras | “prueba” |
i_Num_Muestra | (campos nulos) |
vc_Num_Muestra | (campos nulos) |
dt_ResultadoDigitado | (campos nulos) |
b_Resultado | (campos nulos) |
vc_Informacion_Resultado | (campos nulos) |
4.1.3 Base de datos SAUDE.
Tabla dbo_SAUDE_Composicion_NmbComercial_Marca | |
Campo | Valores encontrados |
vc_Dato | “xxxxxxxxxxxxx” (campos vacíos) |
4.1.4 Base de datos SICA.
Tabla dbo_Cat_Zona | |
Campo | Valores encontrados |
vc_NmbZona | “-” “x” |
Tabla dbo_DocRegImp_Estado | |
Campo | Valores encontrados |
vc_Comentarios | (campos nulos) (campos vacíos) |
Tabla dbo_DocRegImp_RegistroImportador | |
Campo | Valores encontrados |
vc_Nombre | “--” (valores vacíos) |
vc_Cedula | “San Xxxx” No se encuentra estandarizado el formato (números con 7 dígitos, 8 dígitos, 9 dígitos, 10 dígitos, uso de guiones en algunos registros y con variación en la cantidad de dígitos). |
vc_ApartadoPostal | “0” “g” “o” “no” “n/a|” “NA” “n/a” “ND” (campos nulos) |
vc_Fax | “0” “na” “no” “no” “o” “n/a” (campos nulos) |
vc_Telefono | (valores negativos) (valores con un dígito, 4, 7, 8, 9 dígitos, uso de guiones en algunos registros) “nbnbnbb” “XX” (campos vacíos) |
vc_DireccionAcopio | (campos vacíos) “NA” “n/a (no aplica)” “n/a no aplica” “N/A.” |
Tabla dbo_DocRegImp_RegistroImportador | |
Campo | Valores encontrados |
“N/O” “ND” “NO APLICA” |
Tabla dbo_DocRegImp_Representantes | |
Campo | Valores encontrados |
vc_Calidades | (campos vacíos) |
vc_Cedula | Existencia de valores con 1, 3, 6, 7 u 8 dígitos (campo no estandarizado). “APOD.GENER.” “o” “NA” “dsfgdsg” “no0aplico” “N/A” “nd” “NO APLICA” “ewerwqrf” (campos vacíos) |
Tabla dbo_Exp_Exportador | |
Campo | Valores encontrados |
vc_Nmb | “PruebaExport” Valores duplicados (por ejemplo, LSZZERI y XXXXXXX; EMPRESAS CAROZZI SA y Empresa Carozzi S. A.; Multi-Flour International Corp., MULTI-FLOUR INTERNATIONAL LTD y MULTI-FLOUR INTERNATIONAL CORP; entre otras). |
vc_Direccion | “Prueba city” “13950” “n/a” “N/D” (campos vacíos) “N/A (NO APLICA)” “el” |
Tabla dbo_Exp_Exportador | |
Campo | Valores encontrados |
“be” “S” “---” |
Tabla dbo_Prd_Presentacion | |
Campo | Valores encontrados |
vc_Descripcion | Valores no significativos (por ejemplo, “xzc”, “xzx”, “zzz”, “zxx”, “xxx”, “zzxx”, “zxcvx”, “xxxxxxx”, entre otros). “..” |
Tabla dbo_Prd_Producto | |
Campo | Valores encontrados |
vc_NmbCientifico | Valores no significativos (por ejemplo, “zzzzzzzz”, “zzzzSolanum tuberosum”, “zzzzzzaa”, “zzsxdc”, “zzswea”, “zzxde”, entre otros). “Cualquier especies” “Cualquier especie” “ninguno” “Cualquiera” Valores de prueba (“Prueba Producto”) |
vc_NmbComun | Valores no significativos (por ejemplo, “zzzzzzzzzz”, “zzzz”, “zzzxdc”, “zzzzzz”, “zzxcf”, “zzxc”, “ZZZZZ”, entre otros). |
