INFORME DE CONTROL INTERNO - Internet - Inicio€¦ · Auditoría Interna Código Versión Estructura de Informe Estudio de Auditoría su aprobación Rige a partir de Página I AI

Ministerio de Agricultura y Ganadería Servicio Fitosanitario del Estado

Auditoría Interna

Código Versión Estructura de Informe Estudio de Auditoría

Rige a partir de su aprobación

Página I AI-PO-01_F-26 2

Servicio Fitosanitario del Estado, MAG • Teléfono: (506) 2549-3400 • (506)2549-3450

Apdo. 1521-1200 página web: www.sfe.go.cr

Oficio de remisión AI SFE 232-2017

Informe Nº AI-SFE-SA-INF-007-2017 31 de octubre, 2017

INFORME DE CONTROL INTERNO

RESULTADOS DEL ESTUDIO DE AUDITORÍA RELATIVO A LA EVALUACIÓN DEL SISTEMA DE CONTROL INTERNO IMPLEMENTADO EN MATERIA DE TECNOLOGÍAS DE LA INFORMACIÓN, PARA CUMPLIR CON LO DISPUESTO EN EL DECRETO EJECUTIVO N° 37549-JP (REGLAMENTO

PARA LA PROTECCIÓN DE LOS PROGRAMAS DE CÓMPUTO EN LOS MINISTERIOS E INSTITUCIONES ADSCRITAS AL GOBIERNO CENTRAL)

Apoyo redacción Licda. Gilda Torres Rojas de informe: Mag. Christian Quirós Núñez

Auditores Asistentes

Elaborado y aprobado por: Lic. Henry Valerín Sandino Auditor Interno


Auditoría Interna



Página II AI-PO-01_F-26 2



CONTENIDO

RESUMEN EJECUTIVO

1. INTRODUCCIÓN ....................................................................................................................................... 1 1.1 ORIGEN .................................................................................................................................................. 1 1.2 OBJETIVO ............................................................................................................................................... 1 1.3 ALCANCE ................................................................................................................................................ 1 1.4 PERÍODO DEL ESTUDIO ........................................................................................................................... 3 1.5 LIMITACIONES ........................................................................................................................................ 3 1.6 NORMAS TÉCNICAS DE AUDITORÍA ........................................................................................................ 4 1.7 COMUNICACIÓN DE RESULTADOS .......................................................................................................... 4

2 RESULTADOS SOBRE EQUIPOS DE CÓMPUTO Y LICENCIAMIENTO ............................................................ 5 2.1 RESULTADOS SOBRE EQUIPOS DE CÓMPUTO Y LICENCIAMIENTO PROPIEDAD DEL SFE ........................ 5 2.1.1 Cantidad de equipos de cómputo ........................................................................................................... 5 2.1.1.1 Distribución de equipo de cómputo según el modelo ........................................................................... 5 2.1.2 Licenciamiento propiedad del SFE .......................................................................................................... 6 2.1.2.1 Sistemas operativos para equipos de cómputo – Esquema OEM .......................................................... 6 2.1.2.1.1 Facturación asociada a la adquisición de Windows 7 Professional – Esquema OEM ......................... 6 2.1.2.1.2 Facturación asociada a la adquisición de Windows 8 Professional – Esquema OEM ......................... 7 2.1.2.1.3 Facturación asociada a la adquisición de Windows Vista Business – Esquema OEM ......................... 7 2.1.2.1.4 Facturación asociada a la adquisición de Windows XP – Esquema OEM ............................................ 8 2.1.2.2 Sistemas operativos para equipos de cómputo – Esquema OPEN ......................................................... 8 2.1.2.3 Aplicaciones de escritorio / “Office” /Esquema OEM ............................................................................ 8 2.1.2.3.1 Facturación asociada adquisición de Office SBE 2007 y Office Professional 2007– Esquema OEM ... 9 2.1.2.3.2 Facturación asociada a la adquisición de Office Professional 2010– Esquema OEM .......................... 9 2.1.2.3.3 Facturación asociada a la adquisición de Office Professional 2013– Esquema OEM ........................ 10 2.1.2.4 Aplicaciones de escritorio / “Office” / Esquema OPEN ........................................................................ 10 2.1.2.4.1 Facturación asociada a la adquisición de Office Professional 2007– Esquema OPEN ....................... 10 2.1.2.4.2 Facturación asociada a la adquisición de Office Professional 2010– Esquema OPEN ....................... 11 2.1.2.4.3 Facturación asociada a la adquisición de Office Professional 2016– Esquema OPEN ....................... 11 2.1.2.5 Estado licenciamiento calificado como “licencias varias” y su vínculo con la facturación y contratos 12 2.2 RESULTADOS QUIPOS DE CÓMPUTO ARRENDADOS POR EL SFE Y SU LICENCIAMIENTO ASOCIADO .... 14 2.2.1 Cantidad de equipos de cómputo, según su modelo .............................................................................. 14 2.2.1.1 Distribución de los equipos, según su tipo ............................................................................................ 14 2.2.1.2 Distribución del equipo de cómputo, según el modelo y la dependencia responsable del control ..... 14 2.2.2 Licenciamiento asociado a equipo de cómputo arrendado por el SFE ................................................... 15 2.2.2.1 Sistemas operativos para equipos de cómputo / esquema OEM ......................................................... 15 2.2.2.2 Aplicaciones de escritorio / “Office” /Esquema OEM ........................................................................... 15 2.2.2.3 Aplicaciones de escritorio / “Office” / Esquema OPEN ........................................................................ 15 2.3 RESULTADOS SOBRE SERVIDORES Y SU RESPECTIVO LICENCIAMIENTO .............................................. 16 2.3.1 Sobre equipos de cómputo que operan como servidores .................................................................. 16 2.3.1.1 Cantidad de servidores .......................................................................................................................... 16 2.3.1.2 Servidores que se ubican en el “Data Central” ..................................................................................... 16 2.3.1.3 Servidores virtuales y su vínculo con servidores físicos ........................................................................ 17 2.3.2 Licenciamiento relativo a servidores (físicos y virtuales) .................................................................. 18


Auditoría Interna



Página III AI-PO-01_F-26 2



2.3.2.1 Licencias adquiridas, instaladas, dadas de baja de inventario y en custodia ..................................... 18 2.3.2.2 Licencias sistemas operativos adquiridas e instaladas y asociadas a servidores físicos y virtuales ... 21 3 RESULTADOS - HALLAZGOS ........................................................................................................... 23 3.1 Debilidades relacionadas con el componente funcional “Actividades de Control” .............................. 23 3.1.1 Criterio .................................................................................................................................................. 23 3.1.2 Condición .............................................................................................................................................. 23 3.1.3 Causa ..................................................................................................................................................... 25 3.1.4 Efecto .................................................................................................................................................... 25 3.1.5 Conclusión ............................................................................................................................................. 25 3.1.6 Recomendaciones ................................................................................................................................. 25 3.2 Debilidades relacionadas con el componente funcional “Sistemas de Información” ........................... 28 3.2.1 El Sistema de Control de Licencias (COLI) genera reportes y consultas insuficientes ........................ 28 3.2.1.1 Criterio .................................................................................................................................................. 28 3.2.1.2 Condición .............................................................................................................................................. 28 3.2.1.3 Causa ..................................................................................................................................................... 29 3.2.1.4 Efecto .................................................................................................................................................... 29 3.2.1.5 Conclusión ............................................................................................................................................. 29 3.2.1.6 Recomendaciones ................................................................................................................................. 30 3.2.2 Diferencias generadas al comparar registros de equipos de cómputo ............................................... 33 3.2.2.1 Criterio .................................................................................................................................................. 33 3.2.2.2 Condición .............................................................................................................................................. 33 3.2.2.3 Causa ..................................................................................................................................................... 35 3.2.2.4 Efecto .................................................................................................................................................... 35 3.2.2.5 Conclusión ............................................................................................................................................. 35 3.2.2.6 Recomendaciones ................................................................................................................................. 36 3.2.3 Registros duplicados en inventarios que informan sobre el equipo de cómputo arrendado ............. 38 3.2.3.1 Criterio .................................................................................................................................................. 38 3.2.3.2 Condición .............................................................................................................................................. 38 3.2.3.3 Causa ..................................................................................................................................................... 39 3.2.3.4 Efecto .................................................................................................................................................... 40 3.2.3.5 Conclusión ............................................................................................................................................. 40 3.2.3.6 Recomendación ..................................................................................................................................... 40 3.2.4 Debilidades en la documentación de la información relacionada con los equipos y licenciamiento

relativo a servidores........................................................................................................................ 41 3.2.4.1 Criterio .................................................................................................................................................. 41 3.2.4.2 Condición .............................................................................................................................................. 41 3.2.4.3 Causa ..................................................................................................................................................... 44 3.2.4.4 Efecto .................................................................................................................................................... 44 3.2.4.5 Conclusión ............................................................................................................................................. 44 3.2.4.6 Recomendaciones ................................................................................................................................. 45 3.2.5 Debilidades al asignar la denominación del archivo electrónico de la hoja de vida de equipos de

cómputo propiedad del SFE ............................................................................................................... 46 3.2.5.1 Criterio .................................................................................................................................................. 46 3.2.5.2 Condición .............................................................................................................................................. 46 3.2.5.3 Causa ..................................................................................................................................................... 46 3.2.5.4 Efecto .................................................................................................................................................... 46 3.2.5.5 Conclusión ............................................................................................................................................. 46 3.2.5.6 Recomendación ..................................................................................................................................... 47


Auditoría Interna



Página IV AI-PO-01_F-26 2



3.2.6 Información y/o documentación insuficiente respecto a la adquisición, instalación y custodia de

licenciamiento específico ................................................................................................................... 48 3.2.6.1 Criterio .................................................................................................................................................. 48 3.2.6.2 Condición .............................................................................................................................................. 48 3.2.6.3 Causa ..................................................................................................................................................... 52 3.2.6.4 Efecto .................................................................................................................................................... 53 3.2.6.5 Conclusión ............................................................................................................................................. 53 3.2.6.6 Recomendación ..................................................................................................................................... 53

4 Opinión de la Auditoría Interna............................................................................................................... 54 Anexo N° 1 ................................................................................................................................................. 55 Diferencias generadas al comparar registros administrativos ......................................................................... 55 Anexo N° 2 ................................................................................................................................................. 61 Diferencias generadas al comparar información que mantiene registrada la UTI contra los resultados del auto-inventario realizado por la Auditoría Interna con la colaboración de las dependencias del SFE ............ 61 Anexo N° 3 ................................................................................................................................................. 73 Diferencias generadas al comparar Hojas de Vida Servidores con información almacenada en el Sistema COLI…… ............................................................................................................................................................. 73 Anexo N° 4 - Resumen ............................................................................................................................... 77 Resultado que soporta la opinión de la Auditoría Interna con respecto al cumplimiento razonable de lo dispuesto en el Decreto Ejecutivo N° 37549-JP (Reglamento para la Protección de los Programas de Cómputo en los Ministerio e Instituciones Adscritas al Gobierno Central) ..................................................................... 77


Auditoría Interna



Página V AI-PO-01_F-26 2



RESUMEN EJECUTIVO

Esta Auditoría Interna en atención al Plan Anual de Labores 2017 concluyó el estudio de auditoría relacionado con la “Evaluación del sistema de control interno implementado en materia de tecnologías de la información, para cumplir con lo dispuesto en el Decreto Ejecutivo N° 37549-JP (Reglamento para la Protección de los Programas de Cómputo en los Ministerios e Instituciones Adscritas al Gobierno Central)”. 1. Aspectos generales sobre el licenciamiento y equipos de cómputo

a) De acuerdo con los registros de la Unidad de Tecnologías de la Información (UTI),

el SFE mantiene 199 equipos de cómputo de su propiedad que están asociados al respectivo licenciamiento.

b) El licenciamiento del SFE (MICROSOFT) se conforma de la siguiente manera:

Sistemas operativos bajo el esquema OEM1 (Windows 7 Professional, Windows 8 Professional, Windows Vista Business y Windows XP Professional).

Sistemas operativos bajo el esquema OPEN2 (Windows 10 Professional). Aplicaciones de escritorio bajo el esquema OEM: Office XP Pro w/Publisher

(version 2002), Office XP SBE (version 2002), Office Pro with BCM (version 2003), Office Basic Edition (version 2003), Office SBE (version 2007), Office Professional (version 2007), Office Professional MLK (version 2007) y Office Professional (version 2010) y Office Professional (version 2013).

Aplicaciones de escritorio bajo el esquema OPEN: Office Standard (Versión 2003), Office Professional (versión 2003), Office Professional (versión 2007), Office Professional (versión 2010) y Office Professional (versión 2016).

Se cuenta con licenciamiento calificado como “licencias varias”, entre ellas: Adobe Pro, AUTOCAD, Epower, Norton, PANDA CLOUD, MS Project Standard, MS Visio Standard, Photoshop y Visual Studio Professional Edition.

También la organización hace uso de licenciamiento calificado como “Código Abierto” (o gratuito).

1 Se denomina fabricante de equipos originales (en inglés: Original Equipment Manufacturer, siglas: MEO, literalmente

«fabricante de equipamiento original») a la empresa que manufactura productos que luego son comprados por otra y vendidos al por menor bajo la marca de la empresa compradora (a veces conocida como empresa reenvasadora). 2 Open License* es un licenciamiento por volumen diseñado para organizaciones que deseen adquirir como mínimo cinco

licencias para un programa determinado. Compañías que adquieran una Open License pueden acceder a la información de licenciamiento a través del sitio seguro Microsoft eOpen site. Open Business le permite a los clientes ahorrar sobre el precio minorista al adquirir cinco o más licencias. Con Open Business, los clientes pueden realizar cualquier combinación de productos Microsoft para alcanzar el mínimo de cinco licencias. Open Volume ahorra aún más si su organización adquiere una gran cantidad de software dentro de alguna familia de productos (aplicaciones, sistemas, servidores). Open Value puede ayudarle a mantenerse actualizado con su Software Assurance (SA) y financiar los pagos a un año al adquirir cinco o más licencias. Si escoge la Opción para compañías, tendrá ahorros adicionales.

https://eopen.microsoft.com/


Auditoría Interna



Página VI AI-PO-01_F-26 2



c) El SFE mantiene bajo la modalidad de arrendamiento 259 equipos de cómputo (174 de escritorio, 78 portátiles y 7 Tabletas). Dicho equipo está asociado a sistemas operativos (esquema OEM) Windows 7 Profesional y Windows 8 Profesional; además tienen instalado Office Profesional 2013 (esquemas OEM y OPEN).

d) Se cuenta con 30 servidores activos (13 físicos y 17 virtuales). Además, se cuentan

con dos servidores físicos que se encuentran inactivos y se determinó que se le dio de baja a un servidor virtual. En términos generales se indica que el licenciamiento asociados a los servidores que se encuentran activos e inactivos, está relacionado con los siguientes grupos de productos: Exchange Server, SQL Server, System Center, Sistemas operativos (Windows Server Enterprice y Standard), Forefront TMG, ISA Server y Client Access Licence (CAL).

e) Considerando en forma integral lo descrito en el numeral 2 denominado “Resultados sobre equipos de cómputo y licenciamiento” del presente informe (y la evidencia obtenida que los soporta), el SFE en lo que es aplicable, cumple razonablemente con lo dispuesto en el Decreto Ejecutivo N° 37549-JP, exceptuando a nuestro criterio el cumplimiento parcial de lo dispuesto en los artículos 2 inciso e y 10 inciso c.

2. Debilidades de control interno que fueron detectadas

a) Formulario que forma parte de la documentación del Sistema de Gestión de la

Calidad (SGC) no está siendo utilizado; además, prácticas administrativas que están integradas a la gestión, no han sido documentadas e incorporadas como parte del citado SGC (Hallazgo 3.1).

b) Los reportes y consultas que se generan a través del Sistema de Control de

Licencias (COLI) son insuficientes; situación que estaría obligando a destinar recursos adicionales para la obtención de la información requerida a través otros medios (Hallazgo 3.2.1).

c) La estructura de los formatos que se utilizan y las diferentes prácticas adoptadas para registrar la información sobre los equipos de cómputo y el licenciamiento asociado al mismo, genera problemas a la hora de conciliar los datos registrados por las unidades de Tecnologías de la Información (UTI), Servicios Generales (USG) y Financiera (UF); situación que está propiciando que se presenten diferencias e inconsistencias al comprar dichos registros (Hallazgo 3.2.2).

d) El registro relacionado con los equipos que mantiene la UTI, USG y UF bajo la modalidad de arrendamiento, presenta datos duplicados (Hallazgo 3.2.3). Sobre este particular se puso en conocimiento a la UTI y posteriormente se nos informó que dicha situación había sido corregida.


Auditoría Interna



Página VII AI-PO-01_F-26 2



e) Carencia de registros bajo el estándar de calidad, que informen sobre los equipos

de cómputo y el licenciamiento asociado a servidores, así como información imprecisa en los registros que se mantienen. (Hallazgo 3.2.4).

f) Existen inconsistencias a la hora de asignar la denominación a los archivos

electrónicos vinculados con las hojas de vida de los equipos de cómputo (Hallazgo 3.2.5).

g) Se determinaron casos de uso licenciamiento específico, en los que no se cuenta con la documentación de su adquisición y registro del licenciamiento en custodia. (Hallazgo 3.2.6).

Para cada una de las debilidades detectadas (hallazgos descritos en el Capítulo 3 del presente informe), se consignan recomendaciones orientadas a su corrección; a efecto de contribuir con el fortalecimiento del sistema de control interno institucional.


Auditoría Interna



Página 1 de 87 AI-PO-01_F-26 2



1. INTRODUCCIÓN

1.1 ORIGEN En cumplimiento del Plan Anual de Labores 2017, se ejecutó el estudio de auditoría denominado “Evaluación del sistema de control interno implementado en materia de tecnologías de información, para cumplir con lo dispuesto en el Decreto Ejecutivo N° 37549-JP (Reglamento para la Protección de los Programas de Cómputo en los Ministerios e Instituciones Adscritas al Gobierno Central)”.

1.2 OBJETIVO

Determinar si el sistema de control interno en materia de tecnología de la información, implementado por el Servicio Fitosanitario del Estado (SFE), le permite garantizar en forma razonable, dar cumplimiento a lo dispuesto en el Decreto Ejecutivo N° 37549-JP "Reglamento para la Protección de los Programas de Cómputo en los Ministerios e Instituciones Adscritas al Gobierno Central".

1.3 ALCANCE

Se verificó lo siguiente: 1.3.1 Registro relativo al inventario de los equipos de cómputo bajo la administración y

control del SFE.

1.3.2 Suficiencia y pertinencia del sistema de control interno con respecto a:

a) Establecimiento de procedimientos que regulen el uso e instalación de programas de cómputo.

b) Establecimiento de mecanismos y prácticas administrativas mediante las cuales

se ejerce control sobre los siguientes aspectos:

Política comprensiva de manejo de programas de cómputo cuya aplicación garantice en forma efectiva la adquisición y uso adecuado de todos los programas de cómputo.

Medidas para evaluar el cumplimiento de las disposiciones en materia de derechos de autor, en lo concerniente a la adquisición y uso de programas de cómputo.


Auditoría Interna






Plan de capacitación orientado al entrenamiento del personal en materia de Derechos de Autor y Derechos Conexos relacionados con los programas de cómputo, las políticas y procedimientos adoptados para cumplir con ellos.

Control y registro del licenciamiento e instalación de licencias en los equipos.

Registro, expediente u hoja histórica por cada uno de los equipos de cómputo en el cual conste, entre otra información, aquella relacionada con la instalación de programas de cómputo o aplicaciones: identificación del equipo, funcionario que autoriza, nombre del programa o aplicación, fecha de instalación y la persona responsable de realizarla.

Medios utilizados para exhortar a todos los contratistas y proveedores del Gobierno Central a cumplir con las normas sobre derechos de autor, a adquirir y utilizar programas de cómputo con sus respectivas licencias de uso.

c) Establecimiento de sistemas de información (manuales, automatizados o una

mezcla de ambos) y controles, mediante los cuales se suministre información confiable que garantice que en la totalidad de las computadoras, única y exclusivamente, se encuentran instalados los programas de cómputo que cumplan con los derechos de autor correspondientes. En ese sentido, se indagó sobre los siguientes aspectos:

Cantidad de los equipos de cómputo existentes y de los programas que tengan instalados las computadoras, así como el número de copias autorizadas de cada programa (incluye la identificación de programa que exceda el número autorizado o que no cuente con la licencia correspondiente). Lo anterior permitió obtener información sobre:

Inventario total de los equipos de cómputo propiedad del SFE y

arrendados (ubicados a nivel de la sede central –incluye equipos en bodegas- y regional; clasificados según su tipo –de escritorio y portátiles-).

Inventario total de licencias adquiridas y aquellas asociadas a equipos de cómputo de escritorio y portátiles arrendados por el SFE (incluye la cantidad instalada, en custodia y excluida de inventario).

Inventario total de los equipos que operan como servidores en sus diferentes versiones ubicados en la sede central y sedes regionales.

Estado de las licencias adquiridas, instaladas, en custodia y excluidas de inventario, lo anterior con relación a los equipos que operan como servidores.

Cantidad de licencias adquiridas en productos de seguridad.


Auditoría Interna






Registro y control sobre el software calificado como “gratuito”.

d) Estado del archivo documental y/o electrónico implementado para el resguardo, acceso y custodia de la documentación (física y/o electrónica) que soporta la adquisición del licenciamiento y equipo (incluye el equipo y licencias asociadas bajo la modalidad de arrendamiento).

e) Remisión al Registro de Derechos de Autor y Derechos Conexos de los

resultados del estudio de auditoría contenido en el informe AI-SFE-SA-INF-005-2016 comunicado con el oficio AI SFE 316-2016 del 28 de octubre de 2016.

f) Verificación, si a lo interno de la organización se ha comunicado que el SFE

cumple con lo señalado en el mencionado decreto, conforme a lo que establece el segundo párrafo del artículo 4 del citado decreto.

g) Grado de implementación de las recomendaciones contenidas en los informes

Nº AI-SFE-SA-INF-005-2015 (oficio AI SFE 161-2015 del 9 de julio del 2015) y N° AI-SFE-SA-INF-005-2016 (oficio AI SFE 316-2016 del 28 de octubre de 2016) que contienen los resultados de estudios de auditoría relacionados con el cumplimiento de lo dispuesto en el Decreto Ejecutivo N° 37549-JP (Reglamento para la Protección de los Programas de Cómputo en los Ministerios e Instituciones Adscritas al Gobierno Central).

1.4 PERÍODO DEL ESTUDIO El estudio se realizó durante el periodo comprendido entre los meses de abril a setiembre de 2017.

1.5 LIMITACIONES a) No se contó con un especialista en tecnologías de la información; razón por la cual, el

objetivo y alcance del estudio de auditoría se enfocó en determinar si el sistema de control interno (especialmente lo correspondiente a actividades de control y sistemas de información) establecido por el SFE, permite cumplir en forma razonable con lo dispuesto en el Decreto Ejecutivo N° 37549-JP.

b) No se obtuvo información sobre la totalidad de las facturas vinculadas con la adquisición

del licenciamiento.


