Embed Size (px)
Citation preview
MINISTERIO DE CULTURA Y JUVENTUD
INFORME DE CONTROL INTERNO N° AI-017-2014
“CUMPLIMIENTO DEL DECRETO EJECUTIVO N° 37549,
REGLAMENTO PARA LA PROTECCIÓN DE LOS PROGRAMAS DE CÓMPUTO
EN LOS MINISTERIOS E INSTITUCIONES ADSCRITAS AL GOBIERNO CENTRAL”
1. INTRODUCCIÓN
1.1 Origen y Antecedentes
El presente estudio, a cargo del Lic. Juan Carlos Guadamuz Zumbado, funcionario
de esta Auditoría Interna, se realizó en cumplimiento, del Decreto No. 37549-JP
“Reglamento para la Protección de los Programas de cómputo en los Ministerios
e Instituciones Adscritas al Gobierno Central”. Dicho estudio se desarrolló de
conformidad con lo establecido en el artículo 22, incisos a) y b), de la Ley General
de Control Interno, en relación con el artículo 10 de dicho cuerpo normativo que
señala la responsabilidad del Jerarca y Titulares Subordinados de establecer,
mantener, perfeccionar y evaluar el sistema de control interno institucional y en
cumplimiento del Plan Anual de Trabajo para el periodo 2014.
1.2 Objetivo General
Verificar los equipos existentes y los programas que tengan las computadoras, así
como el número de licencias autorizadas para cada programa, tanto para los
Programas Presupuestarios del Ministerio como para los Órganos Adscritos que
corresponda.
Además, comprobar la existencia de mecanismos de control interno que permitan
constatar la eficiencia, eficacia y economía en el manejo de los recursos
designados a la compra, mantenimiento, seguridad e instalación de programas en
cada computadora.
1.3 Alcance
El estudio comprende la verificación, evaluación y análisis del Decreto No. 37549-
JP “Reglamento para la Protección de los Programas de Cómputo en los Ministerios
e Instituciones Adscritas al Gobierno Central”, así como el análisis de la
documentación que se consideró para la respectiva revisión, entre otros aspectos
importantes.
MINISTERIO DE CULTURA Y JUVENTUD
AUDITORÍA INTERNA Informe de Control Interno N° AI-017-2014
2
1.4 Disposiciones sobre la Ley General de Control Interno
De acuerdo con lo dispuesto por la Contraloría General de la República y con el
fin de prevenir al Jerarca o a los titulares subordinados (según corresponda) de sus
deberes en el trámite de informes y en especial de los plazos que deben observarse,
así como advertir sobre posibles responsabilidades en que pueden incurrir por
incumplir injustificadamente los deberes de la Ley General de Control Interno, se
incorporan en este informe las transcripciones de los artículos de dicha ley, que se
detallan a continuación:
“Artículo 36.—Informes dirigidos a los titulares subordinados. Cuando los informes de
auditoría contengan recomendaciones dirigidas a los titulares subordinados, se procederá
de la siguiente manera:
a) El titular subordinado, en un plazo improrrogable de diez días hábiles contados a
partir de la fecha de recibido el informe, ordenará la implantación de las
recomendaciones. Si discrepa de ellas, en el transcurso de dicho plazo elevará el informe
de auditoría al jerarca, con copia a la auditoría interna, expondrá por escrito las razones
por las cuales objeta las recomendaciones del informe y propondrá soluciones alternas
para los hallazgos detectados.
b) Con vista de lo anterior, el jerarca deberá resolver, en el plazo de veinte días hábiles
contados a partir de la fecha de recibo de la documentación remitida por el titular
subordinado; además, deberá ordenar la implantación de recomendaciones de la auditoría
interna, las soluciones alternas propuestas por el titular subordinado o las de su propia
iniciativa, debidamente fundamentadas. Dentro de los primeros diez días de ese lapso, el
auditor interno podrá apersonarse, de oficio, ante el jerarca, para pronunciarse sobre las
objeciones o soluciones alternas propuestas. Las soluciones que el jerarca ordene
implantar y que sean distintas de las propuestas por la auditoría interna, estarán sujetas,
en lo conducente, a lo dispuesto en los artículos siguientes.
c) El acto en firme será dado a conocer a la auditoría interna y al titular subordinado
correspondiente, para el trámite que proceda.”