Tabla dbo_ReqsFito_RequisitosFitozoosanitarios | |
Campo | Valores encontrados |
c_MedioTransporte | (campos vacíos) |
4.1.5 Base de datos SICOIN.
Tabla dbo_AgenciaAduanal | |
Campo | Valores encontrados |
Nombre | “?” |
Tabla dbo_Constancia_Inspeccion | |
Campo | Valores encontrados |
NumerosCarga | (campos vacíos) |
TipoModalidad | (campos vacíos) |
Marchamo | (campos vacíos) |
“1” | |
“0” | |
(valores negativos) | |
“.” | |
“MAG SFE-” | |
“MAG SV” | |
“N/A” | |
“N o lleva marchamos del M.A.G” | |
“N O LLEVA” | |
“N” | |
“N I L” | |
“NO LE CORRESPONDE” | |
“NINGUNO” | |
Entre otros. | |
Observaciones | “----” |
“…” | |
“NINGUNA” | |
“NO” | |
(campos vacíos) | |
Importador | (campos vacíos) |
PaisOrigen | (campos vacíos) |
PaisDestino | Valores no estandarizados (por ejemplo, XXXXX RICA, CR, “C R”, “C. .R.”, C.R, C.R., XXXXX, XXXXX RICAS, XXXXX TICA, entre otros. |
Tabla dbo_Constancia_Inspeccion | |
Campo | Valores encontrados |
NumeroDocumentoBL | (campos nulos) (campos vacíos) |
iNotaTecnica | (campos nulos) |
Tabla dbo_Documento_BL | |
Campo | Valores encontrados |
NumeroDocumentoBL | (valores negativos) (campos vacíos) |
Tabla dbo_ProductosConstancia | |
Campo | Valores encontrados |
Clase | Valores de prueba (“prueba”) “NO PUEDO CREER QUE ESTO SEA” “MANTEQUILLA” “NO PUEDO” “XXXXXXXXXXXX” “XXXXXX” |
NombreComun | Valores de prueba (“prueba”) “NO PUEDO CREER QUE ESTO SEA” “MANTEQUILLA” “QUE ESTO NO SEA MANTEQUILLA” “XXXXXXXXXXXXX” “XXXXX” “zzzzz” “1” “4” |
NombreCientifico | “--” “-- Cualquier especie” “-- Cualquiera" “-- Varios" “*” “**” “***” “****” |
Tabla dbo_ProductosConstancia | |
Campo | Valores encontrados |
Unidades | (valores numéricos) No se estandariza el formato de datos (por ejemplo, Kg, Kilogramo, LIT, LITROS, UND, Unidades). |
Presentacion | Valores de prueba (“prueba”) Valores numéricos. Campos no estandarizados (por ejemplo, CAJAS, CAJAAS, CAJAS., CAJASA, CAJASQ, CAJSA, entre otros.) |
Peso | (campos nulos) |
NumeroAutorizacion | (campos nulos) |
Tabla dbo_ProductosTransito | |
Campo | Valores encontrados |
Presentacion | (campos vacíos) Campo no estandarizado (por ejemplo “GRNULADO”, “UNIDEDES”, “UNDS”, “1L”, “Lliquido”, “XXXXXXX”, xxxxx xxxxx). “--” (xxxxxxx numéricos) “zxxz” |
Clase | “.” |
NombreComun | “zzxdrr / zxvfdrfd” “zxzx” “zzzz” “.” |
valor | (campos nulos) |
Tabla dbo_Transito | |
Campo | Valores encontrados |
Validez | (campos vacíos) “ VEZ” “ZXZ” |
NombreExportador | (valores numéricos) “ZXX” |
Tabla dbo_Transito | |
Campo | Valores encontrados |
DireccionExportador | Valores no estandarizados (por ejemplo, “`PANAMA”, “Panama”, “Panamá”, entre otros.) |
NombreImportador | (valores numéricos) Valores no estandarizados (por ejemplo, 4-AGRO S.A-GT, 4-AGRO S.A, 4 - AGRO S.A, 4- AGRO S.A., entre otros). |
DireccionImportador | Valores no estandarizados (por ejemplo, Holanda -Países Bajos-, Holanda (Países Bajos), Holanda / Países Bajos, entre otros). |
NombreSolicitante | Valores no estandarizados (por ejemplo, REC.(-1021332), REC. -1040500, R/- 1089265, RECIBO 1565933, entre otros). |
NombreConductor | “--------------“ (campos vacíos) |
IdentificacionVehiculo | (campo vacíos) Valores numéricos (1 dígitos, valores negativos). “NONONONO” “No definido” “NOOOO” |