Auditoría Interna






1.6 NORMAS TÉCNICAS DE AUDITORÍA En la ejecución del presente estudio de auditoría se observaron las regulaciones establecidas para las Auditorías Internas en la Ley General de Control Interno N° 8292, normas técnicas, directrices y resoluciones emitidas por la Contraloría General de la República; así como lo dispuesto en el Reglamento de Organización y Funcionamiento de la Auditoría Interna del Servicio Fitosanitario del Estado (Decreto Ejecutivo Nº 36356-MAG).

1.7 COMUNICACIÓN DE RESULTADOS Los resultados contenidos en el presente informe, fueron discutidos con personal de la administración activa durante los siguientes días:

a) El día 10 de octubre de 2017, con los siguientes servidores:

Didier Suárez Chaves, Jefe Unidad de Tecnologías de la Información (UTI) Gilberth Alfaro Chaves, Encargado Infraestructura y Servidores UTI Jeymer Mora Pérez, Encargado de Soporte Técnico UTI Gerardo Quesada Alvarado, Encargado ABD_UTI Andy Jiménez Álvarez, Encargado Análisis y Diseño de Sistemas UTI

Luis Ángulo Jiménez, funcionario de la UTI Azarías Ruíz Villalobos, Jefe Unidad Servicios Generales (USG) Rocío Solano Cambronero, Jefe Unidad Financiera (UF) Silvia Ramírez Moreira, Encargada Área Control Interno de la PCCI

b) El día 30 de octubre de 2017, con los siguientes funcionarios:

Marco Vinicio Jiménez Salas, Director del SFE

Silvia Ramírez Moreira, Encargada Área Control Interno – PCCI

c) Durante los días 30 y 31 de octubre de 2017, con las siguientes funcionarias:

Patricia Campos Herrera, Jefe Unidad de Recursos Humanos (URH) Marilyn Esquivel Vargas, Encargada Área de Capacitación - URH


Auditoría Interna






2 RESULTADOS SOBRE EQUIPOS DE CÓMPUTO Y LICENCIAMIENTO

2.1 RESULTADOS SOBRE EQUIPOS DE CÓMPUTO Y LICENCIAMIENTO PROPIEDAD DEL SFE

2.1.1 Cantidad de equipos de cómputo

Tipo

UTI USG UF (a)

Diferencia UTI / USG

(a) Diferencia UTI / UF

(a) Diferencia UGS / UF

Oficio TI-031-2017 Oficio DAF-SG/218-2017

Oficio DAF-U-FI.010-2017

En uso

En Bodega

Total En uso

En Bodega

Total En uso

En Bodega

Total

Escritorio 74 23 97 118 11 129 91 --- 91 -32 6 38

Portátil (b) 67 35 102 77 47 124 87 --- 87 -22 15 37

Totales 141 58 199 195 58 253 178 --- 178 -54 21 75

(a) Se identificaron diferencias con respecto a los activos registrados. (b) Incluye tabletas.

2.1.1.1 Distribución de equipo de cómputo según el modelo

Modelo (a) Tipo UTI (b) USG Diferencia Modelo (a) Tipo UTI (b) USG Diferencia

780 Escritorio 1 -1 3300 Portátil 1 -1

960 Escritorio 1 -1 2760p tablet Portátil 2 2 0

4600 Escritorio 2 -2 COMPAQ Portátil 2 -2

6000 Escritorio 1 -1 Elitebook 8440 Portátil 11 11 0

BL460CG7 Escritorio 1 -1 Elitebook 8460p Portátil 6 7 -1

COMPAQ6300PRO Escritorio 2 -2 Elitebook 8560p Portátil 5 5 0

D330D Escritorio 1 -1 Inspiron 1300 Portátil 5 -5

D530 Escritorio 1 3 -2 Inspiron 1520 Portátil 2 8 -6

Dc5800 Escritorio 3 9 -6 Inspiron 2650 Portátil 1 -1

Dc6200 Escritorio 6 6 0 Latitude D830 Portátil 2 -2

Dimension 3000 Escritorio 1 1 0 Latitude E5410 Portátil 1 1 0

DR2400 Escritorio 1 -1 Latitude E6400 Portátil 25 25 0

E1910 Escritorio 7 -7 Latitude E6430 Portátil 3 3 0

Genérico Escritorio 4 4 Latitude E6510 Portátil 1 1 0

NOVA PROVISTA Escritorio 5 -5 NX9010 Portátil 1 -1

Optiplex 170L Escritorio 6 -6 Prox2 Portátil 1 1 0

Optiplex 270 Escritorio 1 1 PSAG8U Portátil 1 -1

Optiplex 3010 Escritorio 2 2 SATELITE L20 Portátil 3 -3

Optiplex 330 Escritorio 4 7 -3 T135-SP2013L Portátil 1 1 0

Optiplex 7010 Escritorio 10 10 0 Thinkpad x201 Portátil 31 31 0

Optiplex 745 Escritorio 2 5 -3 Thinkpad x220 Portátil 12 12 0

Optiplex 775 Escritorio 1 -1 Vostro 330 Portátil 1 1

Optiplex 790 Escritorio 1 -1 Optiplex 980 Escritorio 32 24 8


Auditoría Interna






Modelo (a) Tipo UTI (b) USG Diferencia Modelo (a) Tipo UTI (b) USG Diferencia

Optiplex 990 Escritorio 24 23 1 Optiplex Gx260 Escritorio 2 2 0 Optiplex Gx620 Escritorio 1 1 Precision T7400 Escritorio 2 2 0 Sin dato Escritorio

1 -1

XW4600 Escritorio 1 -1 Z210 Escritorio 3 -3 Z400WORKSTATION Escritorio 1 -1 Z420 Escritorio 2 1 1 Totales 97 129 -32 Totales 102 124 -22

Notas: (a) Existen diferencias significativas en las denominaciones de los modelos registras por la UTI respecto a los registros por la USG. (b) Este tipo de comparación no fue posible realizarla considerando los registros de la UF, por cuanto el auxiliar contable no consigna información sobre los modelos de los equipos de cómputo.

2.1.2 Licenciamiento propiedad del SFE

2.1.2.1 Sistemas operativos para equipos de cómputo – Esquema OEM

Tipo de Licencias Esquema Licencias

Adquiridas

Cantidad de Licencias Instaladas Licencias

Custodia Sede Central

Otras Sedes

Bodega UTI

Total

Windows 7 Professional OEM 136 45 57 34 136 ---

Windows 8 Professional OEM 15 9 6 --- 15 ---

Windows Vista Business OEM 120 11 6 23 40 80

Windows XP Professional OEM 30 3 4 1 8 22

Totales 301 68 73 58 199 102

2.1.2.1.1 Facturación asociada a la adquisición de Windows 7

Professional – Esquema OEM

Factura Período

adquisición Cantidad de licencias

Adquiridas Instaladas Custodia

55958 2009 10 10 ---

4494 2010 22 22 ---

Sin dato (*) 2 2 ---

4530 2010 1 1 ---

52822 2010 1 1 ---

52881 2010 1 1 ---

4650 2011 2 2 ---

11745 2011 1 1 ---

11752 2011 5 5 ---

11892 2011 5 5 ---


Auditoría Interna






Factura Período adquisición

Cantidad de licencias

53113 2011 10 10 ---

54111 2011 31 31 ---

CR01005560 2011 12 12 ---

53814 2012 2 2 ---

64588 2012 24 24 ---

111853 2012 7 7 ---

Totales 136 136 --- (*) En el registro de inventario de la UTI se indica que los equipos de cómputo identificados como “J5NWNW1” y “J5NJZV1” que están asociados a un sistema operativo Windows 7 Professional, fueron donados.

2.1.2.1.2 Facturación asociada a la adquisición de Windows 8

Professional – Esquema OEM

Factura Período



68268 2013 13 13 ---

272 2014 1 1 ---

Sin dato (*) 1 1 ---

Totales 15 15 --- (*) En el registro de inventario de la UTI se indica que el equipo de cómputo identificado con el patrimonio “0901-004685” que está asociado a un sistema operativo Windows 8 Professional, fue donado.

2.1.2.1.3 Facturación asociada a la adquisición de Windows Vista

Business – Esquema OEM

Factura Período



5041 2007 2 0 2

87493 2008 38 3 35

3968 2009 22 21 1

7330 2009 2 2 0

49560 2009 11 8 3

Sin dato (*) 2 2 0

255796 2009 41 3 38

24750 2013 1 0 1

Sin dato (**) 1 1 0

Totales 120 40 80 (*) En el registro de inventario de la UTI se consigna que los equipos de cómputo identificados con los patrimonios “FID 3816 y FID 3819 están asociados al sistema operativo Windows Vista Business; sin embargo, se indica que no se cuenta con el dato de la factura.

(**) En el registro de inventario de la UTI se consigna que el equipo de cómputo identificado con el patrimonio “2582251” cuenta con un sistema operativo “Windows Vista Business”; sin embargo, no se

cuenta con el dato de la factura.


Auditoría Interna






2.1.2.1.4 Facturación asociada a la adquisición de Windows XP – Esquema OEM

Factura Período



4785 2007 24 2 22

Sin dato (*) 6 6 ---

Totales 30 8 22 (*) En el registro de inventario de la UTI se consigna que los equipos de cómputo identificados con los patrimonios 1059553, 1064057, 1345, 3844, 3846 y FBN 2394 cuentan con un sistema operativo Windows XP. Sin embargo, únicamente se indica que los equipos 3844 y 3846 están asociados a la factura 4785; para el resto del licenciamiento la UTI no cuenta con los datos de la facturación.

2.1.2.2 Sistemas operativos para equipos de cómputo – Esquema

OPEN

Tipo de Licencias Factura Contrato Licencias

Adquiridas

Cantidad de Licencias Instaladas Custodia Sede

Central Otras Sedes

Bodega UTI

Total

Windows 10 Professional 4251 67273678 3 --- --- --- --- 3

Totales 3 --- --- --- --- 3

2.1.2.3 Aplicaciones de escritorio / “Office” /Esquema OEM

Tipo de Licencias Versión

Cantidad licencias adquiridas e instaladas (COA´s)

Custodia Notas Adquiridas

Sede Central

Otras Sedes

Bodega UTI

Total

Office XP Pro w/Publisher 2002 12 (a) --- --- --- --- 12 (a) (a) Actualmente este licenciamiento no está

siendo utilizado por la organización.

(b) (b) De acuerdo con los

resultados de la auditoría contenidos en el informe

N° AI-SFE-SA-INF-005-2016 que fue comunicado mediante el oficio

AI SFE 316-2016 del 28/10/2016, se consignó que

existen dos licencias Office SBE instaladas y asociadas a la factura 4785.

(c) (c) Únicamente se aportó documentación de 35

COA´s. (d)

Office XP SBE 2002 14 (a) --- --- --- --- 14

Office Pro with BCM 2003 3 (a) --- --- --- --- 3

Office Basic Edition 2003 2 (a) --- --- --- --- 2

Office SBE (for LatAm) 2007 15 2 (b) --- --- 2 13

Office Professional (LatAm) 2007 41 10 5 22 37 44

Office Professional (MLK) 2007 40

Office Professional (LatAm) 2010 41 (c) 18 16 7 41 ---

Office Professional (LatAm) 2013 13 8 5 13 ---

Totales 181 38 26 29 93 88


Auditoría Interna






2.1.2.3.1 Facturación asociada a la adquisición de Office SBE 2007 y Office Professional 2007– Esquema OEM

Factura Período



4785 2007 (a) 24 2 22

Sin dato Sin dato

(b) 2 2 ---

5041 2007 2 --- 2

3968 2009 22 21 1

49560 2009 11 8 3

255796 2009 41 3 38

52881 2010 1 1 ---

24750 2013 1 --- 1

Sin dato Sin dato

(b) 1 1 ---

Sin dato Sin dato

(b) 1 1 ---

Totales 106 (c) 39 67 (a) De acuerdo con lo descrito en el informe N° AI-SFE-SA-INF-005-2016 que fue

comunicado mediante el oficio AI SFE 316-2016 del 28/10/2016, se consignó que existen dos licencias Office SBE instaladas y asociadas a la factura 4785.

(b) En el registro de la UTI se consigna que los equipos identificados con los patrimonios 2582251, 0901-004685, FBN 2394 y 1059553 tienen instalado un Office Professional 2007; sin embargo, se indica que no se cuenta con el dato de la facturación.

(c) De acuerdo con los datos consignados en el cuadro contenido en el numeral 2.1.2.3, el total de las licencias asociadas al Office SBE 2007 y Office Professional 2007 corresponde a 96 COA´s. El total de 106 licencias adquiridas que se reflejan en el cuadro anterior, difiere a los 96 COA´s anteriormente citados, generándose una diferencia de 10 COA´s.

2.1.2.3.2 Facturación asociada a la adquisición de Office Professional 2010– Esquema OEM

Factura Período



55958 2009 10 10 ---

4530 2010 1 1 ---

64588 2012 24 24 ---

111853 (*) 2012 6 6 ---

Totales 41 41 --- (*) Con la factura 111853 se adquirieron 7 computadoras con su respetivas licencias Office Professional 2010. Por medio del contrato 60927046 se adquirió 1 licencia Office Professional Plus 2010 (esquema OPEN), instalada en el equipo de cómputo con el número de patrimonio 0901-002827 vinculado con la citada factura. Sin embargo, la UTI asocia dicha licencia con un Office 2013. Las restantes 6 licencias están asociadas a la factura 111853 bajo el esquema OEM (patrimonio: 0901-002605, 0901-002609, 0901-002608, 0901-002607, 0901-002606 y 0901-002821).


Auditoría Interna






2.1.2.3.3 Facturación asociada a la adquisición de Office Professional 2013– Esquema OEM

Factura Período



68268 2013 13 13 ---

Totales 13 13 ---

2.1.2.4 Aplicaciones de escritorio / “Office” / Esquema OPEN

Tipo de Licencias Esquema Versión

Cantidad licencias adquiridas e instaladas (Facturas / COA´s) Licencias

custodia Adquiridas

Sede Central

Otras Sedes

Baja de Inventario

Bodega UTI

Total

Office Standard (*) OPEN 2003 45 --- --- 45 --- 45 ---

Office Professional (*) OPEN 2003 5 --- --- 5 --- 5 ---

Office Professional OPEN 2007 33 3 3 --- 1 7 26

Office Professional (**) OPEN 2010 92 26 41 --- 20 87 5

Office Professional OPEN 2016 5 --- --- --- --- 0 5

Totales 180 29 44 50 21 144 36

(*) Mediante el oficio ST-020-2016 del 25/10/2016, la UTI gestionó ante la USG la baja de inventario de licenciamiento. (**) Por medio del contrato 60927046 se adquirió 1 licencia Office Professional Plus 2010 (esquema OPEN), que fue instalada en el equipo de cómputo identificado con el número de patrimonio 0901-002827 y vinculado con la factura 111853; sin embargo, la UTI asocia dicha licencia con un Office versión 2013.

2.1.2.4.1 Facturación asociada a la adquisición de Office Professional 2007– Esquema OPEN

Contrato Factura Cantidad de licencias


42596109 Sin dato 8 2 6

44636871 Sin dato

25 2

20 87493 3

Totales 33 7 26


Auditoría Interna









47353445 52822 1 1 ---

47888595 54111 31 31 ---

48206330 4650 2 2 ---

48290998 53113 10 10 ---

49099519 5560 12 12 ---

49152118 11745 1 1 ---

49152119 11752 5 5 ---

49389044 11892 5 5 ---

60927046 (*) 111853 1 1 ---

61106682 53814 2 2 ---

47523379 (**) 4494 22 17 5

Totales 92 87 5 (*) Por medio del contrato 60927046 se adquirió 1 licencia Office Professional Plus 2010 (esquema OPEN), que fue instalada en el equipo de cómputo identificado con el número de patrimonio 0901-002827 y vinculado con la factura 111853; sin embargo, la UTI asocia dicha licencia con un Office versión 2013. (**) Los equipos de cómputo identificados con los números de patrimonio J5NWNW1 y J5NJZV1 están asociados al contrato 47523379 pero no a la factura 4494; al respecto se indica que corresponde a una donación pero no se cuenta con el dato de la factura de compra.




67273365 4251 5 --- 5

Totales 5 --- 5


Auditoría Interna






2.1.2.5 Estado del licenciamiento calificado como “licencias varias” y su vínculo con la facturación y contratos

Casa comercial Contrato Factura Producto adquirido Edición Versión Licencias

Adquiridas Licencias

Instaladas Licencias Custodia

Software de Auditoría-Costa Rica, S.A. (ACL

Services Ltd) 716 (a) ACL Analytics 2015 11.30 1 1 ---

ADOBE Sin dato Adobe Pro 2007 8.0 1 1 ---

Geo Teconologías (esri) Sin dato Argis Desktop basic 10 1 1 ---

Geo Teconologías (esri) 4974 Software Argis 10.4 1 1 ---

MECSOFT de Costa Rica (AUTODESK)

2783 AUTOCAD 2012 1 --- 1

TELESERVICIOS DIGITALES JBM, SA

964 AUTOCAD 2016 LT 2 2 ---

ADOBE Sin dato Creative Suite Web Standard CS3 2007 CS3 1 1 ---

SAP Sin dato 9589 CRISTAL REPORTS 2008 2008 1 --- 1

Grupo de Soluciones Informáticas, GSI S.A.

6895 Epower 2015 3.6 y 4.1 9 9 ---

Grupo de Soluciones

Informáticas, GSI S.A. 8481 Epower 2017 4.1.6458 10 --- 10

GLOBALEX SISTEMAS 22056 GLOBALEX 2017 2017 2 2 ---

Ing. Juan Chavarría Grillo

200 Logica Tropical 2015 2 2 ---


Auditoría Interna






Casa comercial Contrato Factura Producto adquirido Edición Versión Licencias

Adquiridas Licencias

Instaladas Licencias Custodia

COASIN 7809 MINITAB 2016 17 10 10 ---

Microsoft 65127717 4445 MS Project (Standard) 2013 STD 7 7 ---

Microsoft 65127717 4445 MS Vicio (Standard) 2013 STD 10 10 ---

Symantec Corporation Sin dato Norton 2009 Ghost 1 --- 1

PANDA SECURITY 316272

(b) PANDA CLOUD 2017 OFFICE PRO 401 396 5

ADOBE 8463 Photoshop 2010 CS4 1 1 ---

SYBASE Sin dato Sin dato POWER BUILDER 2007 8 1 --- 1

Microsoft 8250082 Sin dato Project 2013 1 --- 1

Excelencia Técnica en Informática SA

1940 RISK 2016 7.5 1 1 ---

OASYS Sin dato Sin dato SYNERGY 2013 2.2.0 1 1 ---

Teamviewer 12545 Teamviewer Corporate Corporate 9 1 1 ---

Microsoft 8250082 Sin dato Visio Standard 2013 1 --- 1

Microsoft 61707411 Sin dato Visual Studio Professional Edition 2012 4 4 ---

Microsoft 63585281 Sin dato Visual Studio Professional Edition 2013 2 2 ---

Microsoft 42718737 Sin dato Visual Studio Professional with MSDN

Professional 2008 3 3 ---

Microsoft 42718737 Sin dato Visual Studio Team System Team Suite 2008 1 1 ---

Microsoft 18308199 Sin dato Visual Studio Tools for Office 2003

1 --- 1

(a) La suscripción venció a partir del 18/06/2017 y no se renovó. (b) Licenciamiento que sustituyó al producto “Panda Endpoint Plus” que había sido adquirido por medio de la factura 275706 (período 2015) de la empresa IS Productos de Oficina Centroamérica SA (Panda Security).


Auditoría Interna






2.2 RESULTADOS SOBRE EQUIPOS DE CÓMPUTO ARRENDADOS POR EL SFE Y SU LICENCIAMIENTO ASOCIADO

2.2.1 Cantidad de equipos de cómputo, según su modelo

Modelo Contrato 2014-19 Adenda al Contrato 2014-19

Total Marca Tipo Cantidad Marca Tipo Cantidad

EliteDesk 800 G1 HP Escritorio 149 HP Escritorio 25 174

EliteBook 840 G1 HP Portátil 8 HP Portátil 17 25

EliteBook 820 G1 HP Portátil 42 42

EliteBook 820 HP Portátil 11 11

EliteBook Revolve 810 G2

HP Tablet PC 2 2

ElitePad 900 G1 HP Tablet 5 5

206 53 259

2.2.1.1 Distribución de los equipos, según su tipo

Tipo UTI USG UF

Diferencia

(*) Oficio TI-031-2017 Oficio DAF-SG/218-2017 Oficio DAF-U-FI.010-2017

En uso En desuso Total En uso En desuso Total En uso En desuso Total

Escritorio 173 1 174 173 - 173 173 - 173 1 (**)

Portátil 78 78 78 - 78 78 - 78

Tabletas 7 7 7 - 7 7 - 78

Totales 258 1 259 258 - 258 258 - 258 1 (*) La diferencia se obtiene al comprar la totalidad de activos registros por la UTI y los registrados por la USG y la UF. (**) Equipo (Serie: MXL43409GB / Modelo: EliteDesk 800 G1) ubicado en la Bodega de la UTI.

2.2.1.2 Distribución del equipo de cómputo, según el modelo y la dependencia responsable del control

Modelo Total Contrato Arrendamiento

UTI USG UF

EliteDesk 800 G1 174 174 (*) 173 173

EliteBook 840 G1 25 25 24 25

EliteBook 820 G1 42 42 43 42

EliteBook 820 G2 11 11 11 11

EliteBook Revolve 810 G2 2 2 2 2

ElitePad 900 G1 5 5 5 5

Totales 259 259 258 258 (*) Incluye computadora de escritorio que se ubica en la bodega de la UTI (Serie: MXL43409GB / Modelo: EliteDesk 800 G1).


Auditoría Interna






2.2.2 Licenciamiento asociado a equipo de cómputo arrendado por el SFE

2.2.2.1 Sistemas operativos para equipos de cómputo / esquema OEM


Arrendadas

Cantidad de Licencias Instaladas Licencias Custodia Sede

Central

Otras

Sedes

Bodega

UTI Total

Windows 7 Professional OEM 254 154 99 1 254 1 (*)

Windows 8 Professional OEM 5 5 5

Totales 259 159 99 1 259 1

(*) Computadora de escritorio (Serie: MXL43409GB / Modelo: EliteDesk 800 G1) ubicada en la Bodega de la UTI.

2.2.2.2 Aplicaciones de escritorio / “Office” /Esquema OEM


Cantidad licencias arrendadas e instaladas (COA´s) Licencias custodia Arrendadas

Sede Central

Otras Sedes

Baja de Inventario

Bodega UTI

Total

Office Professional OEM 2013 174 96 77 --- 1 174 1 (*)

Totales 174 96 77 --- 1 174 1

(*) Computadora de escritorio (Serie: MXL43409GB / Modelo: EliteDesk 800 G1) ubicada en la Bodega de la UTI.

2.2.2.3 Aplicaciones de escritorio / “Office” / Esquema OPEN

Tipo de Licencias Contrato Versión

Cantidad licencias arrendadas e instaladas Licencias custodia Arrendadas

Sede Central

Otras Sedes

Baja de Inventario

Bodega UTI

Total

Office Professional 64173459 2013 57 (*) 45 12 (**) --- --- 57 ---

65716263 2013 28 18 10 --- --- 28 ---

Totales 85 63 22 --- --- 85 ---

(*) El contrato 64173459 posibilita el uso de 58 licencias Office Professional Plus 2013, sin embargo, de acuerdo con los términos del contrato 2014-19 el SFE únicamente puede utilizar 57 licencias. (**) La UTI registró el equipo identificado con la serie 5CG4330Q88 asociándolo con un Office versión 2013 bajo el esquema OEM; sin embargo, si bien el mismo debe vincularse con un Office versión 2013 pero bajo el esquema OPEN (contrato 64173459).