“Artículo 37. Informes dirigidos al jerarca. Cuando el informe de auditoría esté dirigido
al jerarca, este deberá ordenar al titular subordinado que corresponda, en un plazo
improrrogable de treinta días hábiles contados a partir de la fecha de recibido el informe,
la implantación de las recomendaciones. Si discrepa de tales recomendaciones, dentro del
plazo indicado deberá ordenar las soluciones alternas que motivadamente disponga; todo
ello tendrá que comunicarlo debidamente a la auditoría interna y al titular subordinado
correspondiente.”
En relación con las causales de responsabilidad administrativa, el artículo 39 de
esa Ley señala lo siguiente:
MINISTERIO DE CULTURA Y JUVENTUD
AUDITORÍA INTERNA Informe de Control Interno N° AI-017-2014
3
“Artículo 39 Causales de responsabilidad administrativa. El jerarca y los titulares subordinados
incurrirán en responsabilidad administrativa y civil, cuando corresponda, si incumplen
injustificadamente los deberes asignados en esta Ley, sin perjuicio de otras causales previstas en
el régimen aplicable a la respectiva relación de servicios.
El jerarca, los titulares subordinados y los demás funcionarios públicos, incurrirán en
responsabilidad administrativa, cuando debiliten con sus acciones el sistema de control interno u
omitan las actuaciones necesarias para establecerlo, mantenerlo, perfeccionarlo y evaluarlo,
según la normativa técnica aplicable...”
1.5 Marco Jurídico
El presente estudio se realizó de conformidad con lo dispuesto en la siguiente
normativa:
Ley General de Control Interno, N° 8292.
Reglamento para la Protección de los Programas de Cómputo en los Ministerios
e Instituciones Adscritas al Gobierno Central (Decreto No. 37549-JP).
Manual de Normas para el Ejercicio de la Auditoría Interna en el Sector Público,
según Resolución-R-DC-119-2009 del 16 de diciembre del 2009.
Normas de Control Interno para el Sector Público emitido por la Contraloría
General de la República, según Resolución R-CO-9-2009 del 26 de enero del
2009.
Normas técnicas para la Gestión y el Control de las Tecnologías de Información
(N-2-2007-CO-DFOE)”, Aprobadas mediante Resolución del Despacho de la
Contralora General de la República, No. R-CO-26-2007 del 7 de junio, 2007,
Publicada en La Gaceta No.119 del 21 de junio, 2007,
1.6 Comunicación de resultados
La comunicación de resultados del presente informe de control, se llevó a cabo
mediante la reunión celebrada en la Sala de reuniones de la Auditoría interna, el
martes 13 de enero del 2015. Se comunicaron verbalmente los principales
resultados del estudio de Control Interno denominado “Cumplimiento del Decreto
Ejecutivo N° 37549, Reglamento para la Protección de los Programas de Cómputo en los
Ministerios e Instituciones Adscritas al Gobierno Central”. En la reunión estuvieron
presentes los siguientes funcionarios:
MINISTERIO DE CULTURA Y JUVENTUD
AUDITORÍA INTERNA Informe de Control Interno N° AI-017-2014
4
NOMBRE DEPENDENCIA 1. Sr. Luis Carlos Amador Brenes Viceministro Administrativo.
2. Sra. Sandra Catalina Cabezas Bolaños Jefe, Departamento Informática.
3. Lic. Juan Carlos Guadamuz Zumbado Auditor, encargado del estudio.
4. Lic. William Kelly Picado Auditor Interno.
Ese mismo día se entregó a los representantes de la Administración, copia en
formato digital del borrador del informe que contiene los resultados del estudio
efectuado en esa Área. Además, se le otorgó un plazo de tres días hábiles para
que fueran formuladas y remitidas a esta Auditoría Interna, las observaciones que
cada uno de los invitados consideraran pertinentes, para la valoración de esta
instancia, mismas que se deben acompañar del respectivo sustento documental,
en caso de alguna aclaración.
En atención a lo anterior, el señor Luis Carlos Amador Brenes, Viceministro
Administrativo, mediante el oficio DVMA-030-2015, solicitó lo siguiente:
Que el tiempo establecido para la ejecución de la recomendación 4.1,
se amplíe a 90 días, con el fin de trazar una ruta de trabajo y definir
acciones correctivas.
Que en la recomendación 4.5, se modifique el término “manual” por
“instructivo”, debido que el Ministerio actualmente trabaja en la
propuesta de un “Manual Institucional de Procesos” que conllevará la
actualización de los manuales de procedimientos, por lo que sería
confuso para algunos usuarios, por ello la propuesta.