Tabla dbo_UnidadTransporte | |
Campo | Valores encontrados |
NumeroUnidadTransporte | (campos vacíos) |
4.1.6 Base de datos SIDEX.
Tabla dbo_Reg_Acciones | |
Campo | Valores encontrados |
vc_Ley | sdfsdfsdf |
vc_Resultado | sdf “%” “Que” |
vc_Motivo | sdf |
vc_Inspector | sdf |
Tabla dbo_Reg_Empacadora | |
Campo | Valores encontrados |
vc_Direccion | Datos de prueba (por ejemplo, “prueba”, “prueba1”, “prueba2”, “prueba333”, “prueba1”, “prueba3 modi” “prueba44”, “Prueba”, “prueba”, “prueba de renovación”, “prueba de renovacion 1”, “Prueba 2 San Xxxx”, “prueba1” “Prueba Xxxx”. Uso de valores no significativos (wtrwerw “rtyre”, “234234234”, “vivero”, “werqreqwe”, “, “234234234”, “rtyre”, “234234234”, “100”, “gg”, “277”, “gfhgfhgfhfdhfdh”, “400”, “200”, “xxxxx”, “nnn”, “fsfsfsf”, entre otros). |
Tabla dbo_Reg_FacturaAnualidad | |
Campo | Valores encontrados |
vc_NombreArchivo | (campos nulos) |
i_FK_Persona | (campo nulo) |
vc_Deposito | Valores no significativos (por ejemplo, “OOOOO”, “FSDFGDS”, “OOOO”, “bfhbhfbhf”, “xxxxxxxx@xxx.xx.xx”, “xxxxx”, “Igual que el 3078”, “????????????????????????????08232731”, entre otros). |
vc_Documento | (campos nulos) |
Tabla dbo_Reg_Finca | |
Campo | Valores encontrados |
vc_Direccion | Valores de prueba (1 km al suroeste de la Iglesia Católica de La Tigra, San Xxxxxx. (prueba3), Prueba2, Prueba de finca, Prueba 1, prueba 2, , Xxxxxx Xxxxxxx, prueba15). Valores no significativos (por ejemplo, “sdfgsdfgsdfgsdf “Tigra”, “Vainilla”, “100”, “4”, “hgjhg”, “hjjgjf”, “sd”, “sssss”, “v”, “FSFS”, “xxxxx”, “xvvxvxv”). |
Tabla dbo_Reg_Persona | |
Campo | Valores encontrados |
i_Num_Registro | (valores negativos) (campos vacíos) |
vc_Nombre | “wtert rtwe” “xxxxxxxx” “-02Alfonso” “ss” “a” “487” “standard” “WWWW” “adad” “3102687575” |
vc_Direccion | Valores numéricos (por ejemplo, “100”, “11”, “1”, “5067”) “ewerwerwerwerwer” “sdfsdf” “sdfgdfg” “asdfasd” “ertyertyy” “sdfsdf” “sdfsdfgdf” Entre otros… |
Tabla dbo_Reg_Persona | |
Campo | Valores encontrados |
vc_Telefono1 | Valores numéricos entre 1 y 8 dígitos. Uso de guiones en algunos valores. “yrtyrtyrtyrty” “N/A” “sfsfsf” “h” “dgdf” Entre otros… |
vc_CorreoElectronico | Datos de pruebas (por ejemplo, “xxxxxxx00@xxx.xx.xx”, “xxxxxxx00@xxxxx.xxx”, “xxxxxxxxxxxxxxxxxxx@xxxxx.xxx”, “xxxxxx00@xxxxx.xxx”). Valores numéricos (por ejemplo, “1”, “405”, “10801”). (campos vacíos) “z” “sffsf” “sfsfsfsf” “SFSFSF” |
vc_NombreRepresentanteLegal | “1” “AA” (campos vacíos) |
vc_CedulaRepresentanteLegal | Valores numéricos entre 1 y 9 dígitos. Uso de guiones son en algunos casos. “na” “Xxxxxx” “dgdg” “da” “NA” |
vc_DireccionRepresentanteLegal | Valores numéricos entre 1 y 4 dígitos. (campos nulos) (campos vacíos) “dd” “DDDD” “GG” |
Tabla dbo_Reg_Persona | |
Campo | Valores encontrados |
“gg” “MM” “DD” “ff” “ala” “Ala” “al” “sdsdsdsd” “idem” “??????????????” Entre otros… | |
vc_Identificacion | Valores numéricos. (campos vacíos) “fsfsfs” “h” “xxxxxx” “dadada” “ffsfsf” Entre otros… |
vc_NombreRepresentanteLegal2 | (campos vacíos) (campos nulos) “ “ “ “ “fdghfghgn” “da” “xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx” “J” Entre otros… |
vc_CedulaRepresentanteLegal2 | Valores numéricos. (campos vacíos) “ “ “dgdg” “xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx” Entre otros… |