Auditoría Interna






2.3 RESULTADOS SOBRE SERVIDORES Y SU RESPECTIVO LICENCIAMIENTO

2.3.1 Sobre equipos de cómputo que operan como servidores

2.3.1.1 Cantidad de servidores

Ubicación

Cantidad de Servidores

En Uso En desuso Total

Físicos 11 2 (*) 13

Virtuales 17 17

Totales 28 2 30

(*) Los servidores físicos SFE-H-06 y SFE-H-17 están inactivos

2.3.1.2 Servidores que se ubican en el “Data Central”

PATRIMONIO CÓDIGO MARCA MODELO

0901-000279 SFE-H-01 DELL PowerEdge R710

0901-001524 SFE-H-02 DELL PowerEdge T110

0901-003926 SFE-H-05 HP Proliant BL460c G6

0901-004688 SFE-H-06 (*) HP Proliant BL460c G6



3506FBN SFE-H-09 DELL Power Edge 2950

0901-001522 SFE-H-12 DELL PowerEdge T110



1065906 SFE-H-15 DELL PowerEdge 6650

0901-000581 SFE-H-16 DELL Proliant DL380 G6

0901-0000278 SFE-H-17 (*) DELL PowerEdge R710

(*) Los servidores físicos SFE-H-06 y SFE-H-17 están inactivos.


Auditoría Interna






2.3.1.3 Servidores virtuales y su vínculo con servidores físicos

Servidores Virtuales Servidor Físico

SFE-V-01 SFE-H-07 / SFE-H-08



SFE-V-05 (*) SFE-H-13 / SFE-H-14













SANIDADWB SFE-H-13 / SFE-H-14

SERIMAGENES SFE-H-13 / SFE-H-14

(*) Al servidor virtual SFE-V-05 se le dio de baja.


Auditoría Interna






2.3.2 Licenciamiento relativo a servidores (físicos y virtuales)

2.3.2.1 Licencias adquiridas, instaladas, dadas de baja de inventario y en custodia

Factura Contrato Esquema Fecha Inicio

Fecha Finalización

Fecha Renovación

Grupo Familia Versión Adquiridas Baja de

Inventario Instaladas Custodia

Exchange Server

Sin dato 19921860 OPEN 02/12/2005 31/12/2007 Sin dato Servers Exchange Server - Standard 2003 1 1 0 0

9816518979 8250082 EA 21/06/2010 30/06/2013 30/06/2016 Servers Exchange Server - Enterprise 2013 1 0 0 1

SQL Server

525 48495284 OPEN 12/05/2011 31/05/2013 Sin dato Servers SQL Server - Enterprise 2012 1 0 1 0

3433 63585281 OPEN 23/05/2014 31/05/2016 Sin dato Servers SQL Server Standard Core 2014 16 0 16 0

System Center

9816518979 8250082 EA 21/06/2010 30/06/2013 30/06/2016 Servers System Center Standard 2012 9 0 4 5

9816518979 8250082 EA 21/06/2010 30/06/2013 30/06/2016 Servers System Center Endpoint

Protection 2012 300 0 0 300

Sistema Operativo

Sin dato 18021709 OPEN 28/01/2004 31/01/2006 Sin dato Servers Windows Server - Enterprise 2003 1 0 1 0

Sin dato 41490167 OPEN 15/11/2006 30/11/2008 Sin dato Servers Windows Server - Enterprise 2003

Release 2 1 1 0 0

49560 45944660 OPEN 03/10/2008 31/10/2010 Sin dato Servers Windows Server - Enterprise 2008

Release 2 2 0 2 0

52814 47353445 OPEN 03/10/2008 31/10/2010 Sin dato Servers Windows Server - Enterprise 2008

Release 2 1 0 0 1

525 48495284 OPEN 12/05/2011 31/05/2013 Sin dato Servers

Windoes Server Enterprise 2008 R2

10 (*) 0

3

0 Windows Server - Standard 2012 4

111114 60928906 OPEN 21/09/2012 30/09/2014 Sin dato Servers Windows Server - Standard 2012 1 0 1 0

1143 61275175 OPEN 12/12/2012 31/12/2014 Sin dato Servers Windows Server Datacenter - 2

Proc 2012 2 0 2 0


Auditoría Interna







Fecha Finalización

Fecha Renovación



Sin dato Sin dato OEM Sin dato Sin dato Sin dato Server Windows Server Sin dato 6 (**) 6 0

Forefront TMG

525 48495284 OPEN 12/05/2011 31/05/2013 Sin dato Servers Forefront TMG Estandard

Edition Per Procesor 2010 1 0 0 1

ISA Server

Sin dato 42718737 OPEN 17/09/2007 30/09/2009 Sin dato Servers ISA Server Standard - 1

Procesador 2006 1 1 0 0

Client Access Licence (CAL)

Client Access Licence (CAL) – Exchange Server

Sin dato 15801348 OPEN 19/11/2002 30/11/2004 Sin dato Servers Exchange Server Standard CAL 2000 140 140 0 0

Sin dato 19921860 OPEN 02/12/2005 31/12/2007 Sin dato Servers Exchange Server Standard CAL

- User CAL 2003 150 150 0 0

9816518979 8250082 EA 21/06/2010 30/06/2013 30/06/2016 Servers Exchange Server Standard CAL

- Device CAL 2013 300 0 0 300

3433 63585281 OPEN 23/05/2014 31/05/2016 Sin dato Servers Exchange Server Standard CAL

- Device CAL 2013 50 0 0 50

Client Access Licence (CAL) – SQL Server

Sin dato 42718737 OPEN 17/09/2007 30/09/2009 Sin dato Servers SQL - Divece CAL 2008 4 4 0 0

525 48495284 OPEN 12/05/2011 31/05/2013 Sin dato Servers SQL - Device CAL 2012 6 0 0 6

111114 60928906 OPEN 21/09/2012 30/09/2014 Sin dato Servers SQL - Device CAL 2012 10 0 0 10

Client Access Licence (CAL) – System Center

9816518979 8250082 EA 21/06/2010 30/06/2013 30/06/2016 Servers System Center Configuration

Manager Client ML 2012 300 0 0 300

Client Access Licence (CAL) – Windows Server

Sin dato 15801348 OPEN 19/11/2002 30/11/2004 Sin dato Servers Windows Server CAL 2000 135 135 0 0

Sin dato 19921860 OPEN 02/12/2005 31/12/2007 Sin dato Servers Windows Server - User CAL 2003 150 150 0 0

9816518979 8250082 EA 21/06/2010 30/06/2013 30/06/2016 Servers Windows Server - Device CAL 2012 300 0 0 300

3433 63585281 OPEN 23/05/2014 31/05/2016 Sin dato Servers Windows Server - Device CAL 2012 50 0 0 50


Auditoría Interna







Fecha Finalización

Fecha Renovación



Client Access Licence (CAL) – SharePoint Server

9816518979 8250082 EA 21/06/2010 30/06/2013 30/06/2016 Servers Office SharePoint Server

Standard CAL - Device CAL 2013 300 0 0 300

Client Access Licence (CAL) – Lync

9816518979 8250082 EA 21/06/2010 30/06/2013 30/06/2016 Servers Lync Server Standard - Device

CAL 2013 300 0 0 300

(*) Se están utilizando 3 licencias Windows Server (estándar o Enterprise) versión 2008, lo que equivale a 6 licencias Windows Server Estándar versión 2012. Además, sobre las 4 licencias instaladas de Windows Server Estándar versión 2012, se indica que dos de ellas están asociadas a dos servidores físicos (SFE-H-01 y SFE-H-16) que están activos y las otras 2 licencias están asociadas a los servidores físicos SFE-H-06 y SFE-H-17 que están inactivos. (**) De acuerdo con los registros de la UTI, dicho licenciamiento fue utilizado en su oportunidad a través de los equipos de cómputo identificados con los números de patrimonio: 1059580, 1064504, 1064905, 1059599, 410-OIRSA-SIF y 409-OIRSA-SIF. Dichos equipos fueron dados de baja del inventario.


Auditoría Interna






2.3.2.2 Licencias de sistemas operativos adquiridas e instaladas y asociadas a servidores físicos y virtuales

DESCRIPCIÓN LICENCIA SERVIDORES

INFORMACIÓN CONTRACTUAL SERVIDOR FÍSICO

(4)

SERVIDOR VIRTUAL

(4)

LICENCIAS INSTALADAS

VERSIÓN CONTRATO ADQUIRIDAS FÍSICOS VIRTUALES TOTAL CUSTODIA (3)

Windows Server -Enterprise

2003 18021709 1 SFE-H-15 1 1 0

2008 R2 45944660 2 SFE-H-09 SFE-H-02

2 2 0

2008 R2 47353445 1 0 1

2008 R2

(1)

48495284 3

SFE-H-05

3 5 8 0

SFE-H-07 SFE-H-08

SFE-V-01 SFE-V-08 SFE-V-13 SFE-V-14 SFE-V-17

TOTALES 7 6 5 11 1

Windows Server - Standard

2012 60928906 1 SFE-H-12 1 1 0

2012 48495284 4 SFE-H-01 SFE-H-16

2 2 2

TOTALES 5 3 0 3 2


Auditoría Interna






DESCRIPCIÓN LICENCIA SERVIDORES

INFORMACIÓN CONTRACTUAL SERVIDOR FÍSICO

(4)

SERVIDOR VIRTUAL

(4)

LICENCIAS INSTALADAS

VERSIÓN CONTRATO ADQUIRIDAS FÍSICOS VIRTUALES TOTAL CUSTODIA (3)

Windows Server Datacenter

2012

(2)

61275175 2 SFE-H-13 SFE-H-14

SFE-V-03 SFE-V-04 SFE-V-06 SFE-V-07 SFE-V-09 SFE-V-10 SFE-V-12 SFE-V-15 SFE-V-16 SFE-V-18

SANIDADWB SERIMAGENES

2 12 14 0

TOTALES 2 2 12 14 0

(1) Cuando se adquiere una licencia de Windows server 2008 R2, edición Enterprise, se tiene derecho a licenciar un ambiente de Sistema Operativo físico y 4 ambientes de Sistema Operativo virtuales; tal es el caso del contrato No. 48495284 que soporta los servidores físicos SFE-H-07 y SFE-H-08, ellos conforman un cluster de 5 ambientes de Sistema Operativo virtuales. En este caso se tiene derecho a 8 ambiente de Sistema Operativo virtuales, 4 por cada servidor físico. (2) Cuando se adquiere una licencia de Windows server 2012, edición Datacenter; se tiene derecho a licenciar un ambiente de Sistema Operativo físico, y en este caso por ser una edición especial para ambientes virtuales, un número ilimitado de ambiente de Sistema Operativo virtuales; tal es el caso del contrato No. 61275175 que soporta los servidores físicos, SFE-H-13 y SFE-H-14, ellos conforman un cluster de 12 ambiente de Sistema Operativo virtuales. En este caso se tiene derecho a todos los ambiente de Sistema Operativo virtuales que soporte el hardware. (3) Diferencia obtenida como producto de: cantidad de licencias adquiridas menos cantidad de licencias instaladas en servidores físicos. (4) Los servidores físicos SFE-H-06 y SFE-H-17 están inactivos pero mantienen instaladas licencias de Windows Server Estándar versión 2012. Además, el servidor virtual SFE-V-05 fue dado de baja.


Auditoría Interna






3 RESULTADOS - HALLAZGOS

3.1 Debilidades relacionadas con el componente funcional “Actividades de Control”

3.1.1 Criterio

a) Ley General de Control Interno Nº 8292, artículos 10 y 15. b) Reglamento para la Protección de los Programas de Cómputo en los

Ministerios e Instituciones Adscritas al Gobierno Central (Decreto Ejecutivo N° 37549-JP, artículos 2 inciso a) y 10 incisos b), c), d), e) y e).

c) Normas de Control Interno para el Sector Público (N-2-2009-CO-DFOE); normas 4.1, 4.2, 4.4 y 4.5.1.

3.1.2 Condición

a) La Auditoría Interna desde el año 2014 viene fiscalizando la gestión realizada por el SFE con respecto a lo dispuesto en el Decreto Ejecutivo N° 37549-JP; situación que ha permitido que la administración adopte una serie de medidas orientadas a fortalecer su sistema de control interno en materia de tecnologías de la información. No obstante, se determinó que la UTI no cuenta con un mecanismo de control cuya aplicación le permita registrar y medir el nivel de cumplimiento de lo establecido en el citado Decreto.

b) Se determinó que la UTI no cuenta con un mecanismo de control para el registro y

administración de la información relacionada con la contratación de suscripciones, mediante las cuales, la organización puede hacer uso de “software” y “licencias” (o herramientas tecnológicas similares). De acuerdo con las necesidades identificadas por la UTI, actualmente bajo la modalidad de suscripción, se cuenta con los siguientes productos:

DESCRIPTION DEL PRODUCTO INICIO VENCE

1 año Next Generation Threat Prevention Package para appliance 4600 19/10/2016 20/10/2017

1 año SmartEvent and Smart Reporter para Appliance Smart-1 205 19/10/2016 20/10/2017

1 año Check Point Support Collaborative Enterprise Support Standard 19/10/2016 20/10/2017

1 Certificado de seguridad Digicert SSL tipo UC (Comunicaciones Unificadas) para dominios: sfe.go.cr, bch.go.cr, ovm.go.cr

26/07/2017 29/11/2018

c) De acuerdo con información suministrada por personal de la Unidad Financiera, se

indicó que si éste tipo de suscripciones se cargan a la partida 5 (Bienes Duraderos), las mismas se deben registrar como un activo (bien intangible).

d) Se determinó que la UTI ha realizado esfuerzos orientados a que su personal se

capacite en el tema de derechos de autor y derechos Conexos, específicamente en lo que respecta a los programas de cómputo; además, ha realizado eventos a lo

http://sfe.go.cr/

http://bch.go.cr/

http://ovm.go.cr/


Auditoría Interna






interno de la organización, con el fin de difundir información relacionada con lo dispuesto en el Decreto Ejecutivo N° 37549-JP. No obstante, no se visualiza el establecimiento de una estrategia de capacitación institucional, cuya implementación estaría cubriendo a toda la población del SFE en un periodo determinado.

e) El formato establecido para registrar licencias varias y “código abierto” (Formulario TI-F-25) no está previsto para consignar los siguientes datos: número de factura, número de contrato, versión y edición del licenciamiento, cantidad de licencias adquiridas, instaladas, dadas de baja de inventario y en custodia, número de patrimonio asignado al software. Al respecto, en el registro que nos fue suministrado utilizando el formulario antes citado, no se hace referencia al uso de licenciamiento de código abierto (o gratuito). Sobre este particular, se visualizó en las hojas de vida relacionadas con equipos de cómputo (escritorio, portátiles, servidores) la referencia del uso de licencias clasificadas como “código abierto”.

f) La Unidad de Servicios Generales (USG) implementó el Formulario DAF-SG-PO-21_F-01 denominado “Traslado y salida de bienes tangibles e intangibles”, el cual entró a regir a partir del 13 de setiembre de 2016, mismo que está previsto para comunicar la baja de “licencias de software”, entre otros aspectos. No obstante, se determinó que las solicitudes gestionadas por la UTI ante la USG mediante los oficios ST-020-2016 del 25 de octubre de 2016, SP-022-2016 del 11 de noviembre de 2016 y SP-003-2017 del 17 de enero de 2017, no se documentaron utilizando el referido formulario. Además, la USG no informó esta situación a la Unidad Financiera, para que efectuara los registros contables correspondientes.

g) Una vez analizados los formularios TI-F-23 (Inventario de equipos arrendados) y TI-F-24 (Inventario de equipos del SFE), se señala lo siguiente:

El formulario TI-F-23 no está diseñado para registrar en el mismo orden los datos que se solicitan por medio del formulario TI-F-24. Además, no contempla la posibilidad de consignar información respecto al tipo de equipo (escritorio o portátil), el número de patrimonio o identificación similar (que eventualmente se le llegue a asignar al equipo), información del antivirus, proveedor, fecha y número de la factura. Además, únicamente está previsto para registrar en la misma columna denominada “Tipo de licencia”, tanto la referencia del esquema OEM y del OPEN, aspecto que se registra por separado en el formulario TI-F-24.

En ambos registros de inventario (TI-F-23 y TI-F-24), la información sobre la ubicación del equipo de acuerdo con el nombre del funcionario al que le fue asignado, es general, situación que dificulta la localización de los equipos, e inclusive, la generación de información según la distribución que se pudiese requerir. En este caso, los campos asignados en ambos formularios son diferentes, en el TI-F-23 se denomina “Ubicación” y en el TI-F-24 se denomina “Estación”.


Auditoría Interna






3.1.3 Causa

Acciones que se ejecutan únicamente como prácticas administrativas, situación que no ha permitido visualizar la posibilidad de integrarlas como parte de la documentación del Sistema de Gestión de la Calidad.

Insuficiencia en la supervisión ejercida para verificar la implementación a cabalidad de las actividades de control que fueron autorizadas.

3.1.4 Efecto

Debilitamiento del sistema de control interno (SCI), específicamente en cuanto al componente denominado “”Actividades de Control”, situación que podría ocasionar efectos negativos en la gestión institucional.

3.1.5 Conclusión Si bien el SFE ha realizado esfuerzos importantes para establecer actividades de control cuya implementación facilite y contribuya a dar cumplimiento a lo dispuesto en el Decreto Ejecutivo N° 37549-JP; es criterio de esta Auditoría Interna que las debilidades detectadas deben atenderse oportunamente para fortalecer el SCI.

Las actividades de control comprenden las políticas, los procedimientos y los mecanismos que están orientados a mitigar los riesgos identificados, asegurar razonablemente la operación, fortalecer el SCI y contribuir al logro de los objetivos institucionales; por tal razón, es fundamental que una vez autorizadas para su implementación, las mismas deben integrarse a la gestión, a efecto de soportar la toma de decisiones y facilitar la rendición de cuentas. Además, tomando en cuenta que el SFE viene impulsando el establecimiento de un Sistema de Gestión de la Calidad (SGC), es necesario que en forma periódica se esté diagnosticando la gestión institucional, situación que debe permitir identificar aquellas prácticas administrativas que deberían integrarse al citado SGC a través de la documentación respectiva.

3.1.6 Recomendaciones A la Unidad de Tecnologías de la Información (UTI) 3.1.6.1 Analizar el contenido de lo dispuesto en el Decreto Ejecutivo N° 37549-JP, a

efecto de extraer los aspectos de carácter técnico-administrativo que debe cumplir el SFE, situación que debe permitir el establecimiento del mecanismo de control, cuya implementación facilite visualizar con toda precisión el grado de cumplimiento que muestra la organización con respecto a dicha norma jurídica. El formato que se defina debe integrarse a la documentación del Sistema de


Auditoría Interna






Gestión de la Calidad. Entre otros aspectos, el instrumento que se establezca debería como mínimo visualizar el siguiente alineamiento:

a) Definir el artículo (y/o inciso) así como el aspecto regulado, según lo

dispuesto en el referido decreto. b) Describir la referencia de la actividad de control y/o sistema de información

implementado que está asociado al aspecto regulado (procedimiento, política, lineamiento, entre otros).

c) Posibilidad de realizar como mínimo un análisis cualitativo mediante el cual se muestre el nivel de cumplimiento del aspecto regulado, tomando como insumos para dicha medición el resultado de la gestión emprendida por la administración (cumplido, parcialmente cumplido, no cumplido, etc).

d) Definición de acciones de mejora que estarían dando respuesta al nivel de cumplimiento, sobre todo en aquellos casos que se visualice un incumplimiento o un cumplimiento parcial.

e) Opción para registrar observaciones de la administración.

3.1.6.2 Ajustar los formularios TI-F-23 (Inventario de equipo arrendado), TI-F-24 (Inventario de equipos del SFE) y TI-F-25 (registro de licencias varias y código abierto); lo anterior considerando lo descrito en los incisos e) y g) del numeral 3.1.2 anterior.

3.1.6.3 Analizar si el registro que se mantiene a través del Formulario TI-F-25 debería

estar informando sobre el licenciamiento denominado “código abierto” (o gratuito); de ser así, se adopten las medidas que correspondan, situación que debe permitir mantener dicho registro actualizado.

3.1.6.4 Establecer el mecanismo de control mediante el cual se registre el

“licenciamiento” adquirido bajo la modalidad de suscripción; situación que debe ser considerada y administrada por medio del Sistema de Control de Licencias (COLI). (Referencia: Recomendación 3.3.6.8 del Informe AI-SFE-SA-INF-005-

2015 comunicado con oficio AI SFE 161-2015 del 9 de julio de 2015)

A la Unidad de Tecnologías de la Información (UTI) y Unidad de Servicios Generales

3.1.6.5 Girar las instrucciones, a los funcionarios que correspondan, a efecto de que

todo trámite relacionado con la baja de inventario de “licencias de software”, se gestione aplicando el Formulario DAF-SG-PO-21_F-01 denominado “Traslado y salida de bienes tangibles e intangibles”; informando oportunamente de dicha gestión a la Unidad Financiera para que se efectúen los registros contables, según corresponda.


Auditoría Interna






A la Unidad de Servicios Generales (USG)

3.1.6.6 Dar seguimiento al oficio DAF-SG-398-2017 de fecha 4 de octubre de 2017, dirigido al Director General de la Dirección de Bienes y Contratación Administrativa del Ministerio de Hacienda, situación que deberá permitir obtener el criterio técnico que le facilite al SFE el tratamiento administrativo (inventarios) y contable (depreciación o gasto), que se le debe dar a la adquisición de “licencias” bajo el enfoque de suscripción; situación que deberá permitir visualizar si ese tipo de derecho de uso está sujeto a ser plaqueado, mismos que deberán ser incorporados en los sistemas de información destinados al control de activos. Sobre este particular y con base en el referido criterio, se deberá definir el lineamiento que debe regular este tipo de aspecto a nivel institucional, el cual debe ser de aplicación obligatoria y estandarizada por las diferentes dependencias que conforman el SFE

A la Unidad de Recursos Humanos (URH)

3.1.6.7 Generar y direccionar los lineamientos que permitan establecer una estrategia de

capacitación cuya implementación propicie en un período determinado, capacitar a todo el personal del SFE en el tema relacionado con derechos de autor y derechos conexos respecto a los programas de cómputo; situación que se debe ver reflejada en el Plan Institucional de Capacitación, para lo anterior deberá coordinar lo que corresponda con la Dirección y las Unidades de Planificación, Gestión de Calidad y Control Interno y Tecnologías de Información.

A la Unidad Financiera (UF) 3.1.6.8 Realizar los ajustes contables correspondientes, considerando los términos de los

oficios ST-020-2016 del 25 de octubre de 2016, SP-022-2016 del 11 de noviembre de 2016 y SP-003-2017 del 17 de enero de 2017, mediante los cuales se dio de baja el licenciamiento respectivo.