Al respecto, es criterio de esta Auditoría, que es asequible la modificación de
los dos puntos señalados.
MINISTERIO DE CULTURA Y JUVENTUD
AUDITORÍA INTERNA Informe de Control Interno N° AI-017-2014
5
2 RESULTADOS
Licencias de Software
Licencia de Software: Es una especie de contrato, en donde se especifican todas
las normas y cláusulas que rigen el uso de un determinado programa,
principalmente se estipulan los alcances de uso, instalación, reproducción y copia
de estos productos. Cuando se descarga, instala, copia o utiliza un determinado
Software, implica que se acepta las condiciones que se estipulan en la Licencia
que trae ese programa, es la autorización que permite el uso legal de determinado
programa, esta licencia es un documento bien sea electrónico, en papel original
ó número de serie autorizado por el autor. El Software, como obras intelectuales,
no es objeto de venta, sino de cesión1 o licenciamiento de los derechos de la obra.
2.1 Sobre las Disposiciones Generales del Decreto No. 37549-JP
Esta Auditoría Interna, procedió a revisar el cumplimiento del “Reglamento para la
Protección de los Programas de Cómputo en los Ministerios e Instituciones Adscritas
al Gobierno Central” (Decreto No. 37549-JP), emitido el 26 de noviembre del 2012.
Lo anterior, de conformidad con el artículo tercero, del Reglamento mencionado,
que establece:
“[…] Cada Ministerio e Institución adscrita al Gobierno Central, deberá realizar anualmente
una auditoría interna o externa según las propias posibilidades presupuestarias y
organizacionales para determinar el cumplimiento de las disposiciones tendientes a la protección
de los derechos de autor, relativos a los programas de cómputo; mediante la auditoría se deberá
verificar los equipos existentes y los programas que tengan las computadoras, así como el
número de copias autorizadas de cada programa, comprobando la fecha de instalación, versión
de cada uno y ajustado a los términos de licenciamiento […]”.
Además, la Ley General de Control Interno, que en su artículo 22.-Competencias,
señala lo siguiente, “inciso b) Verificar el cumplimiento, la validez y la suficiencia del sistema de control
interno de su competencia institucional, informar de ello y proponer las medidas correctivas que sean
pertinentes […]”.
Es por eso, que para cada uno de los puntos que se mencionan el presente informe,
se consideraron los siguientes Órganos Adscritos a este Ministerio:
1 Real Academia Española “Renuncia de algo, posesión, acción o derecho, que alguien hace a favor de otra persona”.
MINISTERIO DE CULTURA Y JUVENTUD
AUDITORÍA INTERNA Informe de Control Interno N° AI-017-2014
6
Centro Cultural José Figueres Ferrer
Museo Histórico Cultural Juan Santamaría
Museo de Arte y Diseño Contemporáneo
Centro Nacional de la Música
Museo Histórico Dr. Rafael A. Calderón Guardia
Consejo Nacional de la Política Pública de la Persona Joven
Centro Costarricense de producción Cinematográfica
Sistema Nacional de Educación Musical
Además, de los programas que son coordinados por el Departamento de
Informática, entre ellos:
a. Dirección de Cultura,
b. Dirección de Bandas,
c. Sistema Nacional de Bibliotecas,
d. Centro de Investigación y Conservación del Patrimonio Cultural y
e. Actividades Centrales.
2.2 Sobre las obligaciones de este Ministerio, establecidas en el artículo segundo
del Reglamento citado.
El artículo 2, del “Reglamento para la Protección de los Programas de Cómputo en
los Ministerios e Instituciones Adscritas al Gobierno Central” (Decreto No. 37549-JP),
establece que: “Cada Ministerio e Instituciones adscritas al Gobierno Central,
tendrán las siguientes obligaciones:
“[…]
a. Establecer sistemas y controles para garantizar la utilización en sus computadoras, única y
exclusivamente, de aquellos programas de cómputo que cumplan con los derechos de autor
correspondientes. Cualquier programa que exceda el número autorizado o que no cuente
con la licencia correspondiente deberá removerse inmediatamente.
b. Garantizar que se tengan suficientes autorizaciones para cubrir todos los equipos y los
programas en uso, guardándose la documentación correspondiente en un solo lugar con la
custodia necesaria […]”
e. Mantener un sistema de información que registre los resultados del inventario de equipos y
licencias adquiridas, e instalaciones (equipos donde se tienen instaladas las licencias
permitidas bajo tales autorizaciones), sistema que permitirá determinar si tienen suficientes
autorizaciones para cubrir todos los equipos y los programas en uso, ello permitirá
establecer que el respectivo Ministerio cumple con la protección de los derechos de autor
relativos a los programas de cómputo. En el sistema deberá constar la fecha de instalación
y funcionario que autoriza la instalación de la licencia […]”.