Tabla dbo_Reg_Persona | |
Campo | Valores encontrados |
vc_DireccionRepresentanteLegal2 | (campos vacíos) “ “ “FJGHJGHJNGMHJ” “dgdg” “ad” “xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx” Entre otros… |
vc_NombreRepresentanteLegal3 | (campos vacíos) “ “ “xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx” Entre otros… |
vc_CedulaRepresentanteLegal3 | (campos vacíos) “ “ “xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx” Entre otros… |
vc_DireccionRepresentanteLegal3 | (campos vacíos) “ “ “xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx” Entre otros… |
vc_Calidades1 | Valores numéricos entre 1 y 9 dígitos. Uso de guiones en algunos casos. (campos nulos) (campos vacíos) “Pres” “wrwr” “ada” |
vc_Calidades2 | “5435435343” “ewe” (campos nulos) (campos vacíos) |
vc_Calidades3 | (campos nulos) (campos vacíos) |
dt_ProxAnualidad | (campos nulos) |
dt_Vencimiento | (campos nulos) |
Tabla dbo_Reg_Persona | |
Campo | Valores encontrados |
vc_ObservacionesRevision | “SiSoTec 00000” (xxxxxx nulos) (campos vacíos) |
Tabla dbo_Reg_RequisitoPersona | |
Campo | Valores encontrados |
vc_Documento | (campos nulos) (campos vacíos) |
vc_Observaciones | (campos nulos) (campos vacíos) |
vc_NombreArchivo | (campos nulos) (campos vacíos) |
Tabla dbo_Reg_Resolucion | |
Campo | Valores encontrados |
vc_Condicion | (campos vacíos) |
vc_TipoResolucion | (campos nulos) (campos vacíos) |
vc_Descripcion | “11” “tt” “i” (campos vacíos) |
Tabla dbo_Reg_TratamientoEmpacadoraProducto | |
Campo | Valores encontrados |
i_FK_NombreQuimico | (campos nulos) |
vc_Frecuencia | “vez” “si” “ND” Valores numéricos entre 1 y 2 dígitos. |
vc_Dosis | (campos vacíos) |
vc_ClaseQuimico | (campos vacíos) |
vc_NombreQuimico | (campos vacíos) |
Tabla dbo_Reg_TratamientoFincaProducto | |
Campo | Valores encontrados |
vc_Dosis | “ND” “cc” “CL” “na” “n” (campos vacíos) |
vc_Frecuencia | “ND” “cc” “todos” “e” “na” Valores numéricos entre 1 y 2 dígitos. (campos vacíos) |
i_FK_NombreQuimico | (campos nulos) |
vc_ClaseQuimico | (campos vacíos) |
4.1.7 Base de datos XXXXXX.
Tabla dbo_Res_AnalisisEntomologia | |
Campo | Valores encontrados |
vc_Observacion | “sfd” |
“.” | |
“w.” | |
“*” | |
“-.” | |
“.-“ | |
“c” | |
Entre otros… |
Tabla dbo_Res_AnalisisEntomologia_Resultado | |
Campo | Valores encontrados |
vc_Estadio | “n/i” “n/a” “n7a” “A” “N I” |
Tabla dbo_Res_AnalisisNematologia_Resultado | |
Campo | Valores encontrados |
vc_Estadio | “J” |
Tabla dbo_Sol_Muestra_LabAsignado | |
Campo | Valores encontrados |
dt_RegistroResultado | (campos nulos) |
Tabla dbo_Sol_Recepcion | |
Campo | Valores encontrados |
vc_Entrega | Valores numéricos. Fechas. “xxxxx” “J” “l” “D” “HN” “lr” “LM” |
vc_ObservacionEstado | Datos de prueba (por ejemplo, prueba del sistema, PRUEBA DEL SISTEMA, 58rueba). “.” |
Dt_RegistroResultado | (campos nulos) |
4.1.8 Base de datos SISOAR.
Tabla dbo_Hist_Mod_Sol_ARP | |
Campo | Valores encontrados |
vc_Observacion | (campos vacíos) “.” |
Tabla dbo_Hist_Mod_Sol_Asignada | |
Campo | Valores encontrados |
vc_Observacion | (campos vacíos) |
Tabla dbo_Sol_ARP | |
Campo | Valores encontrados |
d_Asignacion | (campos nulos) |
vc_Email_Importador | (campos vacíos) |