Auditoría Interna






3.2 Debilidades relacionadas con el componente funcional “Sistemas de Información”

3.2.1 El Sistema de Control de Licencias (COLI) genera reportes y

consultas insuficientes

3.2.1.1 Criterio

a) Ley General de Control Interno Nº 8292, artículos 10 y 16 incisos a) y b).

b) Reglamento para la Protección de los Programas de Cómputo en los Ministerios e Instituciones Adscritas al Gobierno Central (Decreto Ejecutivo N° 37549-JP, artículos 2 inciso e) y 10 incisos d) y e).

c) Normas de Control Interno para el Sector Público (N-2-2009-CO-DFOE); normas 5.1, 5.2, 5.3, 5.4, 5.6 y 5.7.

3.2.1.2 Condición

Mediante oficio AI SFE 161-2015 del 9 de julio de 2015, la Auditoría Interna remitió para la atención de la administración activa el informe de auditoría N° AI-SFE-SA-INF-005-2015 que contiene los resultados del estudio denominado “Evaluación del sistema de control interno en materia de tecnologías de la información implementado para cumplir con lo dispuesto en el Decreto Ejecutivo N° 37549-JP (Reglamento para la Protección de los Programas de Cómputo en los Ministerios e Instituciones Adscritas al Gobierno Central)”. En el hallazgo N° 3.2 “Debilidades en la implementación del sistema de información” contenido en el referido informe, se recomendó lo siguiente: “3.2.6.2 Diseñar y elaborar la estructura de un tipo de “biblioteca electrónica” (o similar), cuya implementación facilite en forma sistematizada el almacenamiento, vinculación y acceso a documentación electrónica que contenga información relacionada con la adquisición, instalación y custodia de licencias (registro de activos asociados a licencias instaladas, facturas, órdenes de compra y contratos relacionados con la adquisición de equipos y licencias, contratos de arrendamiento de equipo y licencias, Certificados de Autenticidad –COA por sus siglas en inglés-)”. Considerando en forma integral la información que fue aportada por la Unidad de Tecnologías de la Información (UTI), por medio de los oficios ST 006-2016 del 5 de abril del 2016, TI-81-2016 del 25 de octubre de 2016 y ST 018-2016 del 18 de octubre de 2016, se procedió a dar por atendida la mencionada recomendación, sobre todo tomando en cuenta que se estaría autorizando la entrada en producción del Sistema de Control de Licencias (COLI); mediante el cual el SFE estaría administrando y controlando la información generada, producto de lo dispuesto en el Decreto Ejecutivo N° 37549-JP (Reglamento para la Protección de los Programas de Cómputo en los Ministerios e Instituciones Adscritas al Gobierno Central).


Auditoría Interna






No obstante, tomando en cuenta las circunstancias actuales, se señala lo siguiente:

La UTI está gestionando la actualización de las bases de datos del sistema COLI, por tal razón, la Auditoría Interna no consideró como fuente primaria dicho sistema, sino que se tomó como base la información registrada en los formatos (físicos y electrónicos) que han sido implementados para tales efectos, por la citada dependencia.

A pesar de lo anterior, se analizó la información contenida en el sistema COLI a fecha de revisión situación que nos permitió identificar aspectos relevantes que no fueron considerados para el registro de información, así como tipos de reportes que son necesarios para un mejor control en materia de licenciamiento. Además, se determinó que en ocasiones el mencionado sistema es lento en la generación de información y archivos PDF.

Se determinó que la UTI almacena documentos electrónicos que los clasifica a través de carpetas y subcarpetas; sin embargo, en ocasiones dichos archivos electrónicos no les han asignado un nombre que facilite su identificación y hacen referencia a la denominación asignada mediante el proceso de escaneo, además de que en un mismo archivo electrónico se incorporan varios documentos; situación que dificulta la ubicación de información específica, máxime cuando cada carpeta y subcarpeta carece de una guía o referencia de los contenidos que la conforman.

3.2.1.3 Causa

En la etapa de diseño del sistema COLI, no se visualizó en forma integral las

necesidades de información requeridas a través de las consultas y reportes.

Los registros implementados por la UTI no están diseñados para complementarse de forma integral con el Sistema COLI.

3.2.1.4 Efecto

Generación de información insuficiente que podría dificultar la toma de decisiones y la rendición de cuentas.

3.2.1.5 Conclusión

Si bien, el SFE realizó esfuerzos importantes para establecer un sistema de información que facilite y contribuya a dar cumplimiento a lo dispuesto en el Decreto Ejecutivo N° 37549-JP; es criterio de esta Auditoría Interna que el Sistema COLI no estaría permitiendo obtener de forma ágil y oportuna la información requerida para soportar la toma de decisión y facilitar el proceso de rendición de cuentas, razón por la cual, la administración se ve en la necesidad de destinar recursos adicionales para mantener y generar registros complementarios.


Auditoría Interna






3.2.1.6 Recomendaciones A la Unidad de Tecnologías de la Información (UTI) 3.2.1.6.1 Establecer la planificación que propicie la conclusión del procesamiento de los

datos en el sistema COLI así como su revisión y validación; resultado que permitirá definir la fecha a partir de la cual el referido sistema se estaría adoptando como fuente de información primaria. La gestión emprendida así como las decisiones adoptadas deben documentarse en el expediente del referido sistema. (Referencia: Recomendación 4.2.6.4 del Informe

AI-SFE-SA-INF-005-2016 comunicado con oficio AI SFE 316-2016 del 28 de

octubre de 2016) 3.2.1.6.2 Analizar la posibilidad de ajustar el Sistema COLI, considerando lo siguiente:

Línea Referencia Sistema COLI Aspectos a valorar 1 Equipo / Plantilla del Servidor Mostrar como parte de los datos: Número de

patrimonio del equipo (servidor físico) y Nombre del

equipo.

2 Equipo / Plantilla del Equipo Mostrar como parte de los datos: Número de patrimonio del equipo (Portátil o del CPU), Nombre

del equipo, Número de patrimonio del monitor, Número de patrimonio del teclado y Estado del

equipo.

3 Factura Valorar si el Reporte de licencias vencidas, de ser ajustado considerando lo siguiente:

Sustituir “número licitación” por “número de

contratación administrativa” o “Número de procedimiento”

Sustituir “Orden de inicio” por “Decisión Inicial” o

“Solicitud de Contratación”.

Valorar la incorporación de campos adicionales que posibiliten la inclusión de los siguientes datos:

Número de contrato suscrito entre el SFE y la

persona física o jurídica Monto total de la factura.

Número de patrimonio asignado a la licencia (en

los casos individuales que aplique)

Costo individual de cada licencia adquirida

(considerando la estructura del sistema COLI,

este aspecto se podría incluir cuando se esté procesando la información de cada contrato, por

cuanto los mismos se asocian con las respectivas facturas).

Valorar la posibilidad de que el sistema COLI

permita adjuntar archivos, especialmente el relativo a la factura


Auditoría Interna






Línea Referencia Sistema COLI Aspectos a valorar 4 Contrato / Nuevo contrato Adicionar un campo en la base de datos para que se

consigne el tipo de esquema al que pertenece el contrato (ejemplo OPEN). Posibilidad para adjuntar

archivos, especialmente el relativo al contrato.

5 Reportes / Reporte de licencias por número (genera PDF)

Eliminar una de las dos columnas denominadas “Seguro Final”; por cuanto están duplicadas

6 Reportes / Reporte de hojas de vida del equipo (genera PDF)

Adicionar la siguiente información: datos del monitor (Marca, Modelo, Tamaño y serie), números de

patrimonio del monitor y el teclado, tipo del equipo

(escritorio, portátil, tableta), tecnología del disco duro (MB/MG), tipo de esquema del licenciamiento

(OEM/OPEN/etc), número de factura y número de contrato, si corresponde a un licenciamiento gratuito

y la ubicación del equipo.

Al Director del SFE (con el apoyo de las unidades de Tecnologías de la Información, Servicios Generales y Financiera) 3.2.1.6.3 Girar las instrucciones correspondientes a efectos de que el sistema de

información implementado por el SFE (automatizado, manual o una mezcla de ambos) para ejercer control sobre el licenciamiento de su propiedad o arrendado y su vinculación con los equipos de cómputo respectivos, garantice la obtención de información en un nivel de detalle similar al descrito en el Capítulo 2 del presente informe; por cuanto, una vez corroborada esa suficiencia y pertinencia de este tipo de información, sería el resultado que le permitiría a la misma administración activa así como a los órganos de fiscalización emitir una opinión sobre el grado de cumplimiento de lo dispuesto en el Decreto Ejecutivo N° 37549-JP.

A la Unidad de Servicios Generales (USG) y Unidad Financiera (UF), con el apoyo de la UTI

3.2.1.6.4 Analizar la naturaleza de la información que se estaría administrando por

medio del Sistema COLI, a efecto de visualizar la necesidad de que por medio de dicha herramienta se generen aquellas consultas y/o reportes que contribuyan en forma ágil y oportuna con la gestión administrativa; el análisis efectuado debe documentarse y comunicarse oportunamente a la UTI para su valoración y de corresponder se proceda con el ajuste del citado sistema.


Auditoría Interna






A la Unidad de Tecnologías de la Información (UTI) 3.2.1.6.5 Diagnosticar el sistema COLI con el fin de analizar la posibilidad de que el

mismo pueda generar tiempos de respuesta más rápidos en la extracción de la información que es requerida.

3.2.1.6.6 Depurar la “biblioteca electrónica” (carpetas y subcarpetas) que mantiene la

UTI para almacenar información relacionada con facturas y contratos asociados con la adquisición de licencias, contratos de arrendamiento de equipos, registros administrativos vinculados con equipos de cómputo y licenciamiento, informes de auditoría, etc; lo anterior con el fin de que ese medio se complemente integralmente con el Sistema COLI. En ese sentido, se somete a valoración de la UTI la estructura que fue establecida durante la ejecución del estudio, a efecto de facilitar la ubicación y análisis de la información requerida, con el propósito de que se considere como un insumo para el fortalecimiento de la referida “biblioteca electrónica”; la cual debería estar soportada en la respectiva guía de contenido. (Referencia:

Recomendación 3.2.6.2 del Informe AI-SFE-SA-INF-005-2015 comunicado

con oficio AI SFE 161-2015 del 9 de junio de 2015)


Auditoría Interna






3.2.2 Diferencias generadas al comparar registros de equipos de cómputo

3.2.2.1 Criterio

a) Ley General de Control Interno Nº 8292, artículos 10 y 16 incisos a) y b). b) Reglamento para la Protección de los Programas de Cómputo en los

Ministerios e Instituciones Adscritas al Gobierno Central (Decreto Ejecutivo N° 37549-JP, artículos 2 inciso e) y 10 incisos d) y e).

c) Normas de Control Interno para el Sector Público (N-2-2009-CO-DFOE); normas 4.4.5, 4.5.1, 5.1, 5.2, 5.3, 5.4, 5.6 y 5.7.

3.2.2.2 Condición

Al comparar los equipos de cómputo propiedad del SFE que están registrados en los inventarios que son administrados por las unidades de Tecnologías de la Información (UTI), Servicios Generales (USG) y Financiera (UF), se determinaron diferencias que imposibilitaron su conciliación. En los cuadros siguientes se resumen las diferencias encontradas.

Resumen de los equipos de cómputo propiedad del SFE

Tipo

UTI USG UF (a)

Diferencia UTI / USG

(a) Diferencia UTI / UF

(a) Diferencia UGS / UF

Oficio TI-031-2017 Oficio DAF-SG/218-2017

Oficio DAF-U-FI.010-2017

En uso

En Bodega

Total En uso

En Bodega

Total En uso

En Bodega

Total

Escritorio 74 23 97 118 11 129 91 --- 91 -32 6 38

Portátil (b) 67 35 102 77 47 124 87 --- 87 -22 15 37

Totales 141 58 199 195 58 253 178 --- 178 -54 21 75

(a) Se identificaron diferencias con respecto a los activos registrados. (b) Incluye tabletas.

Resumen de los equipos de cómputo arrendados por el SFE

Tipo UTI USG UF

Diferencia (*)

Oficio TI-031-2017 Oficio DAF-SG/218-2017 Oficio DAF-U-FI.010-2017 En uso En desuso Total En uso En desuso Total En uso En desuso Total

Escritorio 173 1 174 173 - 173 173 - 173 1 (**)

Portátil 78 78 78 - 78 78 - 78

Tabletas 7 7 7 - 7 7 - 78

Totales 258 1 259 258 - 258 258 - 258 1 (*) La diferencia se obtiene al comprar la totalidad de activos registros por la UTI y los registrados por la USG y la UF. (**) Equipo (Serie: MXL43409GB / Modelo: EliteDesk 800 G1) ubicado en la Bodega de la UTI.


Auditoría Interna






En términos generales, se detectaron las siguientes diferencias: (Ver anexo 1)

a) Identificación de equipos de cómputo propiedad del SFE contenidos en el registro de la UTI que no se ubican en los registros de la USG y/o UF.

b) Identificación de equipos de cómputo propiedad del SFE ubicados en los registros

de la USG y UF pero no en el registro de la UTI. c) Identificación de equipos de cómputo propiedad del SFE ubicados en los registros

de la USG pero no en los registros de la UTI y UF.

d) Identificación de equipos de cómputo propiedad del SFE ubicados en los registros de la UF pero no en los registros de la UTI y USG.

e) Diferencias al conciliar modelos de los equipos de cómputo propiedad del SFE,

según registros de la UTI y USG3.

f) Diferencias al conciliar las denominaciones de modelos y patrimonio asignados a equipos de cómputo propiedad del SFE, según registros de la UTI y USG.

g) De acuerdo con el registro de la USG, se determinó que existen dos registros con

el número de patrimonio 4084 FBN.

h) Aspectos que deben ser analizados a efecto de determinar su posible ajuste en el registro de la UTI, USG y UF: (Ver Anexo 2)

La Auditoría Interna solicitó la colaboración del personal del SFE con el fin de

que validaran la información suministrada por la UTI, con respecto al equipo de cómputo propiedad del SFE y el equipo arrendado.

En ese sentido, el ejercicio consistió en remitir vía correo electrónico a cada una de las dependencias, la lista de los equipos de cómputo bajo su responsabilidad, tomando en cuenta los registros que mantiene la UTI; a efecto de que se validara dicha información o caso contrario, se informara cualquier diferencia con respecto a su condición actual (pertinencia de la información).

Una vez analizada la información suministrada se identificaron diferencias con respecto a los registros que mantiene la UTI; situación que deberá ser analizada por dicha instancia.

3 Este tipo de comparación no fue posible realizarla con respecto a los registros de la UF, por cuanto el auxiliar

contable no consigna información sobre los modelos de los equipos de cómputo.


Auditoría Interna






3.2.2.3 Causa Gestión insuficiente para monitorear y validar periódicamente los registros de inventarios, a efecto de minimizar errores u omisiones que afecten la calidad de la información.

3.2.2.4 Efecto Riesgo potencial de que el sistema de información implementado con respecto al registro de equipos de cómputo y su vinculación con el licenciamiento respectivo, no esté respondiendo a cabalidad a las necesidades de la administración en perjuicio de la toma de decisiones y el cumplimiento de objetivos, situación que debilita el sistema de control interno.

3.2.2.5 Conclusión

Conforme lo dispuesto en la Ley General de Control Interno N° 8292 y la normativa técnica en materia de control interno establecida por la Contraloría General de la República, es obligación de la administración activa establecer y mantener un sistema de control interno acorde a las necesidades de la organización, uno de sus componentes esenciales es el denominado “Sistemas de Información”. El sistema de información establecido por el SFE para dar respuesta a cada uno de los aspectos vinculados con las tecnologías de la información, debe permitir entre otros aspectos:

Un cumplimiento efectivo de lo dispuesto en el Decreto Ejecutivo N° 37549-JP. Una clara identificación del licenciamiento asociado al equipo de cómputo en

donde se encuentra instalado.

Registros que informen respecto a la custodia y conservación del licenciamiento asociado a la documentación que respalda su adquisición.

Garantizar la calidad y oportunidad de la información que forma parte de dicho sistema.

Garantizar razonablemente la confiabilidad de la información, para soportar la toma de decisiones.

Si bien el SFE desde la entrada en vigencia del Decreto Ejecutivo N° 37549-JP ha venido adoptando una serie de medidas para ajustar su gestión a lo dispuesto en el mismo, es necesario señalar que en cuanto al establecimiento de registros de inventario las acciones emprendidas no han sido suficientes, considerando las debilidades que fueron determinadas en esta oportunidad, situación que debe ser atendida en forma inmediata por la administración activa.


Auditoría Interna






3.2.2.6 Recomendaciones Al Director del SFE 3.2.2.6.1 Girar las instrucciones respectivas, con el fin de que las unidades de

Tecnologías de la Información, Servicios Generales y Financiera, realicen el análisis de cada uno de los aspectos descritos en el numeral 3.2.2.2 “Condición” del presente hallazgo, situación que debe permitir, según corresponda, estandarizar, depurar y conciliar los registros administrativos relacionados con el registros de equipos de cómputo (incluye cada una de sus características) y su vínculo con el correspondiente licenciamiento. Consecuente con lo anterior, se deberá verificar lo siguiente:

a) Estandarizar los registros que mantiene la UTI, USG y UF (en lo que sea

aplicable) cuya oficialización propicie informar con precisión sobre los equipos de cómputo propiedad del SFE que se encuentran en funcionamiento o en custodia para ser utilizados en cualquier momento (bodega). Dicha situación debe permitir una conciliación exacta del total de los equipos registrados en inventario que mantienen dichas dependencias y/o conciliar con facilidad las diferencias que puedan presentar y registrar la justificación de las mismas. Adicionalmente la USG y la UF deben adoptar las medidas necesarias para clasificar e identificar todos aquellos activos que estén para baja de inventario y que no estén siendo depreciados por un asunto de agotamiento de su vida útil, extravió o robo, situación que debe ser de fácil constatación. (Referencia: Numeral 1 del Anexo 1)

b) Determinar las causas que no están permitiendo:

Que en los registros de la USG y la UF no se reflejen equipos de

cómputo consignados en el inventario de la UTI. (Referencia: Numeral 2 del Anexo 1)

Que en los registros de la UTI y UF no se reflejen equipos de cómputo consignados en los inventarios de la USG (Referencia: Numeral 3 del Anexo 1)

Que en los registros de la USG y UTI no se reflejen equipos de cómputo consignados en los inventarios de la UF (Referencia: Numeral 4 del Anexo 1)

El resultado anterior, deberá permitir validar la situación actual y/o realizar los ajustes que pudiese corresponder.

c) Definir los datos relacionados con las características de los equipos de

cómputo que deben reflejarse en forma estandarizada en los registros de la


Auditoría Interna






UTI, USG y UF; como ejemplo de ello, se cita el tema de los modelos. (Referencia: Numerales 5 y 6 del Anexo 1)

d) Analizar por parte de la USG la pertinencia de los siguientes registros:

En el registro que mantiene la USG el número de patrimonio 4084 FBN, está duplicado.

En el registro de la UTI se reflejan los equipos identificados con los códigos J5NWNW1 y J5NJZV1 (aparentemente son los números de serie); situación que debe permitir validar dicha situación o corregir la misma así como gestionar el registro de esos equipos en los registros de la USG y UF (incluye sistemas de información), según corresponda.

Ajustar la asignación del equipo de cómputo número de patrimonio 0901-001476, por cuanto el mismo se registra a nombre del señor José Edgar Gutiérrez, quien actualmente es exfuncionario del SFE; situación que debe ser corregida en los registros de la UTI y UF, según corresponda.

e) Ajustar los registros de inventario que mantiene la UTI, USG y UF con el fin de

que a los 259 equipos de cómputo que mantiene el SFE arrendados a la empresa el ORBE, según los términos del Contrato 2014-19 y su Adenda, se reflejen en dichos registros; lo anterior por cuanto los mismos informan únicamente de 258 equipos (la diferencia radica en que a fecha de revisión, el equipo serie MXL43409GB y modelo EliteDesk 800 G1, se ubicaba en Bodega UTI).

A la Unidad de Tecnologías de la Información (UTI) 3.2.2.6.2 Analizar la pertinencia de las observaciones provenientes de las dependencias

consultadas por la Auditoría Interna como resultado de un ejercicio denominado “auto-inventario” (incluye equipo de cómputo propiedad del SFE así como equipo arrendado), y en los casos en que lo requiera, se realicen los ajustes respectivos, informando de ello a la USG y UF, según corresponda. (Referencia: Anexo 2)


Auditoría Interna






3.2.3 Registros duplicados en inventarios que informan sobre el equipo de cómputo arrendado

3.2.3.1 Criterio

a) Ley General de Control Interno Nº 8292, artículos 10 y 16 incisos a) y

b). b) Reglamento para la Protección de los Programas de Cómputo en los


c) Normas de Control Interno para el Sector Público (N-2-2009-CO-DFOE); normas 4.4.5, 4.5.1, 5.1 y 5.6.

3.2.3.2 Condición

Se determinó que el SFE adquirió bajo la modalidad de arrendamiento un total de 259 equipos de cómputo, cuyo detalle se muestra seguidamente:

Modelo Contrato 2014-19 Adenda al Contrato 2014-19

Total Marca Tipo Cantidad Marca Tipo Cantidad

EliteDesk 800 G1 HP Escritorio 149 HP Escritorio 25 174

EliteBook 840 G1 HP Portátil 8 HP Portátil 17 25

EliteBook 820 G1 HP Portátil 42 42

EliteBook 820 HP Portátil 11 11

EliteBook Revolve 810 G2 HP Tablet PC 2 2

ElitePad 900 G1 HP Tablet 5 5

206 53 259

Al respecto, es necesario señalar que los equipos arrendados se registran tomando como referencia el número de serie de la computadora portátil y del CPU cuando el equipo es tipo escritorio. Al comparar la totalidad de los equipos de cómputo registrados en los inventarios que son administrados por las unidades de Tecnologías de la Información, Servicios Generales y Financiera, se identificaron registros incorrectos por cuanto se duplican números de serie; tal y como se muestra seguidamente:

a) Registros incorrectos (duplicados números de serie) en el registro de la UTI

FUNCIONARIO DATOS DEL EQUIPO (PORTATIL)

MARCA MODELO SERIE UBICACIÓN

LUIS JIMENEZ HP ELITEBOOK 820 G1 5CG4330QBS SABANA SUR

JEYMER MORA HP ELITEBOOK 820 G1 5CG4330QBS SABANA SUR


Auditoría Interna






b) Registros incorrectos (duplicados números de serie) en el inventario de la USG



LUIS JIMENEZ H.P. ELITEBOOK 820 G1 5CG4330QB2 SABANA SUR

ESAU MIRANDA H.P. ELITEBOOK 820 G1 5CG4330QB2 SABANA SUR

MARIANELA UMANZOR H.P. ELITEBOOK 820 G1 5CG4330Q8T SABANA SUR

JESUS CASTRO H.P. ELITEBOOK 820 G1 5CG4330Q8T SABANA SUR

c) Registros incorrectos (duplicados números de serie) en el inventario de la UF




JEYMER MORA HP ELITEBOOK 820 G1 5CG4330QBS SABANA SUR

d) Ajustes aplicados por la UTI

La situación descrita en los incisos a), b) y c) anteriores, se puso en conocimiento de la UTI, mediante correo electrónico de fecha 6 de setiembre de 2017, quien a su vez comunicó sobre la gestión de ajuste de su registro de inventario, según el siguiente detalle:




MARIANELA UMANZOR HP ELITEBOOK 820 G1 5CG4330Q7S SABANA SUR

JEYMER MORA HP ELITEBOOK 820 G1 5CG4330QRQ SABANA SUR

ESAU MIRANDA HP ELITEBOOK 820 G1 5CG4330QB2 SABANA SUR

JESUS CASTRO HP ELITEBOOK 820 G1 5CG4330Q8T SABANA SUR

3.2.3.3 Causa

El monitoreo realizado sobre la calidad de la información registrada es insuficiente, situación que propicia errores como los detectados.