MINISTERIO DE CULTURA Y JUVENTUD
AUDITORÍA INTERNA Informe de Control Interno N° AI-017-2014
7
Considerado lo descrito en los puntos a) y b), citados anteriormente, esta Auditoría,
mediante el oficio AI-0232-2014 con fecha 13 de octubre del 2014, solicitó al Área
de Informática que describiera los sistemas y controles que esa Área ha utilizado
para garantizar exclusivamente que los programas de cómputo cumplen con los
derechos de autor (Se refiere al inciso a)) y que informara quien es la persona
encargada de custodiar la documentación con respecto a las autorizaciones de
los Programas citados anteriormente.
Es por eso que mediante el oficio DI-207-2014, en el orden solicitado, esta Auditoría
recibió la siguiente información:
[…]
1. Artículo segundo a. Inciso a:
i. Cada uno de los Programas ha elaborado un expediente por licencia o por equipo con su
respectiva factura, orden de compra, contrato de licencia y en el caso que se requiera un
formulario para control las autorizaciones de la licencia.
b. Inciso b: i. En este sentido se ha girado la instrucción a cada uno de los programas que en el momento
en que se adquiera equipo de cómputo, paralelamente deben de adquirir las licencias, y si las
mismas no se tramitan deberán instalar Open Office o cualquier otra herramienta que no sea
privativa y de acceso libre en la red.
ii. Los documentos se mantienen en custodia de las personas designadas para este proceso en
cada uno de los programas
1. Douglas Cubillo, Dpto. de Informática, Administración Central
2. Licda. Helga Ocampo, Área Automatización SINABI Programa 755
3. Sra. Glenda Quirós, encargada de Bienes, Dirección de Cultura
4. Licda. Ana Carvajal, Administradora Dirección de Bandas
5. Sra. Vera Laura Rodríguez, Administradora Centro de Patrimonio.
c. Inciso e: i. El sistema se mantiene y es el suministrado por el Registro “Inventario de Equipos de
Cómputo y Licencias”, suministrado por el Registro de Derechos de Autor
MINISTERIO DE CULTURA Y JUVENTUD
AUDITORÍA INTERNA Informe de Control Interno N° AI-017-2014
8
Inventario de Equipos de Cómputo y Licencias
Fuente: Guía de Instalación del sistema de inventario de licencias, ubicada en la página web
http://www.mcj.go.cr/archivos/instalacion.aspx Sistemas y controles del Área de Informática Sistema es el indicado en el punto anterior en el inciso C.
Controles
Cada compra de equipo de cómputo debe indicar en el cartel en la línea que corresponde a las características
técnicas del equipo lo siguiente:
o En la contratación 2014LA-000033-75300 en la línea 11 y 12 que corresponde a la orden de compra
4500174766 procede abrir un expediente que debe indicar:
Tipo de licencia
No. de orden de compra
Contratación
No. de Factura
Fecha de la factura
Proveedor
Número de teléfono
Vendedor
Correo electrónico
MINISTERIO DE CULTURA Y JUVENTUD
AUDITORÍA INTERNA Informe de Control Interno N° AI-017-2014
9
o Si es una licencia con X cantidad de instalaciones debe llevarse un formulario de control con la siguiente
información
En atención al inciso e), de este apartado, se determinó que el Departamento de
Informática, mantiene los registros e inventarios actualizados, excepto, la
información correspondiente al Centro de Investigación y Conservación del
Patrimonio Cultural, al respecto, indicó la señora Catalina Cabezas, que esa
instancia cuenta con un contrato de mantenimiento y un técnico que puede
realizar esa función, sin embargo, no ha cumplido con lo establecido en el Decreto
Ejecutivo N°37549.
En lo que se refiere a los Órganos Adscritos, se comenta lo siguiente:
Se confirmó que el Centro Cultural José Figueres Ferrer, Museo Histórico
Cultural Juan Santamaría, Museo de Arte y Diseño Contemporáneo, Consejo
de la Persona Joven y El Centro Costarricense de Producción
Cinematográfica, no describieron los sistemas y controles establecidos, para
garantizar que los Programas de Cómputo, cumplan con los derechos de
autor, según la información suministrada por los mismos.
Algunos de los Órganos Adscritos citados, no indicaron el nombre de la
persona responsable de garantizar que se guarde la documentación con
respecto a las autorizaciones y programas en uso de esos Museos.
En el caso del Centro Nacional de la Música, en los puntos a),b), y e), hace
referencia a documentos correspondientes a períodos anteriores, sin
embargo, la normativa exige que el informe se debe realizar y actualizar
MINISTERIO DE CULTURA Y JUVENTUD
AUDITORÍA INTERNA Informe de Control Interno N° AI-017-2014
10
cada período, por lo que se debe presentar la información requerida por
esta fiscalización.
En el Museo Calderón Guardia, la Administración informó que existe un
adecuado control con respecto al uso de las licencias, cada CPU que se
adquiere incluye la respectiva licencia, el quipo nuevo que se compra
incluye su respectiva licencia, además, el Departamento de Informática de
este Ministerio en conjunto con el técnico externo contratado por la
“Fundación Amigos del Museo” asesoran en especificaciones y requisitos del
equipo de cómputo.
Según el oficio DMCG-0562-2014, suscrito por el señor Carlos Vargas
Chavarría, funcionario de este Museo, quien suministró el inventario de
licencias, en el reporte no se indica el número de cada una de las licencias,
por lo que se debe incluir ese número como parte del control interno,
también se informó, que la persona responsable de la instalación es el señor
Kenneth Sánchez, en coordinación con la jefe de informática de este
Ministerio.
Es preciso señalar, que según indica el señor Vargas Chavarría, el Museo no
posee ningún funcionario con conocimientos en informática, y a través de la
citada fundación, mínimo una vez al año, se procede a revisar y dar
mantenimiento general al equipo tecnológico.
El Sistema Nacional de Educación Musical SINEM2, en cumplimiento de la
normativa en la materia en estudio, emitió la circular DG-213-2013, en la que
se comunicó a los funcionarios que no se deben instalar programas sin contar
con la licencia correspondiente. Adicionalmente, en los equipos destacados
en las Sedes del SINEM se instaló el software libre Teamviewer, el cual permite
a la Sede Central monitorear la instalación de software. Se está
implementando en las estaciones de trabajo un usuario “estándar” y uno
“administrador” (con clave única), de tal manera que exista una restricción
de permisos, para que solamente la persona autorizada de instalar
programas lo pueda realizar.
También se indicó, mediante el oficio SG-017-2014, que la persona
encargada de llevar el control de licencias de software, es el Lic. Esteban
Rojas Fernández, además, se informó que en esa instancia, no se cuenta con
un especialista en informática, por lo que se le han asignado esas funciones
al señor Rojas.
2 Sistema Nacional de Educación Musical
MINISTERIO DE CULTURA Y JUVENTUD
AUDITORÍA INTERNA Informe de Control Interno N° AI-017-2014
11
En lo que se refiere a la política establecida por el SINEM, para el manejo de
programas de cómputo, adquisición y uso adecuado, se oficializó la circular
DG-213-05-2013, que les señala a los funcionarios que no se deben instalar
programas, sino se cuenta con la licencia respectiva.
Además, en la visita que realizó esta Auditoría al SINEM, se verificó que se
mantienen en custodia seis expedientes incompletos, y en cuanto a los
inventarios de licencias de Software, manifestó el señor Esteban Rojas, que el
inventario fue realizado en marzo dl 2014.
En términos generales, se verificó que los Órganos Adscritos fiscalizados, no
mantienen un registro completo de los resultados del inventario de equipos y
licencias adquiridas, por lo que la Auditoría en conjunto con el Departamento de
Informática, realizaron el inventario general de licencias de software en tres de las
siete Adscritas visitadas, aunque en el resto, se instruyó a los encargados de dicha
labor, para que utilicen el archivo ejecutable3.
Es criterio de esta Auditoría, que tanto los Programas Presupuestarios como los
Órganos Adscritos a este Ministerio, obligatoriamente deben cumplir con lo
establecido en el ordenamiento Administrativo.
2.3 Sobre las Prohibiciones y otras disposiciones, establecidas en el artículo 8,
Capítulo II, de este Reglamento.