Auditoría Interna






3.2.3.4 Efecto Riesgo potencial de que la información que se registra, no contribuya a cabalidad con la toma de decisiones y con la adecuada rendición de cuentas con respecto a lo dispuesto en el Decreto Ejecutivo N° 37549-JP.

3.2.3.5 Conclusión

Si bien la administración ha emprendido acciones importantes que le ha permitido contar con fuentes de información relacionadas con equipos de cómputo asociado al respectivo licenciamiento; lo cierto del caso, es que, aspectos como los descritos en el presente hallazgo, no deben presentarse, por cuanto podrían afectar la toma de decisiones y/o generar imprecisiones en informes y/o reportes que sean emitidos.

3.2.3.6 Recomendación A la Unidad de Servicios Generales y Unidad Financiera 3.2.3.6.1 Ajustar los registros de inventario asociados al equipo de cómputo arrendado,

considerando lo descrito en el numeral 3.2.3.2 “Condición” del presente hallazgo.


Auditoría Interna






3.2.4 Debilidades en la documentación de la información relacionada con los equipos y licenciamiento relativo a servidores

3.2.4.1 Criterio





3.2.4.2 Condición

a) La UTI no cuenta con formatos oficiales para documentar información

vinculada con los servidores (físicos y virtuales) y su respectivo licenciamiento

Considerado los términos de la información descrita en el numeral 4 “Resultados sobre servidores y el respectivo licenciamiento”, se determinó que las prácticas administrativas adoptadas por la Unidad de Tecnologías de la Información (UTI), permiten obtener información sobre los equipos utilizados como servidores físicos así como de su vinculación con servidores virtuales y del licenciamiento asociados a esos dos tipos de servidores. Mediante el oficio AI SFE 161-2015 del 9 de julio del 2015, se comunicó el informe de auditoría N° AI-SFE-SA-INF-005-2015 que contiene los resultados del estudio denominado “Evaluación del sistema de control interno en materia de tecnologías de la información implementado para cumplir con lo dispuesto en el Decreto Ejecutivo N° 37549-JP (Reglamento para la Protección de los Programas de Cómputo en los Ministerios e Instituciones Adscritas al Gobierno Central)”. El referido informe contiene la recomendación N° 3.2.6.5 que establece lo siguiente: “Revisar la estructura de los reportes implementados para informar sobre el licenciamiento instalado en equipos de cómputo de escritorio, portátiles, tabletas y servidores, a efecto de oficializar su formato e incorporarlo como parte de la documentación del Sistema de Gestión de la Calidad.”. Una vez analizada la gestión emprendida por la administración respecto a la implementación de la citada recomendación, la misma se registra como “Recomendación en Proceso de Cumplimiento” (RPC); por cuanto no se ha tramitado la elaboración de los formatos mediante los cuales se documente la información relacionada con los equipos utilizados como servidores físicos así como de su vinculación con servidores virtuales y del licenciamiento asociados a esos dos tipos de servidores.


Auditoría Interna






b) La UTI no está utilizando la versión 2 del formato TI-F-22 “Formulario

hoja de vida para servidores” La cantidad de servidores físicos y virtuales que mantiene en operación del SFE, se detallan a continuación:

Ubicación

Cantidad de Servidores

En Uso En desuso Total

Físicos 11 2 (*) 13

Virtuales 17

17

Totales 29 2 30

(*) Los servidores físicos SFE-H-06 y SFE-H-17 están inactivos.

La UTI utiliza el formulario TI-F-22 (versión 1) para documentar la información relacionada con los servidores físicos y virtuales así como su vinculación con el licenciamiento respectivo. No obstante, una vez revisada la Lista Maestra de Documentos relativos al Sistema de Gestión de Calidad del SFE, se determinó que en dicho control se registra la segunda versión del referido formulario cuya fecha rige es el 4 de abril de 2016. Además, con relación a dicho formulario se determinó lo siguiente:

Solo posibilita registrar la versión y edición del licenciamiento relacionado con el sistema operativo, no así para el resto del software adicional que es instalado.

No contiene un campo para conocer si el servidor está o no en funcionamiento (activo e inactivo), para ello hay que leer el apartado denominado “Observaciones/Actualizaciones”.

c) Hoja de vida de servidores, según lo registrado por medio del

Formulario TI-F-22 y el Sistema COLI La UTI cuenta con el Sistema de Control de Licencias (COLI) mediante el cual se estaría ejerciendo el control sobre la administración del licenciamiento y su vínculo con los equipos de cómputo respectivos. En esta oportunidad no se consideró dicho sistema como fuente primaria, por cuanto la UTI está en un proceso de actualización de sus bases de datos. No obstante, se procedió a realizar una comparación del documento físico denominado hoja de vida “Formulario hoja de vida para servidores” (código TI-F-22 / Versión 2) con respecto a la estructura de la hoja de vida que se desarrolló a través del referido sistema. Al respecto, se determinó lo siguiente:


Auditoría Interna






El Sistema COLI es ocasiones es lento para generar el archivo PDF de las hojas de vida relativa a servidores y en ocasiones del todo no genera dicho archivo.

La estructura del Formulario TI-F-22 es diferente al generado por medio del Sistema COLI. Los datos que se pueden registrar utilizando el Formulario TI-F-22 y no a través del referido sistema, son: Datos del Equipo: Idioma, Bits, Service Pack, Rol/Servicio, ID Contrato, Esquema, Ubicación, Fecha de Alta y Fecha de Baja. Configuración actual hardware: Mhz, Conector de Interface de Red (NIC) y DNS. Software instalado: Autorizado por y Fecha de Instalación.

Al comparar las denominaciones de los campos contenidos en el formulario TI-F-22 con respecto a la estructura definida en el Sistema COLI, se determinaron diferencias.

Por medio del formulario TI-F-22 se puede registrar información sobre “Ghz” (gigahercio) y “Mhz” (megahercio); sin embargo, el Sistema COLI únicamente cuenta con un espacio para introducir uno de los dos datos. De acuerdo con la información que se encuentra almacenada en el citado sistema, se determinó que el único campo se está utilizando para registrar “Ghz”; no obstante, el sistema no permite consignar ese dato utilizando el “punto”; por ejemplo 2.40 Ghz, pues solamente permite introducir números enteros, por ejemplo: 240 Ghz.

De acuerdo con el formulario TI-F-22 únicamente se puede registrar el tamaño de la memoria RAM en “Gb” pero en el sistema COLI ese tamaño se registra en “GB” como en “MB”.

Existen datos registrados en las respectivas hojas de vida de los servidores físicos (Formato TI-F-22) que no coinciden con los registrados en el Sistema COLI (Ver numeral 1 del Anexo 3)

De acuerdo con las hojas de vida (Formulario TI-F-22) los servidores físicos SFE-H-06 y SFE-H-17 están inactivos.

También existen diferencias respecto a varios de los datos registrados utilizando el formulario TI-F-22 (Modelo, Número de procesadores, Número de Cores, Número procesadores lógicos, Bios, Ghz, Memoria RAM) respecto a los procesados en el sistema COLI.

Las hojas de vida físicas identificadas como SFE-H-05, SFE-H-06, SFE-H-09, SFE-H-13 y SFE-H-16 (formulario TI-F-22), registran en forma adicional al sistema operativo otro tipo de licenciamiento que ha sido instalado, pero que dichos datos no se muestran en el sistema COLI.

Las hojas de vida físicas identificadas como SFE-H-06, SFE-H-07, SFE-H-08, SFE-H-13, SFE-H-14 y SFE-H-16 (formulario TI-F-22), registran algunas observaciones pero las mismas no se muestran en el sistema COLI.

Existen datos registrados en las respectivas hojas de vida de los servidores virtuales (Formato TI-F-22) que no coinciden con la información registrada en el Sistema COLI (Ver numeral 2 del Anexo 3).

De acuerdo a la Hoja de Vida y el Sistema COLI, el servidor virtual SFE-V-05 fue dado de baja.


Auditoría Interna






En las hojas de vida físicas identificadas como SANIDADWB, SFE-V-01, SFE-V-06, SFE-V-13, SFE-V-15, SFE-V16 y SFE-V-18, se registra licenciamiento que ha sido instalado, pero dichos datos no se muestran en el sistema COLI.

En el sistema COLI se consigna información del licenciamiento asociado al servidor virtual SFE-V-09; sin embargo, en la hoja de vida física no se registra dichos datos.

Las hojas de vida físicas identificadas como SERIMAGENES, SFE-V-06, SFE-V-13, SFE-V-15, SFE-V-16SFE-V-1 y SFE-V-18, registran algunas observaciones pero las mismas no se muestran en el citado sistema.

3.2.4.3 Causa

Gestión insuficiente para dar cumplimiento a cabalidad a la recomendación N° 3.2.6.5 contenida en el informe de auditoría N° AI-SFE-SA-INF-005-2015 comunicado con oficio AI SFE 161-2015 del 9 de julio del 2015.

En la etapa de diseño del Sistema COLI no se consideró la estructura y/o información requerida para documentar cada uno de los aspectos vinculados con los servidores y su licenciamiento.

No se ha establecido las actividades que garanticen la calidad de la información registrada en las hojas de vida físicas (Formulario TI-F-22) y en el sistema COLI.

3.2.4.4 Efecto

Riesgo potencial de que el sistema de información implementado por la UTI no permita garantizar razonablemente el cumplimiento de lo dispuesto en el Decreto Ejecutivo N° 37549-JP, en lo que respecta a servidores y su licenciamiento.

3.2.4.5 Conclusión

Considerando la antigüedad de la recomendación N° 3.2.6.5 contenida en el informe de auditoría N° AI-SFE-SA-INF-005-2015 comunicado con oficio AI SFE 161-2015 del 9 de julio del 2015, la UTI debería contar con formatos bajo el enfoque del Sistema de Gestión de la Calidad para documentar la información relacionada con los servidores y su licenciamiento. Por tal razón, la UTI debe adoptar las medidas necesarias para atender a cabalidad la citada recomendación N° 3.2.6.5; por cuanto, una gestión diferente podría ocasionar consecuencias negativas a los funcionarios que, por acción u omisión, permiten que se presente ese tipo de incumplimiento con respecto a la atención efectiva de dicha recomendación. En cuanto al Sistema COLI, la UTI debe diagnosticar su condición actual, a efecto de visualizar en los casos en que corresponda, la adopción de medidas orientadas a su depuración.


Auditoría Interna






Lo anterior, con el fin de que la UTI pueda garantizar en forma razonable que el sistema de información implementado (manual, automatizado o una mezcla de ambos) estaría permitiendo cumplir en forma efectiva con lo dispuesto en el Decreto Ejecutivo N° 37549-JP.

3.2.4.6 Recomendaciones A la Unidad de Tecnologías de la Información (UTI) 3.2.4.6.1 Adoptar las medidas necesarias que permitan en un plazo razonable contar

con los formatos oficiales (bajo los lineamientos del Sistema de Gestión de Calidad) que estarían facilitando documentar la información relacionada con los equipos utilizados como servidores físicos, así como de su vinculación con servidores virtuales y del licenciamiento asociado a éstos dos tipos de servidores; situación que debe permitir un cumplimiento efectivo de la recomendación N° 3.2.6.5 contenida en el informe de auditoría N° AI-SFE-SA-INF-005-2015 comunicado con oficio AI SFE 161-2015 del 9 de julio del 2015.

3.2.4.6.2 Definir, a pesar de la entrada en producción del Sistema COLI, si el

“Formulario hoja de vida para servidores” (código TI-F-22 / Versión 2) continuará formando parte de la documentación del Sistema de Gestión de la Calidad; situación que estaría requiriendo:

a) Ajustar en lo que corresponda la estructura del referido Sistema y/o del

citado formulario. b) Trasladar la información contenida en las Hojas de Vida de los Servidores

(versión 1) a la versión 2 del “Formulario hoja de vida para servidores”.

3.2.4.6.3 Analizar lo descrito en el numeral 3.2.4.2.c anterior (incluye Anexo 3), a efecto de que se adopten las medidas necesarias para ajustar el Sistema COLI y/o las hojas de vida físicas relacionadas con servidores (Formulario TI-F-22), según corresponda.


Auditoría Interna






3.2.5 Debilidades al asignar la denominación del archivo electrónico de la hoja de vida de equipos de cómputo propiedad del SFE

3.2.5.1 Criterio

a) Ley General de Control Interno Nº 8292, artículos 10 y 16 incisos a) y b). b) Reglamento para la Protección de los Programas de Cómputo en los



3.2.5.2 Condición

Se determinó que existen errores en el momento de renombrar archivos electrónicos relacionados con hojas de vida de equipos de cómputo del SFE, tal y como se muestra en el cuadro siguiente:

Nombre del archivo Datos de la Hoja de Vida

Número de Patrimonio Usuario responsable

3418 3418 Jeymer Mora Pérez

1064057 3418 Jeymer Mora Pérez

0901-002768 0901-002765 Alexander Mora

0901-0022774 0901-002809 Félix Alvarado

0901-002809 0901-002809 Félix Alvarado

3.2.5.3 Causa

El monitoreo realizado sobre la calidad de la información registrada es insuficiente, situación que propicia errores como los detectados.

3.2.5.4 Efecto Riesgo potencial de que la información que se registra no contribuya a cabalidad con la toma de decisiones y con la adecuada rendición de cuentas con respecto a lo dispuesto en el Decreto Ejecutivo N° 37549-JP.

3.2.5.5 Conclusión

Si bien, la administración ha emprendido acciones importantes que le ha permitido contar con fuentes de información relacionadas con equipos de cómputo asociado al respectivo licenciamiento; lo cierto del caso, es que, aspectos como los descritos en el


Auditoría Interna






presente hallazgo, no deben presentarse, por cuanto podrían afectar la toma de decisiones y/o generar imprecisiones en informes y/o reportes que sean emitidos.

3.2.5.6 Recomendación A la Unidad de Tecnologías de la Información (UTI) 3.2.5.6.1 Verificar lo descrito en el numeral 3.2.5.2 “Condición” del presente hallazgo,

con el propósito de que se realicen los ajustes respectivos, según corresponda.


Auditoría Interna






3.2.6 Información y/o documentación insuficiente respecto a la adquisición, instalación y custodia de licenciamiento específico

3.2.6.1 Criterio





3.2.6.2 Condición

Una vez analizados los registros y documentación que mantiene la UTI, se determinó que la mayoría del licenciamiento adquirido y arrendado por el SFE está debidamente soportado; no obstante, se identificaron casos específicos, tales como:

El sistema de información no consigna registros que justifiquen las razones que originan que exista licenciamiento que no se esté utilizando.

No se cuenta con el soporte documental que respalde la instalación de licencias. Al respecto, se procede a describe lo siguiente: a) Resumen del licenciamiento propiedad del SFE que se mantiene en

custodia

Saldos sistemas operativos para equipos de cómputo – Esquema OEM


Adquiridas

Cantidad de Licencias Instaladas Licencias en Custodia Sede

Central Otras Sedes

Bodega UTI

Total

Windows Vista Business OEM 120 11 6 23 40 80

Windows XP Professional OEM 30 3 4 1 8 22

Totales 150 14 10 24 48 102

Saldos sistemas operativos para equipos de cómputo – Esquema OPEN

Tipo de Licencias Factura Contrato Licencias

Adquiridas

Cantidad de Licencias Instaladas Licencias en

Custodia Sede

Central Otras Sedes

Bodega UTI

Total

Windows 10 Professional 4251 67273678 3 --- --- --- --- 3

Totales 3 --- --- --- --- 3


Auditoría Interna






Saldos aplicaciones de escritorio / “Office” /Esquema OEM

Tipo de Licencias Versión


custodia Notas

Adquiridas Sede

Central Otras Sedes

Bodega UTI Total

Office XP Pro w/Publisher 2002 12 --- --- --- --- 12 (a)

Office XP SBE 2002 14 --- --- --- --- 14 (a)

Office Pro with BCM 2003 3 --- --- --- --- 3 (a)

Office Basic Edition 2003 2 --- --- --- --- 2 (a)

Office SBE (for LatAm) 2007 15 2 --- --- 2 13 (b) (c)

Office Professional (LatAm) 2007 41 10 5 22 37 44

(c)

Office Professional (MLK) 2007 40 (c)

Totales 127 12 5 22 39 88

(a) Actualmente este licenciamiento no está siendo utilizado por la organización. (b) De acuerdo con los resultados de la auditoría contenidos en el informe N° AI-SFE-SA-INF-005-2016 que fue comunicado mediante el oficio AI SFE 316-2016 del 28/10/2016, se consignó que existen dos licencias Office SBE instaladas y asociadas a la factura 4785.

(c) Se registra una adquisición de 106 licencias Office 2007 (incluye equipo donado); no obstante, únicamente se suministró documentación relacionada con 96 COA´s; lo que genera una diferencia de 10 licencias.

Saldos aplicaciones de escritorio / “Office” / Esquema OPEN



custodia Adquiridas

Sede Central

Otras Sedes

Baja de Inventario

Bodega UTI

Total

Office Professional OPEN 2007 33 3 3 --- 1 7 26

Office Professional (*) OPEN 2010 92 26 41 --- 20 87 5

Office Professional OPEN 2016 5 --- --- --- --- 0 5

Totales 130 29 44 --- 21 94 36

(*) Por medio del contrato 60927046 se adquirió 1 licencia Office Professional Plus 2010 (esquema OPEN), que fue instalada en el equipo de cómputo identificado con el número de patrimonio 0901-002827 y vinculado con la factura 111853; sin embargo, la UTI asocia dicha licencia con un Office versión 2013.


Auditoría Interna






Saldos licenciamiento calificado como “licencias varias”

Casa comercial Contrato Factura Producto adquirido Edición Versión Adquiridas Instaladas Custodia

MECSOFT de Costa Rica (AUTODESK) 2783 AUTOCAD 2012 1 --- 1

SAP Sin dato 9589 CRISTAL REPORTS 2008 2008 1 --- 1

Grupo de Soluciones Informáticas, GSI S.A. 8481 Epower 2017 4.1.6458 10 --- 10

Symantec Corporation Sin dato Norton 2009 Ghost 1 --- 1

PANDA SECURITY 316272 PANDA CLOUD 2017 OFFICE PRO 401 396 5

SYBASE Sin dato Sin dato POWER BUILDER 2007 8 1 --- 1

Microsoft 8250082 Sin dato Project 2013 1 --- 1

Microsoft 8250082 Sin dato Visio Standard 2013 1 --- 1

Microsoft 18308199 Sin dato Visual Studio Tools for Office 2003

1 --- 1

Saldos licenciamiento relacionado con servidores

Factura Contrato Esquema Grupo Familia Versión Adquiridas Baja de


Exchange Server

9816518979 8250082 EA Servers Exchange Server - Enterprise 2013 1 0 0 1

System Center

9816518979 8250082 EA Servers System Center Standard 2012 9 0 4 5

9816518979 8250082 EA Servers System Center Endpoint Protection 2012 300 0 0 300

Sistema Operativo


Auditoría Interna






Factura Contrato Esquema Grupo Familia Versión Adquiridas Baja de


52814 47353445 OPEN Servers Windows Server - Enterprise 2008

Release 2 1 0 0 1

Forefront TMG

525 48495284 OPEN Servers Forefront TMG Estandard Edition Per Procesor 2010 1 0 0 1

Client Access Licence (CAL)

Client Access Licence (CAL) – Exchange Server

9816518979 8250082 EA Servers Exchange Server Standard CAL - Device CAL 2013 300 0 0 300

3433 63585281 OPEN Servers Exchange Server Standard CAL - Device CAL 2013 50 0 0 50

Client Access Licence (CAL) – SQL Server

525 48495284 OPEN Servers SQL - Device CAL 2012 6 0 0 6

111114 60928906 OPEN Servers SQL - Device CAL 2012 10 0 0 10

Client Access Licence (CAL) – System Center

9816518979 8250082 EA Servers System Center Configuration Manager Client ML 2012 300 0 0 300

Client Access Licence (CAL) – Windows Server

9816518979 8250082 EA Servers Windows Server - Device CAL 2012 300 0 0 300

3433 63585281 OPEN Servers Windows Server - Device CAL 2012 50 0 0 50

Client Access Licence (CAL) – SharePoint Server

9816518979 8250082 EA Servers Office SharePoint Server Standard CAL - Device CAL 2013 300 0 0 300

Client Access Licence (CAL) – Lync

9816518979 8250082 EA Servers Lync Server Standard - Device CAL 2013 300 0 0 300


Auditoría Interna






b) Ausencia de documentación para soportar el uso de licenciamiento que se encuentra instalado

Se consigna que los equipos de cómputo identificados como “J5NWNW1” y

“J5NJZV1” fueron donados; los mismos están asociados a un sistema operativo Windows 7 Professional (Esquema OEM) y a Office 2010 (Contrato OPEN 47523379); además, que no se cuenta con la factura de la adquisición.

Se indica que los equipos de cómputo identificados con los patrimonios 2582251, 0901-004685, FBN 2394 y 1059553 tiene instalado un Office 2007 bajo el esquema OEM; sin embargo, se indica que no se cuenta con el dato de la factura de adquisición.

Se consigna que los equipos de cómputo identificados con los patrimonios FID 3816 y FID 3819 están asociados a sistemas operativos Windows Vista Business (Esquema OEM) y a un Office 2007 (Contrato OPEN 42596109); sin embargo, se indica que no se cuenta con el dato de la factura de adquisición.

Se mantienen instaladas 41 licencias Office Professional 2010 (Referencias de adquisición: 10 licencias con la factura 55958, 1 licencia con la factura 4530, 24 licencias con la factura 64588 y 6 licencias con la factura 111853); sin embargo, únicamente se aportó documentación de 35 COA´s relacionadas con Office Professional (LatAm) 2010.

Con la factura 111853 se adquirieron 7 computadoras con su respetivas licencias Office Professional 2010 bajo el esquema OEM. Por medio del contrato 60927046 se adquirió 1 licencia Office Professional Plus 2010 bajo el esquema OPEN, instalada en el equipo de cómputo con el número de patrimonio 0901-002827 vinculando dicho licenciamiento con la citada factura. Sin embargo, la UTI asocia dicha licencia con un Office 2013. Las restantes 6 licencias que fueron adquiridas con la factura 111853, están instaladas en los equipos números de patrimonio: 0901-002605, 0901-002609, 0901-002608, 0901-002607, 0901-002606 y 0901-002821.

c) Licencia que no puede ser utilizada por el SFE El contrato 64173459 posibilita el uso de 58 licencias Office Professional Plus 2013, sin embargo, de acuerdo con los términos del contrato 2014-19 el SFE únicamente puede utilizar 57 licencias. Además, se determinó que la UTI registró el equipo identificado con la serie 5CG4330Q88 asociándolo con un Office versión 2013 bajo el esquema OEM; sin embargo, el mismo debe vincularse con el esquema OPEN, según los términos del contrato 64173459.

3.2.6.3 Causa No se está registrando información suficiente con respecto al estado del licenciamiento.


Auditoría Interna






3.2.6.4 Efecto Riesgo potencial de que al no contarse con documentación y/o información suficiente relacionada con el estado del licenciamiento, dicha situación provoque inconvenientes negativos en la administración efectiva de ese licenciamiento así como en la respectiva toma de decisiones y la adecuada rendición de cuentas.

3.2.6.5 Conclusión

Es necesario que el sistema de información implementado por la UTI (automatizado, manual o una mezcla de ambos) en forma integral registre toda aquella información que contribuya con la administración de cada uno de los aspectos vinculados con lo dispuesto en el Decreto Ejecutivo N° 37549-JP; situación que debe facilitar el contar en forma ágil y oportuna con información que soporte la toma de decisiones.

3.2.6.6 Recomendación

A la Unidad de Tecnologías de la Información (UTI) 3.2.6.6.1 Verificar lo descrito en el numeral 3.2.6.2 “Condición” del presente hallazgo,

con el propósito de que se valoren entre otros aspectos, lo siguiente:

a) Documentar como parte integral del sistema de información implementado para el control del licenciamiento que ha sido adquirido, recibido en donación y arrendado, las razones que justifican que el SFE mantenga en custodia saldos de licencias; según lo descrito en el numeral 3.2.6.2 inciso a) anterior.

b) Analizar cada uno de los casos descritos en el numeral 3.2.6.2 inciso b) anterior, a efecto de que se adopten las medidas pertinentes que pudiesen corresponder, en apego al ordenamiento jurídico y técnico.

c) Registrar la restricción que se tiene con relación al contrato 64173459 mediante el cual la empresa el ORBE adquirió 58 licencias Office Professional Plus 2013; de las cuales el SFE bajo los términos del contrato 2014-19 y su Adenda, únicamente está facultado para utilizar 57 de ellas.

d) Analizar el registro relacionado con el equipo identificado con la serie 5CG4330Q88 asociándolo con un Office versión 2013, con el fin de que se consigne que dicho licenciamiento está bajo el esquema OPEN, según los términos del contrato 64173459. De dicha situación se deberá informar a la Unidad de Servicios Generales y a la Unidad Financiera para lo que corresponda.


Auditoría Interna






4 Opinión de la Auditoría Interna

Desde el año 2014 la Auditoría Interna viene fiscalizando (con un enfoque integral respecto a la Evaluación del Sistema de Control Interno Institucional) el cumplimiento de lo dispuesto en el Decreto Ejecutivo N° 37549-JP “Reglamento para la Protección de los Programas de Cómputo en los Ministerios e Instituciones Adscritas al Gobierno Central”; situación que nos ha permitido además, analizar las actividades de las dependencias del SFE4 cuya gestión está vinculada directa o indirectamente con el cumplimiento del citado Decreto Ejecutivo. Nuestra labor de fiscalización ha permitido entre otros aspectos:

Identificar y documentar la cantidad de equipos de cómputo (portátiles, tabletas, de escritorio y servidores) propiedad del SFE y aquellos bajo la modalidad de arrendamiento así como el licenciamiento adquirido, instalado, dado de baja y en custodia, inclusive, el denominado “código abierto”.

Identificar debilidades de control (hallazgos) asociadas a recomendaciones aceptadas por la administración activa, cuyos resultados han permitido fortalecer el Sistema de Control Interno (SCI).

Considerando en forma integral los resultados que se obtuvieron producto de estudios de auditoría anteriores (incluye seguimiento de recomendaciones) así como los resultados del presente estudio procedemos a emitir la siguiente opinión: 4.1 Respecto al cumplimiento Decreto Ejecutivo N° 37549-JP: Según lo descrito en el numeral 2 denominado “Resultados sobre equipos de cómputo y licenciamiento” del presente informe (y la evidencia obtenida que los soporta), el SFE en lo que es aplicable, cumple razonablemente con lo dispuesto en el Decreto Ejecutivo N° 37549-JP, exceptuando a nuestro criterio el cumplimiento parcial de lo dispuesto en los artículos 2 inciso e y 10 inciso c. Para mayor detalle ver Anexo N° 4. 4.2 Respecto al Sistema de Control Interno (SCI): Como producto de la evidencia obtenida, se identificaron debilidades de control interno que deben ser atendidas por la administración activa (hallazgos descritos en el numeral 3 del presente informe), en procura de fortalecer el SCI de las dependencias del SFE que tienen relación directa e indirecta con lo dispuesto en el Decreto Ejecutivo N° 37549-JP.

4 Unidad de Tecnologías de Información (Control licenciamiento y su vínculo con los equipos de cómputo), Unidad

de Servicios Generales (Control de activos) y Unidad Financiera (Registro contable de activos tangibles e intangibles)


Auditoría Interna






Anexo N° 1 Diferencias generadas al comparar registros administrativos

1. Identificación de equipos de cómputo propiedad del SFE contenidos en el registro de la UTI que no se ubican en los registros de la USG y/o UF

UTI USG UF

PATRIMONIO TIPO PATRIMONIO TIPO PATRIMONIO TIPO

1345 Desktop 1345 FBN UNIDAD DE PROCESO CENTRAL-CPU No se ubicó

1059553 Desktop 1059553 UNIDAD DE PROCESO CENTRAL-CPU No se ubicó





2582251 Desktop No se ubicó No se ubicó

2582267 Portátil 2582267 COMPUTADORA PORTATIL No se ubicó

















2582289 Desktop 2582289 COMPUTADORA PORTATIL No se ubicó



0901-000094 Portátil No se ubicó 0901000094 Computadora

portátil

0901-000147 Desktop No se ubicó 0901000147 CPU

0901-000240 Desktop No se ubicó No se ubicó






Auditoría Interna






UTI USG UF








FBN 2394 Desktop No se ubicó No se ubicó

FID 3816 Portátil 3816 FBN COMPUTADORA PORTATIL No se ubicó

FID 3819 Portátil 3819 FBN COMPUTADORA PORTATIL No se ubicó

J5NJZV1 Desktop No se ubicó No se ubicó

J5NWNW1 Desktop No se ubicó No se ubicó

2. Identificación de equipos de cómputo propiedad del SFE ubicados en los

registros de la USG y UF pero no en el registro de la UTI

UTI USG UF


No se ubicó 901000102 UNIDAD DE PROCESO CENTRAL-CPU 0901000102 CPU

No se ubicó 901000121 COMPUTADORA PORTATIL 0901000121 Computadora portátil



No se ubicó 901000263 COMPUTADORA PORTATIL 0901000263 Computadora portátil









3. Identificación de equipos de cómputo propiedad del SFE ubicados en los

registros de la USG pero no en los registros de la UTI y UF

Patrimonio Descripción Patrimonio Descripción

1028662 UNIDAD DE PROCESO CENTRAL-CPU 901000541 UNIDAD DE PROCESO CENTRAL-CPU




1059516 COMPUTADORA PORTATIL 901003425 UNIDAD DE PROCESO CENTRAL-CPU

1059541 UNIDAD DE PROCESO CENTRAL-CPU 1834 FBN UNIDAD DE PROCESO CENTRAL-CPU


Auditoría Interna









1059580 UNIDAD DE PROCESO CENTRAL-CPU 3001 FBN COMPUTADORA PORTATIL

1063575 COMPUTADORA PORTATIL 3003 FBN COMPUTADORA PORTATIL



1065023 COMPUTADORA PORTATIL 3513 FBN UNIDAD DE PROCESO CENTRAL-CPU










Los activos destacados en color amarillo fueron traslados por la UTI a la USG con el fin de gestionar la baja de los mismos de inventario (Oficios SP-022-2016 del 11/11/2016 y SP-0003-2017 del 17/01/2017 y formulario de traslado de bienes de fecha 28/09/2016).

4. Identificación de equipos de cómputo propiedad del SFE ubicados en los registros de la UF pero no en los registros de la UTI y USG


0901000178 CPU 0901001661 CPU

0901000184 CPU 0901003275 Tablet Computer

0901000205 CPU 0901003276 Tablet Computer

0901000214 CPU

0901000243 CPU

0901001304 CPU

5. Diferencias al conciliar modelos de los equipos de cómputo propiedad

del SFE, según registros de la UTI y USG 5 Modelo Tipo UTI USG Diferencia Modelo Tipo UTI USG Diferencia

780 Escritorio 1 -1 3300 Portátil 1 -1

960 Escritorio 1 -1 COMPAQ Portátil 2 -2

4600 Escritorio 2 -2 Elitebook 8460p Portátil 6 7 -1

5 Este tipo de comparación no fue posible realizarla con respecto a los registros de la UF, por cuanto el auxiliar

contable no consigna información sobre los modelos de los equipos de cómputo.


Auditoría Interna






Modelo Tipo UTI USG Diferencia Modelo Tipo UTI USG Diferencia

6000 Escritorio 1 -1 Inspiron 1300 Portátil 5 -5

BL460CG7 Escritorio 1 -1 Inspiron 1520 Portátil 2 8 -6

COMPAQ6300PRO Escritorio 2 -2 Inspiron 2650 Portátil 1 -1

D330D Escritorio 1 -1 Latitude D830 Portátil 2 -2

D530 Escritorio 1 3 -2 NX9010 Portátil 1 -1

Dc5800 Escritorio 3 9 -6 PSAG8U Portátil 1 -1

DR2400 Escritorio 1 -1 SATELITE L20 Portátil 3 -3

E1910 Escritorio 7 -7 Vostro 330 Portátil 1 1

Genérico Escritorio 4 4

NOVA PROVISTA Escritorio 5 -5

Optiplex 170L Escritorio 6 -6

Optiplex 270 Escritorio 1 1

Optiplex 3010 Escritorio 2 2

Optiplex 330 Escritorio 4 7 -3

Optiplex 745 Escritorio 2 5 -3

Optiplex 775 Escritorio 1 -1

Optiplex 790 Escritorio 1 -1

Optiplex 980 Escritorio 32 24 8

Optiplex 990 Escritorio 24 23 1

Optiplex Gx620 Escritorio 1 1 Sin dato Escritorio 1 -1 XW4600 Escritorio 1 -1 Z210 Escritorio 3 -3 Z400WORKSTATION Escritorio 1 -1 Z420 Escritorio 2 1 1 Totales 76 108 -32 Totales 9 31 -22

Registros de más UTI 18 Registros de más UTI 1

Registros de más USG -50 Registros de más USG -23

6. Diferencias al conciliar las denominaciones de modelos y patrimonio

asignados a equipos de cómputo propiedad del SFE, según registros de la UTI y USG

UTI USG Debilidad detectada

Cantidad Descripción Cantidad Descripción

11 Elitebook 8440p

4 8440p No coinciden las denominaciones de los modelos. La estructura para registrar el número de patrimonio

es diferente. 6 8440

1 Elite book

6 Elitebook 8460p 7 8460p

No coinciden las denominaciones de los modelos ni las asociadas a los mismos.

Además, excepto por el activo 0901-002821 el resto de los números de patrimonio registrados por la UTI (Números de patrimonio: 0901-002605, 0901-002606, 0901-002607, 0901-002608, y 0901-002609) no coinciden con los asignados por la USG (Números de patrimonio: 901002822, 901002823, 901002824, 901002825, 901002826 y 901002842).

La estructura para registrar el patrimonio es diferente.


Auditoría Interna








5 Elitebook 85600p

1 8560

No coinciden las denominaciones de los modelos. Los números de patrimonio registrados por la UTI

(Números de patrimonio: 0901-002822, 0901-002823, 0901-002824, 0901-002825 y 0901-002826) no coinciden con los asignados por la USG (Números de patrimonio: 901002605, 901002606, 901002607, 901002608 y 901002609).


4 8560p

25 Latitude E6400

2 E6400 No coinciden en su totalidad las denominaciones de los

modelos. Ambos registros asocian un total de 25 equipos al

modelo Latitude E6400, no obstante, únicamente se pudieron conciliar 24 patrimonios; la diferencia radica en que la UTI registra el activo 0901-000094 y la USG registra el activo 901000121.


6 Latitud E6400

17 Latitude E6400

1 Latitude E6510 1 STUDIO14

La UTI registra el patrimonio 0901-000928 y la USG registra el patrimonio 901000928, ambos equipos de marca DELL; sin embargo, difieren algunos datos registrados, como por ejemplo la denominación del modelo.


10 Optiplex 7010

1 Optiplez 7010 No coinciden las denominaciones de los modelos. Ambos registros asocian un total de 10 equipos al

modelo Optiplex 7010; no obstante, se presenta diferencia al conciliar la totalidad de los patrimonios. En el registro UTI se ubicaron los activos 0901-003132 y 0901-003434 y en el registro USG se ubicaron los activos 901003131 y 901003134.


9 7010

2 Optiplex 745 5 Optiplex 745

La UTI registra únicamente dos activos patrimonios 3844 y 3846; al respecto la USG registra 5 activos, de los cuales solamente el 3844 FBN coincide con uno de los antes citados.



El registro de la USG registra 8 activos menos que el registro de la UTI (Números de patrimonio: 0901-000823, 0901-000831, 0901-000847, 0901-000850, 0901-000853, 0901-000856, 0901-000862 y 0901-001306).

Si bien se conciliaron 24 activos, la estructura para registrar el número de patrimonio es diferente.


La UTI asocia el registro de los activos números de patrimonio 0901-002736 y 0901-002842 con el modelo Optiplex 990; sin embargo, los mismos no se ubican en el registro de la USG. Al respecto, es necesario señalar que la USG asocia el activo número de patrimonio 901002842 al modelo 8460p.

La USG asocia el registro del activo número de patrimonio 901002465 al modelo Optiplex 990; no obstante, el mismo no se ubica en el registro de la UTI.

Se determinó una coincidencia en 22 activos asociados al modelo Optiplex 990; sin embargo, la estructura para registrar el número de patrimonio es diferente.

31 Thinkpad x201 25 X201 No coinciden las denominaciones de los modelos. La UTI registra un total de 31 activos asociados al


Auditoría Interna








modelo Thinkpad x201 y la USG registro un total de 25 activos asociados al modelo X201; sin embargo, únicamente se pudieron vincular 18 activos asociados a dicho modelo.

La UTI registra 13 activos asociados al citado modelo pero que no se ubican en el registro de la USG (números de patrimonio: 0901-001621, 0901-001622, 0901-1623, 0901-001624, 0901-001625, 0901-0016256, 0901-002623, 0901-002667, 0901-002668, 0901-002669, 0901-002670 y 0901-002672).

La USG registra 6 activos asociados al mencionado modelo pero que no se ubican en el registro de la UTI (número de patrimonio: 901001444, 901001445, 901001446, 901001668, 901001669 y 901003023).


12 Thinkpad x220 12 X220

No coinciden las denominaciones de los modelos. La UTI registra un total de 12 activos asociados al

modelo Thinkpad x220 y la USG un total de 12 activos asociados al modelo X220; pero únicamente se pudieron vincular 5 activos asociados a dicho modelo.

La UTI registra 7 activos asociados al citado modelo pero que no se ubican en el registro de la USG (números de patrimonio: 0901-003023, 0901-001440, 0901-001444, 0901-001445, 0901-001445, 0901-001668 y 0901-001669).

La USG registra 7 activos asociados al mencionado modelo pero que no se ubican en el registro de la UTI (número de patrimonio: 901002623, 901002667, 901002668, 901002669, 901002670, 901002671 y 901002672).


Sin dato Sin dato 6 X200

La UTI no registra activos asociados al modelo X200. Los activos que registra la USG asociados a dicho

modelo son: 901001621, 901001622, 901001623, 901001624, 901001625 y 901001626. Estos activos los tiene la UTI asociados al modelo Thinkpad x201.

La estructura para registrar patrimonio es diferente.


Auditoría Interna






Anexo N° 2 Diferencias generadas al comparar información que mantiene registrada la UTI contra los resultados del auto-inventario realizado por la Auditoría Interna con la colaboración de las dependencias del SFE

Nota: Los datos deben interpretarse de la siguiente manera:

La línea destacada en color celeste claro = Datos provienen de los registros en Excel que mantiene la UTI La línea destacada en color en color celeste oscuro = Datos provienen de las hojas de vida (Formulario TI-F-21) La línea destacada en color verde claro = Datos almacenados en el Sistema COLI La línea destacada en color blanco = Datos suministrados a través del denominado auto-inventario

1. Diferencias relacionadas con equipos de cómputo propiedad del SFE

FUENTE UBICACIÓN USUARIO TIPO MODELO ESTADO PATRIMONIO LICENCIA SO

Registro_Excel_UTI Edificio Central Johnny Rocha Desktop Genérico

0901-000240 WINDOWS VISTA

Hoja Vida_UTI Sabana Sur Johnny Rocha Escritorio Nova Pro Vista 0901-000240 WINDOWS VISTA

Hoja Vida_Sistema COLI Sin dato 0901-000240 Sin dato Nova Pro Vista Disponible (Alta) 0901-000240 WINDOWS VISTA

Auto-Inventario_Usuario Edificio Central Johnny Rocha Desktop Genérico

0901-000149 WINDOWS XP

Registro_Excel_UTI Edificio Central Sonia Mesén Juárez Desktop Optiplex 980

0901-000882 WINDOWS 7

Hoja Vida_UTI Sabana Sonia Mesén Juárez Escritorio Optiplex 980 0901-000882 WINDOWS 7

Hoja Vida_Sistema COLI Sin dato 0901-000882 Sin dato Sin Dato Inactivo 0901-000882 WINDOWS 7

Auto-Inventario_Usuario Edificio Central Mariela Boniche Villalobos Desktop Optiplex 980

0901-000882 WINDOWS 7


Auditoría Interna








0901-001170 WINDOWS 7

Hoja Vida_UTI Ventanilla Única Tatiana León Escritorio Optiplex 980 0901-001170 WINDOWS 7

Hoja Vida_Sistema COLI Sin dato Bodega TI 7 Sin dato Sin dato Inactivo 0901-001170 WINDOWS 7

Auto-Inventario_Usuario Ventanilla Única Tatiana León Desktop Optiplex 980


Registro_Excel_UTI Edificio Central Maria José Retana Desktop Dc6200

0901-002497 WINDOWS 7

Hoja Vida_UTI Sabana Maria José Retana Escritorio Compaq DC6200 0901-002497 WINDOWS 7


Auto-Inventario_Usuario Edificio Central Roberto Villalobos L. Desktop Dc6200

0901-002497 WINDOWS 7

Registro_Excel_UTI Edificio Central Dennis Víquez Desktop Dc6200

0901-002518 WINDOWS 7

Hoja Vida_UTI Sabana Dennis Víquez Escritorio Compaq DC6200 0901-002518 WINDOWS 7

Hoja Vida_Sistema COLI Sin dato Dennis Víquez Sin dato Sin dato Inactivo 0901-002518 WINDOWS 7

Auto-Inventario_Usuario Edificio Central Priscila Burgos Desktop Dc6200

0901-002518 WINDOWS 7

Registro_Excel_UTI Edificio Central Bodega TI Desktop Optiplex 980

0901-000770 WINDOWS 7

Hoja Vida_UTI Ventanilla Tatiana León Escritorio Optiplex 980 0901-000770 WINDOWS 7


Auto-Inventario_Usuario Ventanilla Única Tatiana León Desktop Optiplex 980



Auditoría Interna








0901-000831 WINDOWS 7

Hoja Vida_UTI Sabana Sur Jeymer Mora Pérez Escritorio Optiplex 980 0901-000831 WINDOWS 7


Auto-Inventario_Usuario Edificio Central Bodega TI Desktop Optiplex 980

0901-000831 WINDOWS 7

Registro_Excel_UTI Pavas Arturo Saborío Desktop Dc5800

2582158 WINDOWS VISTA

Hoja Vida_UTI Pavas Arturo Saborío Escritorio Compaq Dc5800 2582158 WINDOWS VISTA

Hoja Vida_Sistema COLI Sin dato Arturo Saborío Sin dato Sin dato Inactivo 2582158 Inactivo

Auto-Inventario_Usuario Pavas Marielos Rodríguez Porras Desktop Dc5800


Registro_Excel_UTI Edificio Central Bodega TI Portátil Thinkpad x220

0901-001446 WINDOWS 7

Hoja Vida_UTI Sabana Jeymer Mora Pérez Portátil Thinkpad x220 0901-001446 WINDOWS 7

Hoja Vida_Sistema COLI Sin dato Sin dato Sin dato Sin dato Sin dato Sin dato Sin dato

Auto-Inventario_Usuario PEÑAS BLANCAS José Duarte Portátil Thinkpad x220

0901-001446 WINDOWS 7

Registro_Excel_UTI Pavas Arturo Saborío Portátil Elitebook 8560p

0901-002826 WINDOWS 7

Hoja Vida_UTI Pavas Arturo Saborío Portátil Elitebook 8560 0901-002826 WINDOWS 7


Auto-Inventario_Usuario Pavas Arturo Saborío Portátil Elitebook 8460p

0901-002826 WINDOWS 7

Registro_Excel_UTI Edificio Central Liliana Pastor Portátil Elitebook 8560p

0901-002822 WINDOWS 7

Hoja Vida_UTI Sabana Liliana Pastor Portátil Elitebook 8560p 0901-002822 WINDOWS 7


Auto-Inventario_Usuario Edificio Central Liliana Pastor Portátil ELTITEBOOK8460P

0901-002822 WINDOWS 7


Auditoría Interna







Registro_Excel_UTI Edificio Central Bodega TI Portátil Latitude E6400


Hoja Vida_UTI Sabana Jeymer Mora Pérez Portátil Latitude E6400 2582281 WINDOWS VISTA


Auto-Inventario_Usuario INBIO PARQUE David Mendoza Portátil Latitude E6400


Registro_Excel_UTI Edificio Central Sonia Mesén Juárez Portátil Inspiron 1520

FID 3819 WINDOWS VISTA

Hoja Vida_UTI Sabana Sonia Mesén Juárez Portátil Inspiron 1520 3819 WINDOWS VISTA


Auto-Inventario_Usuario Edificio Central Juan José Delgado Portátil Inspiron 1520

FID 3819 WINDOWS VISTA

Registro_Excel_UTI Caldera Alexander Mora Desktop Optiplex 990

0901-002771 WINDOWS 7

Hoja Vida_UTI Caldera Alexander Mora Escritorio Optiplex 990 0901-002771 WINDOWS 7

Hoja Vida_Sistema COLI Sin dato Alexander Mora 1 Sin dato Sin dato Inactivo 0901-002771 WINDOWS 7

Auto-Inventario_Usuario Caldera Luis Alonso Barahona Arce Desktop Optiplex 990

0901-002771 WINDOWS 7


0901-002765 WINDOWS 7



Auto-Inventario_Usuario Caldera Sin Asignar

(Funcionario Por Ingresar) Desktop Optiplex 990

0901-002765 WINDOWS 7


Auditoría Interna








0901-002768 WINDOWS 7



Auto-Inventario_Usuario Caldera Jerry Castro Rodríguez Desktop Optiplex 990

0901-002768 WINDOWS 7


0901-002774 WINDOWS 7

Hoja Vida_UTI Paso Canoas Félix Alvarado Escritorio Optiplex 990 0901-002809 WINDOWS 7


Auto-Inventario_Usuario Caldera Alfonso Vargas Ugalde Desktop Optiplex 990

0901-002774 WINDOWS 7

Registro_Excel_UTI Los Chiles Helberth León Desktop Optiplex 7010

0901-003140 WINDOWS 8

Hoja Vida_UTI Tablillas Los

Chiles Helberth León Escritorio Optiplex 7010 0901-003140 WINDOWS 8

Hoja Vida_Sistema COLI Sin dato Helberth León Sin dato Sin dato Inactivo 0901-003140

Auto-Inventario_Usuario Los Chiles Francisco Estrada Garro Desktop Optiplex 7010

0901-003140 WINDOWS 8

Registro_Excel_UTI Edificio Central Juan José Delgado Desktop Optiplex 7010

0901-003132 WINDOWS 8

Hoja Vida_UTI Sabana Juan José Delgado C Escritorio Optiplex 7010 0901-003132 WINDOWS 8

Hoja Vida_Sistema COLI Sin dato Juan José Delgado Carmona Sin dato Sin dato Inactivo 0901-003132 Sin dato

Auto-Inventario_Usuario Edificio Central Juan José Delgado Desktop Optiplex 7010

0901-003131 WINDOWS 8


Auditoría Interna









Hoja Vida_UTI Sabana Sonia Mesén Escritorio Optiplex 330 2582291 WINDOWS VISTA

Hoja Vida_Sistema COLI Sin dato Oscar Mario Fernández Sin dato Sin dato Inactivo 2582291 Sin dato

Auto-Inventario_Usuario Edificio Central Bodega TI Desktop Optiplex 330


Registro_Excel_UTI SABANA SUR ESAU MIRANDA Sin dato Elitedesk 800 G1 MXL52717T8 OEM WINDOWS 7

Hoja Vida_UTI SABANA ESAU MIRANDA Escritorio Elitedesk 800 G1 MXL52717T8 OEM WINDOWS 7

Sistema COLI Sin dato Sin dato Sin dato Sin dato Sin dato Sin dato

Auto-Inventario_Usuario SABANA SUR Silvia Delgado Granados Escritorio ELITEDESK 800 G1 MXL52717T8 OEM WINDOWS 7

2. Diferencias relacionadas con equipos de cómputo arrendado por el SFE

FUENTE UBICACIÓN USUARIO TIPO MODELO ESTADO SERIE LICENCIA SO

Registro_Excel_UTI Sabana Sur Audrey Palacios Chacón Sin dato ELITEDESK 800 G1 MXL4340CBP OEM WINDOWS 7

Hoja Vida_UTI Sabana Audrey Palacios Escritorio ELITEDESK 800 G1 MXL4340CBP WINDOWS 7


Auto-Inventario_Usuario SABANA SUR Oscar Víquez Lanza Escritorio ELITEDESK 800 G1 MXL4340CBP OEM WINDOWS 7

Registro_Excel_UTI Limón Luis Alberto Campos Sin dato ELITEDESK 800 G1 MXL43409KZ OEM WINDOWS 7

Hoja Vida_UTI Limón Luis Alberto Campos Chavarria Escritorio ELITEDESK 800 G1 MXL43409KZ WINDOWS 7


Auto-Inventario_Usuario LIMON Luis Alberto Campos Escritorio ELITEDESK 800 G1 MXL43409K2 OEM WINDOWS 7


Auditoría Interna







Registro_Excel_UTI Sabana Sur Grettel Morales K Sin dato ELITEDESK 800 G1 MXL43409KI OEM WINDOWS 7

Hoja Vida_UTI Sabana Grettel Morales K Escritorio ELITEDESK 800 G1 MXL43409KI WINDOWS 7


Auto-Inventario_Usuario SABANA SUR Grettel Morales K Escritorio ELITEDESK 800 G1 MXL43409K1 OEM WINDOWS 7

Registro_Excel_UTI Sabana Sur Jessica Quesada Mora Sin dato ELITEDESK 800 G1 MXL43409MX OEM WINDOWS 7

Hoja Vida_UTI Sabana Marlin Francis Escritorio ELITEDESK 800 G1 MXL43409MX WINDOWS 7


Auto-Inventario_Usuario SABANA SUR Jessica Quesada Mora Escritorio ELITEDESK 800 G1 MXL43409HX OEM WINDOWS 7

Registro_Excel_UTI Sabana Sur Neferty Rodríguez Álvarez Sin dato ELITEDESK 800 G1 MXL434094L OEM WINDOWS 7

Hoja Vida_UTI Sabana Neferty Rodríguez Escritorio ELITEDESK 800 G1 MXL434094L WINDOWS 7


Auto-Inventario_Usuario SABANA SUR Neferty Rodríguez Álvarez Escritorio ELITEDESK 800 G1 MXL43409HV OEM WINDOWS 7

Registro_Excel_UTI Sabana Sur Secretaria Operaciones Sabana Sin dato ELITEDESK 800 G1 MXL434095W OEM WINDOWS 7

Hoja Vida_UTI Sabana Blanca Castillo ELITEDESK 800 G1 MXL434095W WINDOWS 7


Auto-Inventario_Usuario SABANA SUR Kenia Bonilla Muñoz Escritorio ELITEDESK 800 G1 MXL434095W OEM WINDOWS 7


Auditoría Interna







Registro_Excel_UTI Los Chiles Helberth León Sin dato ELITEDESK 800 G1 MXL43409GH OEM WINDOWS 7

Hoja Vida_UTI Los Chiles Helberth León Escritorio ELITEDESK 800 G1 MXL43409GH WINDOWS 7


Auto-Inventario_Usuario LOS CHILES Juan Frutos Vásquez Escritorio ELITEDESK 800 G1 MXL43409GH OEM WINDOWS 7

Registro_Excel_UTI Los Chiles Carlos Cerdas Sin dato ELITEDESK 800 G1 MXL43409G9 OEM WINDOWS 7

Hoja Vida_UTI Los Chiles Carlos Cerdas Escritorio ELITEDESK 800 G1 MXL43409G9 WINDOWS 7


Auto-Inventario_Usuario LOS CHILES Juan Bautista Gómez Reina Escritorio ELITEDESK 800 G1 MXL43409G9 OEM WINDOWS 7

Registro_Excel_UTI Los Chiles Juan Frutos Sin dato ELITEDESK 800 G1 MXL4340CCK OEM WINDOWS 7

Hoja Vida_UTI Los Chiles Juan Frutos ELITEDESK 800 G1 MXL4340CCK WINDOWS 7


Auto-Inventario_Usuario LOS CHILES Elmer Gutiérrez Espinoza Escritorio ELITEDESK 800 G1 MXL4340CCK OEM WINDOWS 7

Registro_Excel_UTI Sabana Sur Arlet Vargas Sin dato ELITEDESK 800 G1 MXL43409GJ OEM WINDOWS 7

Hoja Vida_UTI Sabana Arlet Vargas Escritorio ELITEDESK 800 G1 MXL43409GJ WINDOWS 7


Auto-Inventario_Usuario SABANA SUR Karla Solís Escritorio ELITEDESK 800 G1 MXL43409GJ OEM WINDOWS 7


Auditoría Interna







Registro_Excel_UTI Esparza Francisco Javier Méndez Espinoza Sin dato ELITEBOOK 820 G1 5CG4330Q7N OEM WINDOWS 7

Hoja Vida_UTI Esparza Francisco Méndez ELITEBOOK 820 5CG4330Q7N WINDOWS 7


Auto-Inventario_Usuario ESPARZA Francisco Javier Méndez Espinoza Portátil ELITEBOOK 840 G1 5CG4330Q7N OEM WINDOWS 7

Registro_Excel_UTI Paso Canoas Félix Alvarado Sin dato ELITEDESK 800 G1 MXL43409K6 OEM WINDOWS 7

Hoja Vida_UTI Paso Canoas Félix Alvarado Escritorio ELITEDESK 800 G1 MXL43409K6 WINDOWS 7


Auto-Inventario_Usuario PASO CANOAS Luis Gonzales Gutiérrez Escritorio ELITEDESK 800 G1 MXL43409K6 OEM WINDOWS 7

Registro_Excel_UTI Paso Canoas Gilberth Venegas Soto Sin dato ELITEDESK 800 G1 MXL43409HH OEM WINDOWS 7

Hoja Vida_UTI Paso Canoas Gilberth Venegas ELITEDESK 800 G1 MXL43409HH WINDOWS 7


Auto-Inventario_Usuario PASO CANOAS Félix Alvarado Alvarado Escritorio ELITEDESK 800 G1 MXL43409HH OEM WINDOWS 7

Registro_Excel_UTI

SABANA SUR Juan Pablo Sáenz Fernández Sin dato ELITEDESK 800 G1 MXL4340CBF OEM WINDOWS 7 Hoja Vida_UTI Sabana Juan Pablo Sáenz Escritorio ELITEDESK 800 G1 MXL4340CBF OEM WINDOWS 7 Sistema COLI Sin dato Sin dato Sin dato Sin dato Sin dato Sin dato Sin dato

Auto-Inventario_Usuario SABANA SUR Patricia Campos Herrera ESCRITORIO ELITEDESK 800 G1 MXL4340CBF WINDOWS 7

Registro_Excel_UTI Sin dato Sin dato Sin dato Sin dato Sin dato Sin dato

Hoja Vida_UTI Sabana Robert Elizondo Portátil EliteBook 820 5CG4330Q9Q WINDOWS 7

Sistema COLI Sin dato Sin dato Sin dato Sin dato Sin dato Sin dato Sin dato

Auto-Inventario_Usuario Edificio Central Robert Elizondo Portátil EliteBook 820 5CG4330Q9Q WINDOWS 7


Auditoría Interna






3. Diferencias relacionadas con la asignación de equipos de cómputo pero que el funcionario indica que no está bajo su responsabilidad

Equipos de cómputo propiedad del SFE


Registro_Excel_UTI Edificio Central German Carranza Desktop Optiplex 980 0901-001351 WINDOWS 7

Hoja Vida_UTI Sabana German Carranza Escritorio Optiplex 980 0901-001351 WINDOWS 7

Sistema COLI Sin dato German Carranza Sin dato Sin dato Inactivo 0901-001351 WINDOWS 7

Registro_Excel_UTI Edificio Central Marvin Argueta García Desktop Dc6200 0901-002491 WINDOWS 7

Hoja Vida_UTI Sabana Jeymer Mora Pérez Escritorio CompaqDc6200 0901-002491 WINDOWS 7

Sistema COLI Sin dato Bodega TI 21 Sin dato Sin dato Inactivo 0901-002491 WINDOWS 7

Registro_Excel_UTI Peñas Blancas Donaldo Miranda Desktop Optiplex 990 0901-002736 WINDOWS 7

Hoja Vida_UTI Peñas Blancas Enrique Oviedo Abarca Escritorio Optiplex 990 0901-002736 WINDOWS 7

Sistema COLI Sin dato Enrique Oviedo Abarca Sin dato Sin dato Inactivo 0901-002736 WINDOWS 7

Registro_Excel_UTI Paso Canoas Félix Alvarado Desktop D530 1028668 WINDOWS XP

Hoja Vida_UTI Paso Canoas Félix Alvarado Escritorio D530 1028668 WINDOWS XP

Sistema COLI Sin dato Félix Alvarado Sin dato Sin dato Inactivo 1028668 Sin dato

Registro_Excel_UTI Edificio Central Robert Elizondo Portátil Elitebook 8440p 0901-001538 WINDOWS 7

Hoja Vida_UTI Sabana Sur Robert Elizondo Portátil Elitebook 8440 0901-001538 WINDOWS 7



Auditoría Interna







Registro_Excel_UTI Edificio Central Maria José Retana Desktop Optiplex 7010 0901-003434 WINDOWS 8

Hoja Vida_UTI Sabana Maria José Retana Escritorio Optiplex 7010 0901-003434 WINDOWS 8

Sistema COLI Sin dato Maria José Retana Sin dato Sin dato Inactivo 0901-003434 Sin dato

Registro_Excel_UTI Ventanilla Única Tatiana León Desktop Optiplex Gx260 1064057 WINDOWS XP

Hoja Vida_UTI Sabana Jeymer Mora Pérez Escritorio Optiplex Gx260 3418 WINDOWS XP

Sistema COLI Sin dato Tatiana León 2 Sin dato Sin dato Inactivo 1064057 Sin dato

Registro_Excel_UTI Ventanilla Única Tatiana León Desktop Optiplex Gx260 1345 WINDOWS XP

Hoja Vida_UTI Procomer Tatiana León K Escritorio Optiplex Gx260 1345 WINDOWS XP

Sistema COLI Sin dato Tatiana León 3 Sin dato Sin dato Inactivo 1345 Sin dato

Equipos de cómputo arrendados por el SFE


Registro_Excel_UTI SABANA SUR KARLA SOLIS Sin dato ELITEDESK 800 G1 MXL4340CB7 OEM WINDOWS 7

Hoja Vida_UTI SABANA KARLA SOLIS Escritorio ELITEDESK 800 G1 MXL4340CB7 WINDOWS 7



Auditoría Interna






4. Diferencias relacionadas con la asignación de equipos pero que no se refleja en el registro de la UTI

FUENTE UBICACIÓN USUARIO TIPO MODELO SERIE PATRIMONIO LICENCIA SO

Hoja Vida_UTI Sin dato Sin dato Sin dato Sin dato Sin dato Sin dato Sin dato


Auto-Inventario_Usuario PEÑAS BLANCAS Donaldo Miranda Escritorio Sin dato Sin dato 0901-002739 OEM WINDOWS 7



Auto-Inventario_Usuario INBIO PARQUE ANALISTA Escritorio COMPACT

dc7600 CMT CZC62415F3 Windows XP Pro



Auto-Inventario_Usuario INBIO PARQUE ANALISTA Escritorio Optiplex 790 3KY38A00 0207-006314 Windows Vista



Auto-Inventario_Usuario INBIO PARQUE ANALISTA Laptop PRO BOOK 450 G2 CND51007YKM Windows 7


Auditoría Interna






Anexo N° 3 Diferencias generadas al comparar Hojas de Vida Servidores con información almacenada en el Sistema COLI

1. Existen datos registros en las respectivas hojas de vida de los servidores físicos (Formato TI-F-22) que no coinciden con los registrados en el Sistema COLI, tal y como se describe seguidamente:

Código Tipo Formato TI-F-22 Sistema COLI SFE-H-01 Físico BIOS Vers/Fecha: 6.4.4 07/23/2013

Tipo: Sin dato Bios: null Tipo: Sin dato

SFE-H-02 Físico Edición: Standard Velocidad Ghz: 2.40 / Velocidad Mhz: 2394 N° Procesadores: 1 / N° Procesares Lógicos: 4 BIOS Vers/Fecha: 1.5.2 18/10/2010 Tipo: Sin dato DNS: 10.0.0114, 10.0.0.30

Edición: Enterprise Velocidad: 240 Ghz N° Procesadores: 4 / N° Procesares Lógicos: 1 BIOS Vers/Fecha: Sin dato Tipo (RAM): DDR3 Mag: BC:30:5B:CF:6B:D8

SFE-H-05 Físico Marca: HP Versión: 2008 Velocidad Ghz: 2.53 / Velocidad Mhz: 2533 N° Procesadores: 2 / N° Procesares Lógicos: 16 IP: 10.0.0.9, 10.100.5.5 Puerta de enlace: 10.0.0.254, 10.100.5.1 DNS: 10.0.0114, 10.0.0.30

Marca: Sin dato Versión: 2012 Velocidad Ghz: 253 N° Procesadores: 16 / N° Procesares Lógicos: 2 IP: 10.0.0.9 Gateway: 10.0.0.254 Mag: 78:E7:D1:64:B7:08

SFE-H-07 Físico Versión: 2008 R2 Edición: Enterprise Velocidad Ghz: 2.53 / Velocidad Mhz: 2533 BIOS Vers/Fecha: HP 124, 7/12/2013 Memoria RAM Gb.: 48 IP: 10.0.0.33, 172.16.1.3 Mascara: 255.255.255.0, 255.255.0.0 DNS: 10.0.0114, 10.0.0.30

Versión: 2012 Edición: Standard Velocidad Ghz: 253 BIOS Vers/Fecha: null Tamaño (RAM).: 0 MB IP: 10.0.0.33 Mask: 255.255.0.0 Mag 78:E7:D1:64:C7:D0

SFE-H-08 Físico Versión: 2008 R2 Edición: Enterprise Velocidad Ghz: 2.53 / Velocidad Mhz: 2533 BIOS Vers/Fecha: HP 124, 7/12/2013 Memoria RAM Gb.: 48 IP: 10.0.0.34, 172.16.1.4 DNS: 10.0.0114, 10.0.0.30

Versión: 2012 Edición: Standard Velocidad Ghz: 253 BIOS Vers/Fecha: null Tamaña (RAM).: 0 MB IP: 10.0.0.35 Mag 78:E7:D1:64:07:98

SFE-H-09 Físico Velocidad Ghz: 1.86 / Velocidad Mhz: 1861 N° Procesadores: 2 / N° Procesares Lógicos: 8 BIOS Vers/Fecha: 2.7.0, 30/10/2010

Velocidad Ghz: 186 N° Procesadores: 8 / N° Procesares Lógicos: 2 BIOS Vers/Fecha: Sin dato

SFE-H-12 Físico Velocidad Ghz: 2.40 / Velocidad Mhz: 2394 BIOS Vers/Fecha: 1.5.2, 10/18/2010

Velocidad Ghz: 250 BIOS Vers/Fecha: null

SFE-H-13 Físico Velocidad Ghz: 2.50 / Velocidad Mhz: 2500 BIOS Vers/Fecha: HP 131, 8/20/2012 IP: 10.0.0.23

Velocidad Ghz: 240 BIOS Vers/Fecha: null IP: 10.0.0.22

SFE-H-14 Físico Velocidad Ghz: 2.50 / Velocidad Mhz: 2500 BIOS Vers/Fecha: HP 131, 8/20/2012


SFE-H-16 Físico Velocidad Ghz: 2.67 / Velocidad Mhz: 2666 BIOS Vers/Fecha: HP P62, 3/30/2010



Auditoría Interna






2. Existen datos registros en las respectivas hojas de vida de los servidores virtuales (Formato TI-F-22) que no coinciden con los registrados en el Sistema COLI; según se muestra en el cuadro siguiente:

Código Tipo Formato TI-F-22 Sistema COLI SANIDADWB Virtual Placa inventario: VM

Modelo: Sin dato Sistema operativo: Microsoft Windows Versión: 2008 R2 Edición: Enterprice Velocidad Ghz: 2.53 / Velocidad Mhz: 2532 BIOS Vers/Fecha: 090004, 19/03/2009 Memoria RAM Gb: 6

Placa inventario: SANIDADWB Modelo: Virtual Sistema operativo: Sin dato Versión: Sin dato Edición: Sin dato Velocidad Ghz: 253 BIOS Vers/Fecha: null Tamaño (RAM): 6 MB

SERIMAGENES Virtual Placa inventario: VM Modelo: Sin dato Sistema operativo: Microsoft Windows Server Versión: 2008 R2 Edición: Enterprice Velocidad Ghz: 2.00 / Velocidad Mhz: 1995 N°procesadores:2 / N° procesadores lógicos: 8 BIOS Vers/Fecha: 1.2.6., 7/17/2009

Placa inventario: SERIMAGENES Modelo: MV Sistema operativo: Sin dato Versión: Sin dato Edición: Sin dato Velocidad Ghz: 200 N°procesadores:8 / N° procesadores lógicos: 1 BIOS: Sin dato

SFE-V-01 Virtual Placa inventario: VM Modelo: Sin dato Sistema operativo: Microsoft Windows Server Versión: 2012 Edición: Standard CPU: Intel Xeon Velocidad Ghz: 2.53 / Velocidad Mhz: 2533 BIOS Vers/Fecha: 12.3. 19/03/2009 heredado

Placa inventario: SFE-V-01 Modelo: Virtual Sistema operativo: Sin dato Versión: Sin dato Edición: Sin dato CPU: Heredado Velocidad Ghz: 253 BIOS: Sin dato

SFE-V-03 Virtual Placa inventario: VM Modelo: Sin dato Sistema operativo: Microsoft Windows Server Versión: 2012 Edición: Standard Velocidad Ghz: 2.50 / Velocidad Mhz: 2500 N°procesadores:1 / N° procesadores lógicos: 4 BIOS Vers/Fecha: 090006, 23/05/2012

Placa inventario: SFE-V-03 Modelo: Virtual Sistema operativo: Sin dato Versión: Sin dato Edición: Sin dato Velocidad Ghz: 250 N°procesadores:4 / N° procesadores lógicos: 1 BIOS: null

SFE-V-04 Virtual Placa inventario: VM Modelo: Sin dato Sistema operativo: Microsoft Windows Server Versión: 2012 Edición: Standard Velocidad Ghz: 2.50 / Velocidad Mhz: 2500 BIOS Vers/Fecha: 090006, 23/05/2012

Placa inventario: Sin dato Modelo: Virtual Sistema operativo: Sin dato Versión: Sin dato Edición: Sin dato Velocidad Ghz: 250 BIOS: null

SFE-V-05 Virtual Placa inventario: VM Modelo: Sin dato Sistema operativo: Microsoft Windows Server Versión: 2008 R2 Edición: Enterprice Velocidad Ghz: 2.50 / Velocidad Mhz: 2500 Memoria RAM Gb: 6 BIOS Vers/Fecha: 090006, 23/05/2012

Placa inventario: Sin dato Modelo: Virtual Sistema operativo: Sin dato Versión: Sin dato Edición: Sin dato Velocidad Ghz: 250 Tamaño RAM: 6 MB BIOS: null

SFE-V-06 Virtual Placa inventario: Sin dato Modelo: Sin dato Sistema operativo: Microsoft Windows Server Versión: 2008 R2 Edición: Enterprice

Placa inventario: Sin dato Modelo: Virtual Sistema operativo: Sin dato Versión: Sin dato Edición: Sin dato


Auditoría Interna






Código Tipo Formato TI-F-22 Sistema COLI Velocidad Ghz: 2.50 / Velocidad Mhz: 2500 BIOS Vers/Fecha: 090006, 23/05/2012


SFE-V-07 Virtual Placa inventario: VM Modelo: Sin dato Sistema operativo: Microsoft Windows Server Versión: 2008 R2 Edición: Enterprice Velocidad Ghz: 2.50 / Velocidad Mhz: 2500 N°procesadores:1 / N° Cores: 1 / N° procesadores lógicos: 4 Memoria RAM Gb: 16 BIOS Vers/Fecha: 090006, 23/05/2012

Placa inventario: Sin dato Modelo: Sin dato Sistema operativo: Sin dato Versión: Sin dato Edición: Sin dato Velocidad Ghz: 250 N°procesadores: 0 / N° de Cores: 0 / N° procesadores lógicos: 0 Tamaño RAM: 16 MB BIOS: Sin datos

SFE-V-08 Virtual Placa inventario: VM Modelo: Sin dato Sistema operativo: Microsoft Windows Server Versión: 2008 R2 Edición: Enterprice Velocidad Ghz: 2.53 / Velocidad Mhz: 2532 BIOS Vers/Fecha: 090004, 19/03/2009

Placa inventario: Sin dato Modelo: Virtual Sistema operativo: Sin dato Versión: Sin dato Edición: Sin dato Velocidad Ghz: 253 BIOS Vers/Fecha: null

SFE-V-09 Virtual Placa inventario: VM Modelo: Sin dato Sistema operativo: Microsoft Windows Server Versión: 2012 Edición: Standard Velocidad Ghz: 2.50 / Velocidad Mhz: 2500 N°procesadores: 1 / N°procesadores lógicos: 4 BIOS Vers/Fecha: 090006, 23/05/2012

Placa inventario: SFE-V-09 Modelo: Virtual Sistema operativo: Sin dato Versión: Sin dato Edición: Sin dato Velocidad Ghz: 250 N°procesadores: 4 / N°procesadores lógicos: 1 BIOS: null

SFE-V-10 Virtual Placa inventario: VM Modelo: Sin dato Sistema operativo: Microsoft Windows Server Versión: 2012 Edición: Standard Velocidad Ghz: 2.50 / Velocidad Mhz: 2500 BIOS Vers/Fecha: 090006, 5/23/2012

Placa inventario: SFE-V-10 Modelo: Virtual Sistema operativo: Sin dato Versión: Sin dato Edición: Sin dato Velocidad Ghz: 250 BIOS Vers/Fecha: null

SFE-V-12 Virtual Placa inventario: VM Modelo: Sin dato Sistema operativo: Microsoft Windows Server Versión: 2008 R2 Edición: Enterprice Velocidad Ghz: 2.50 / Velocidad Mhz: 2500 N°procesadores: 1 / N°procesadores lógicos: 4 BIOS Vers/Fecha: 090006, 23/05/2012


SFE-V-13 Virtual Placa inventario: VM Modelo: Sin dato Sistema operativo: Microsoft Windows Server Versión: 2008 R2 Edición: Standard Velocidad Ghz: 2.53 / Velocidad Mhz: 2533 N°procesadores: 1 / N°procesadores lógicos: 2 Memoria RAM Gb: 8 BIOS Vers/Fecha: 090006, 23/05/2012

Placa inventario: SFE-V-13 Modelo: Virtual Sistema operativo: Sin dato Versión: Sin dato Edición: Sin dato Velocidad Ghz: 253 N°procesadores: 2 / N°procesadores lógicos: 1 Tamaño RAM: 8 MB BIOS: null

SFE-V-14 Virtual Placa inventario: VM Modelo: Sin dato Sistema operativo: Microsoft Windows Server Versión: 2008 R2 Edición: Standard Velocidad Ghz: 2.53 / Velocidad Mhz: 2533 N°procesadores: 1 / N°procesadores lógicos: 2 BIOS Vers/Fecha: 090004, 19/03/2009



Auditoría Interna






Código Tipo Formato TI-F-22 Sistema COLI SFE-V-15 Virtual Placa inventario: VM

Modelo: Sin dato Sistema operativo: Microsoft Windows Server Versión: 2012 Edición: Standard Velocidad Ghz: 2.50 / Velocidad Mhz: 2500 N°procesadores: 1 / N°procesadores lógicos: 2 BIOS Vers/Fecha: 090006, 23/05/2012


SFE-V-16 Virtual Placa inventario: VM Modelo: Sin dato Sistema operativo: Microsoft Windows Versión: 2008 R2 Edición: Enterprice Velocidad Ghz: 2.50 / Velocidad Mhz: 2500 Memoria RAM Gb: 12 BIOS Vers/Fecha: 090006, 23/05/2012

Placa inventario: SFE-V-16 Modelo: Virtual Sistema operativo: Sin dato Versión: Sin dato Edición: Sin dato Velocidad Ghz: 250 Tamaño RAM: 12 MB BIOS: null

SFE-V-17 Virtual Placa inventario: VM Modelo: Sin dato Sistema operativo: Microsoft Windows Versión: 2008 R2 Edición: Enterprice Velocidad Ghz: 2.53 / Velocidad Mhz: 2532 BIOS Vers/Fecha: 090004, 19/03/2009

Placa inventario: SFE-V-17 Modelo: Virtual Sistema operativo: Sin dato Versión: Sin dato Edición: Sin dato Velocidad Ghz: 253 BIOS: null

SFE-V-18 Virtual Placa inventario: VM Modelo: Sin dato Sistema operativo: Microsoft Windows Server Versión: 2012 Edición: Standard CPU: Intel Xeon Velocidad Ghz: 2.50 / Velocidad Mhz: 2500 N°procesadores: 1 / N° Cores: 2 / N°procesadores lógicos: 2 BIOS Vers/Fecha: 090006, 23/05/2012

Placa inventario: SFE-V-18 Modelo: Sin dato Sistema operativo: Sin dato Versión: Sin dato Edición: Sin dato CPU: Sin dato Velocidad Ghz: 0 N°procesadores: 0 / N° Cores: 0 / N°procesadores lógicos: 0 BIOS: Sin dato


Auditoría Interna






Anexo N° 4 - Resumen Resultado que soporta la opinión de la Auditoría Interna con respecto al cumplimiento razonable de lo dispuesto en el Decreto Ejecutivo N° 37549-JP (Reglamento para la Protección de los Programas de Cómputo en los Ministerio e Instituciones Adscritas al Gobierno Central)

Artículo Descripción Estado de Cumplimiento Mecanismos de control implementados Comentarios Auditoría Interna

SI NO Parcial

2 inciso a) Establecer sistemas y controles para garantizar la utilización en sus computadoras, única y exclusivamente, de aquellos programas de cómputo que cumplan con los derechos de autor correspondientes. Cualquier programa que exceda el número autorizado o que no cuente con la licencia correspondiente deberá removerse inmediatamente.

√ Política 3: Política para la administración y

control de equipos de cómputo Política 6: Política para la navegación en internet, mediante el servicio brindado por el SFE (numeral 6.6.3 inicio d) Política 13: Política de instalación de software Política 14: Política de uso de software de distribución libre Política 16: Política de control contra código malicioso Formulario TIF-21: Hoja de Vida Equipo de Cómputo Formulario TI-F-22: Hoja de Vida Servidores Carpetas y subcarpetas:

Facturas comerciales Contratos COA´s Registros de inventario

Sistema COLI: En proceso de actualización

Comentario UTI: “Los equipos no permiten instalaciones a menos de que se cuenten con privilegios administrativos, durante los mantenimientos se verifica que no haya ninguna instalación no autorizada”

En casos específicos identificados como resultado de estudios anteriores, se ha detectado software que debe ser removido, y la UTI ha actuado en consecuencia.


Auditoría Interna







SI NO Parcial

2 inciso b) Garantizar que se tengan suficientes autorizaciones para cubrir todos los equipos y los programas en uso, guardándose la documentación correspondiente en un solo lugar con la custodia necesaria

√

Respaldos físicos y electrónicos: Facturas comerciales Contratos COA´s

Registros Excel sobre equipo cómputo: Cantidad de escritorio Cantidad portátiles Cantidad tabletas Cantidad de licenciamiento

Registros Excel sobre servidores: Cantidad servidores físicos Cantidad servidores virtuales Cantidad de licenciamiento


Formulario TI-F-23: Inventario Equipo Arrendado Formulario TI-F-24: Inventario Equipos SFE Formulario TI-F-25: Resumen licencias varias Comentario UTI: “Todos los equipos que se adquieren o arrendan se solicitan con su debido licenciamiento, esto se indica en los contratos y carteles” “La documentación física tales como certificados facturas o discos se almacena bajo llave en la oficina del encargado de la UTI, La empresa Microsoft también tiene en sus registros de "Volume Licensing Service Center" https://www.microsoft.com/Licensing/servicecenter/default.aspx todos los contratos registrados a nombre del SFE sobre el licenciamiento adquirido, también se tiene un registro TI-F-22 y TI-F 23 Formulario de Hoja de Vida, con la información de cada equipo y su respectivo licenciamiento toda esta información se ha digitado en el

Aspectos que se deben mejorar: Estado en que se mantiene la

documentación electrónico relacionada con el licenciamiento

Oficializar a través del Sistema de Gestión de la Calidad los formatos relacionados con el tema de servidores y su licenciamiento

Estandarizar los formularios TI-F-21 y TI-F-22

En casos específicos y por la antigüedad de la adquisición del licenciamiento y/o equipo, no se tiene referencia de la documentación que soporta la adquisición respectiva


Auditoría Interna







SI NO Parcial

sistema CoLi mismo que debería ser capaz de relacionar la información para proporcionar los reportes respectivos. Referente a licenciamiento de servidores se mantiene un registro Hoja de Excel "REPORTE DE LICENCIAMIENTO GENERAL" con el detalle de licenciamiento adquirido, instalado y en custodia”

2 inciso c) El Ministro o Jerarca de la respectiva Institución, designará a una persona como responsable, entre otras cosas, de presentar el resultado de la auditoria y un informe anual ante el Registro Nacional de Derechos de Autor y Derechos Conexos

√

Informes de auditoría: AI-SFE-SA-INF-005-2014 AI-SFE-SA-INF-005-2015 AI-SFE-SA-INF-005-2016

Oficio emitidos por la UTI: TI-101-2013 TI-076-2014 TI-135-2015 TI-082-2016

La UTI es la instancia que ha estado remitiendo la información al Registro Nacional de Derechos de Autor y Derechos Conexos, con copia a la Dirección

2 inciso d) Garantizar que el respectivo Ministerio o Institución adscrita al Gobierno Central cumple con la protección del derecho de autor de los programas de cómputo. Ante lo anterior, en el tercer trimestre de cada año, deberá presentar constancia al Registro de Derechos de Autor y Derechos Conexos

√

Política 13: Política de instalación de software Política 14: Política de uso de software de distribución libre Informes de auditoría:

AI-SFE-SA-INF-005-2014 AI-SFE-SA-INF-005-2015 AI-SFE-SA-INF-005-2016

Oficio emitidos por la UTI:

TI-101-2013 TI-076-2014 TI-135-2015 TI-082-2016

Comentario UTI: “Se han implementado políticas y controles para impedir que los usuarios instalen programas de cómputo sin la debida autorización de la Unidad de TI Aunado a esas políticas, los usuarios NO tienen privilegios para instalar software en los equipos que utilizan, por lo que cualquier instalación debe canalizarse por medio de la

Las recomendaciones que ha emitido la Auditoría Interna y que ha venido implementado la administración activa están orientadas al fortalecimiento del Sistema de Control Interno. El SFE cuenta con información suficiente que le ha facilitado la rendición de cuentas con respecto a lo dispuesto en el Decreto Ejecutivo N| 37549-JP; sin embargo, es criterio de la Auditoría Interna que la organización debería contar con un instrumento cuya aplicación le facilite documentar y visualizar en apego a lo dispuesto en el referido decreto cómo está su nivel de cumplimiento con relación a cada uno de los aspectos normados: Dicha situación debe facilitar y soportar la emisión de los comunicados dirigidos al Registro de Derechos de Autor y derechos Conexos


Auditoría Interna







SI NO Parcial

Unidad de TI” “Esta información se envía a la Secretaria de Derechos de Autor después de recibido el informe correspondiente por parte de la Auditoría Interna”

2 inciso e) Mantener un sistema de información que registre los resultados del inventario de equipos y licencias adquiridas, e instalaciones (equipos donde se tienen instaladas las licencias permitidas bajo tales autorizaciones), sistema que permitirá determinar si tienen suficientes autorizaciones para cubrir todos los equipos y los programas en uso, ello permitirá establecer que el respectivo Ministerio cumple con la protección de los derechos de autor relativos a los programas de cómputo. En el sistema deberá constar la fecha de instalación y funcionario que autoriza la instalación de la licencia

√ Carpetas y subcarpetas:

Facturas comerciales Contratos COA´s Registros de inventario

Registros Excel sobre equipo cómputo: Cantidad de escritorio Cantidad portátiles Cantidad tabletas Cantidad de licenciamiento



Comentario UTI: “Se desarrolló un sistema para el control del licenciamiento del SFE, en este momento se están haciendo cambios en la información de los equipos, esto a raíz de las recomendaciones del informe del 2016”

Considerando las condiciones actuales del sistema de información implementado por la UTI, será hasta la oficialización del Sistema COLI la organización podrá contar con una fuente de información que responda a cabalidad con lo requerido en el inciso e) del artículo 2 del Decreto Ejecutivo N° 37549-JP

3 Cada Ministerio e Institución adscrita al Gobierno Central, deberá realizar anualmente una auditoría interna o externa según las propias posibilidades presupuestarias y organizacionales para determinar el cumplimiento de las disposiciones tendientes a la protección de los derechos de autor, relativos a los programas de cómputo; mediante la auditoria se deberá verificar los equipos existentes y los programas que tengan las computadoras, así como el número de

√


Está por concluir el estudio especial de auditoría realizado en el año 2017


Auditoría Interna







SI NO Parcial

copias autorizadas de cada programa, comprobando la fecha de instalación, versión de cada uno y ajustado a los términos de licenciamiento

4 Posterior a la auditoria mencionada en el artículo anterior, cada Ministerio e Institución adscrita al Gobierno Central, a través de la persona designada como responsable deberá presentar un informe anual(*) dentro del primer semestre de cada año ante el Registro de Derechos de Autor y Derechos Conexos. Este informe pondrá en conocimiento del citado Registro los resultados del auditoraje efectuado por el respectivo Ministerio o Institución adscrita al Gobierno Central, así como las acciones aplicadas; en el mismo deberán indicar el grado de cumplimiento y cantidad de equipos existentes, se deberá adjuntar el informe de la auditoria. Dentro del mismo cada Ministerio e Institución adscrita al Gobierno Central, deberá hacer constar que cumple con la protección de los derechos de autor relativos a los programas de cómputo. También, deberá presentar el inventario

√


8 Queda totalmente prohibido la instalación de programas de cómputo que no cuenten con la respectiva licencia de uso legal en ninguna oficina del Gobierno Central e instituciones adscritas.

√

Política 3: Política para la administración y control de equipos de cómputo Política 6: Política para la navegación en internet, mediante el servicio brindado por el SFE (numeral 6.6.3 inicio d) Política 13: Política de instalación de software Política 14: Política de uso de software de distribución libre Política 16: Política de control contra código malicioso


Auditoría Interna







SI NO Parcial

Comentario UTI: “Los equipos no permiten instalaciones a menos de que se cuenten con privilegios administrativos, durante los mantenimientos se verifica que no haya ninguna instalación no autorizada”

8 Los programas solamente podrán ser instalados por el experto en informática autorizado o por quien este determine para el buen desempeño de las funciones designadas.

√

Política 13: Política de instalación de software Política 16: Política de control contra código malicioso Comentario UTI: “Solo el personal de la UTI cuenta con privilegios para la instalación de software Aunado a esas políticas, los usuarios NO tienen privilegios para instalar software en los equipos que utilizan, por lo que cualquier instalación debe canalizarse por medio de la Unidad de TI”

8 Cualquier violación a las normas de derechos de autor por parte de los funcionarios de los Ministerios e Instituciones adscritas al Gobierno Central, se procederá con la apertura del debido proceso con el fin de aplicar la sanción de carácter administrativo disciplinario que corresponda

√

Formulario TI-F-20: Formulario de Informe de Infracción Política de Seguridad Comentario UTI: “Mediante este formulario se reporta la infracción a cualquier política de seguridad. A la fecha no se han encontrado incidentes vinculados con la violación de las normas de derechos de autor, en el pasado estudio de licenciamiento se detectó el uso de dos productos de software, específicamente Photoshop y Adobe, que por equivocación se habían realizado más instalaciones de las permitidas, imediamente (sic) despus (sic) de detectar el error se procedió a desinstalar el producto de los equipos”

9 En la etapa de evaluación para la contratación, todas las solicitudes de compra para programas de cómputo, que realicen los diferentes Ministerios e Instituciones adscritas al Gobierno Central, deberán ser consultadas con el experto en informática que se tenga

√

Planificación Institucional: Lineamientos formulación de plan-

presupuesto PAO Presupuesto Plan informático


Auditoría Interna







SI NO Parcial

designado en cada institución Estructura organizativa: Dirección PCCI UTI Comisión de Informática

Comentario UTI: “Actualmente el documento Plan Informático regula todo lo relacionado a compra de equipos, mantenimiento, compra de licencias y desarrollo de software, este es de acatamiento obligatorio por parte de la Proveeduría a la hora de realizar los trámites de contratación.”

10 inciso a)

Establecer y mantener una política comprensiva de manejo de programas de cómputo y un sistema efectivo, para garantizar la adquisición y uso adecuado de todos los programas de cómputo

√

Política 3: Política para la administración y control de equipos de cómputo Política 6: Política para la navegación en internet, mediante el servicio brindado por el SFE (numeral 6.6.3 inicio d) Política 13: Política de instalación de software Política 14: Política de uso de software de distribución libre Política 16: Política de control contra código malicioso Planificación Institucional:

Lineamientos formulación de plan-presupuesto

PAO Presupuesto Plan informático

Estructura organizativa: Dirección PCCI UTI Comisión de Informática

Comentario UTI: “Aunado a esas políticas, los usuarios NO tienen privilegios para instalar software en los equipos que utilizan, por lo que cualquier instalación debe canalizarse por medio de la


Auditoría Interna







SI NO Parcial

Unidad de TI.” “Actualmente el documento Plan Informático regula todo lo relacionado a compra de equipos, mantenimiento, compra de licencias y desarrollo de software, este es de acatamiento obligatorio por parte de la Proveeduría a la hora de realizar los trámites de contratación.”

10 inciso b)

Establecer medidas para evaluar el cumplimiento del respectivo Ministerio o Institución adscrita al Gobierno Central, de las disposiciones en materia de derechos de autor, en lo concerniente a la adquisición y uso de programas de cómputo, de conformidad con las disposiciones de este Decreto

√






Comentario UTI: “Actualmente el documento Plan Informático regula todo lo relacionado a compra de equipos, mantenimiento, compra de licencias y desarrollo de software, este es de acatamiento obligatorio por parte de la Proveeduría a la hora de realizar los trámites de contratación”

El SFE cuenta con información suficiente que le ha facilitado la rendición de cuentas con respecto a lo dispuesto en el Decreto Ejecutivo N| 37549-JP; sin embargo, es criterio de la Auditoría Interna que la organización debería contar con un instrumento cuya aplicación le facilite documentar y visualizar en apego a lo dispuesto en el referido decreto cómo está su nivel de cumplimiento con relación a cada uno de los aspectos normados: Dicha situación debe facilitar y soportar la emisión de los comunicados dirigidos al Registro de Derechos de Autor y derechos Conexos


Auditoría Interna







SI NO Parcial

10 inciso c)

Dirigir y ofrecer apoyo institucional al entrenamiento apropiado del personal de servicio público en materia de Derechos de Autor y Derechos Conexos relacionado con los programas de cómputo, las políticas y procedimientos adoptados para cumplir con ellos

√ Acciones de capacitación:

Personal de la UTI capacitado Se han realizado eventos de

capacitación dirigidos al resto del personal

Comentario UTI: “Los funcionarios de la UTI asistieron a capacitaciones sobre derechos de autor impartidas por personeros del Registro Nacional y posterioermente (sic) se extenderá este conocimiento al resto del personal mediante capacitaciones programadas para junio del 2016, se adjunta cronograma”

Este aspectos debe ser analizado y ejecutado a través de una estrategia a nivel institucional, a efecto de que en un plazo razonable la totalidad de la organización haya sido capacitado

10 inciso d)

Llevar el control de licenciamiento e instalación de licencias en los equipos que dispone el Ministerio o Institución adscrita al Gobierno Central

√

Formulario TIF-21: Hoja de Vida Equipo de Cómputo Formulario TI-F-22: Hoja de Vida Servidores Formulario TI-F-23: Inventario Equipo Arrendado Formulario TI-F-24: Inventario Equipos SFE Formulario TI-F-25: Resumen licencias varias Registros Excel sobre equipo cómputo:

Cantidad de escritorio Cantidad portátiles Cantidad tabletas Cantidad de licenciamiento


Sistema COLI: En proceso de actualización Comentario UTI: “Para este fin se creo (sic) el formulario TI-F-25 donde se detallan los productos y sus instalaciones”


Auditoría Interna







SI NO Parcial

10 inciso e)

Para cada equipo deberá llevar un expediente u hoja de vida donde conste el funcionario responsable que autoriza la instalación, fecha de instalación y la persona responsable de hacer la instalación. Esta información deberá constar en el sistema indicado en el artículo 2°.

√

Formulario TIF-21: Hoja de Vida Equipo de Cómputo Formulario TI-F-22: Hoja de Vida Servidores Sistema COLI: En proceso de actualización Comentario UTI: “Actualmente se cuenta con hojas de vida para cada uno de los equipos del SFE ya sean propiedad de la institución o arrendados, actualmente están en proceso de revisión debido a las recomendaciones del informe AI-SFE-SA-INF-005-2016”

10 inciso f)

Exhortar a todos los contratistas y proveedores del Gobierno Central a cumplir con las normas sobre derechos de autor, a adquirir y utilizar programas de cómputo con sus respectivas licencias de uso

√

Política 19: Política de adquisición de servicios y o productos que involucren programas de cómputo

Este aspecto debe ser analizado con mayor amplitud, a efecto de garantizar si las medidas adoptadas estarían siendo suficientes para cumplir a cabalidad con lo dispuesto en el inciso f) del artículo 10

11 Cada Ministerio o Institución adscrita al Gobierno Central, elaborará manuales para el uso e instalación de programas de ordenador y velarán por el entrenamiento de todos los funcionarios de su dependencia, de acuerdo con las necesidades y el uso legal de los programas de cómputo, incluyendo la expedición de notas de advertencia, el establecimiento y la aplicación de medidas disciplinarias por incumplimiento de las disposiciones del presente Decreto

√

Manual de Políticas TI-M-02: Política 3: Política para la

administración y control de equipos de cómputo

Política 6: Política para la navegación en internet, mediante el servicio brindado por el SFE (numeral 6.6.3 inicio d)

Política 13: Política de instalación de software

Política 14: Política de uso de software de distribución libre

Política 16: Política de control contra código malicioso

Comentario UTI: “Se ha establecido o un documento denomidado (sic) Manual de Politicas (sic) de Seguridad de TI, el cual regula todo lo relacionado con licenciamiento”

Las recomendaciones que ha emitido la Auditoría Interna y que ha venido implementado la administración activa están orientadas al fortalecimiento del Sistema de Control Interno.


Auditoría Interna







SI NO Parcial

12 Los Ministerios e Instituciones adscritas al Gobierno Central, deberán adoptar las medidas necesarias para asegurarse que los proyectos de presupuestos para programas de cómputo y los requerimientos para el procesamiento de datos, incluyan recursos adecuados para la adquisición de las licencias correspondientes de los programas de cómputo que necesiten

√




Comentario UTI: “Actualmente el documento Plan Informático regula todo lo relacionado a compra de equipos, mantenimiento, compra de licencias y desarrollo de software, este es de acatamiento obligatorio por parte de la Proveeduría a la hora de realizar los trámites de contratación”

14 Los Ministerios e Instituciones adscritas al Gobierno Central, en los casos que sea posible, podrán utilizar software de código abierto en sus diferentes aplicaciones, como una alternativa útil; garantizando el respeto a los Derechos de la Propiedad Intelectual

√

Política 14: Política de uso de software de distribución libre Formulario TI-F-25: Resumen licencias varias (incluye código abierto) Comentario UTI: “Se crea el formulario TI-F-26 para la evaluación de programas de prueba o código abierto”

El uso del formulario TI-F-25 debe aclararse en cuanto al registro de software de código abierto

Documents

INFORME DE CONTROL INTERNO - Internet - Inicio€¦ · Auditoría Interna Código Versión Estructura de Informe Estudio de Auditoría su aprobación Rige a partir de Página I AI