El artículo octavo del mismo cuerpo normativo, señala: “[…] Queda totalmente prohibido
la instalación de programas de cómputo que no cuenten con la respectiva licencia de uso legal en
ninguna oficina del Gobierno Central e instituciones adscritas. Los programas solamente podrán ser
instalados por el experto en informática autorizado o por quien este determine para el buen
desempeño de las funciones designadas […]”.
Con respecto a este punto, los responsables de los Órganos Adscritos, y la
coordinación de los Programas Presupuestarios, informaron que los
programas de cómputo, se encuentran respaldados con la licencia de uso
legal, según lo establece los lineamientos establecidos en esa materia y el
Decreto Ejecutivo No. 37549-JP, y fueron instalados por la casa proveedora.
Es criterio de esta Auditoría, que con base en la verificación física realizada en
conjunto con funcionarios del Departamento de Informática, se determinó que el
3 En informática, un ejecutable o archivo ejecutable, es tradicionalmente como se le conoce mayormente, archivo binario cuyo contenido se interpreta
por el ordenador como un programa. Generalmente, contiene instrucciones en código máquina de un procesador en concreto, pero también puede contener bytecode que requiera un intérprete
para ejecutarlo. Además suele contener llamadas a funciones específicas de un sistema operativo.
MINISTERIO DE CULTURA Y JUVENTUD
AUDITORÍA INTERNA Informe de Control Interno N° AI-017-2014
12
software de los Órganos Adscritos y los Programas mencionados, se encuentran
instalados conforme lo establece el Decreto Ejecutivo No. 37549-JP.
2.4 Sobre las solicitudes de compra de Equipo de Cómputo, señaladas en el
artículo 9, Capítulo II, del Reglamento en mención.
En lo que interesa, el artículo noveno indica: “[…] En la etapa de evaluación para la contratación,
todas las solicitudes de compra para programas de cómputo, que realicen los diferentes Ministerios e
Instituciones adscritas al Gobierno Central, deberán ser consultadas con el experto en informática que se
tenga designado en cada institución […]”.
El Departamento de Informática señaló que todos los programas han consultado
sobre el proceso de comprar y sus solicitudes llevan el visto bueno para iniciar el
proceso de contratación, y los Órganos Adscritos, señalaron lo siguiente:
En atención al punto anterior, aunque la Auditoría solicitó información
respecto al tema, el Centro Cultural Figueres Ferrer, y el Museo de Arte y
Diseño Contemporáneo, no se refirieron concretamente al caso.
Por su parte el Museo Histórico Cultural Juan Santamaría, el Consejo de la
Persona Joven y el Centro Costarricense de Producción Cinematográfica,
indicaron que el Departamento de Informática del Ministerio de Cultura
colabora en cada una de las etapas con aprobación y vistos buenos de las
especificaciones técnicas.
Así mismo, el Centro Nacional de la Música, indicó que las compras de
Programas de Cómputo, se ha efectuado con la asesoría de la señora
Catalina Cabezas, Jefa del Departamento de Informática.
El Museo Calderón Guardia, indicó que cada vez que ocupa adquirir equipo
y programas de cómputo, se procede a solicitar las especificadores técnicas
del equipo que se requiere de acuerdo con las necesidades institucionales,
al técnico contratado por la “Fundación Amigos de Museo”, con el aval de
la oficina de Informática del Ministerio de Cultura y Juventud.
El SINEM, informó que la compra de programas de cómputo son
competencia del área de cómputo, pero desconoce si se debe contar con
el visto bueno del Departamento de Informática de este Ministerio.
En ese sentido, es criterio de esta Auditoría, que las instancias citadas en este
informe, son conocedoras de las obligaciones, por ende las ejecutan conforme la
MINISTERIO DE CULTURA Y JUVENTUD
AUDITORÍA INTERNA Informe de Control Interno N° AI-017-2014
13
normativa establecida, y el Departamento de Informática cumple a cabalidad
con sus obligaciones.
2.5 Sobre el cumplimiento del experto en Informática, los efectos de las
adquisiciones y la utilización de programas de cómputo, según las
disposiciones, señaladas en el artículo 10, Capítulo II, del Reglamento.
En el artículo décimo, se establece lo siguiente: “[…] Para los efectos de las adquisiciones
y la utilización de programas de cómputo de acuerdo con las disposiciones de este Decreto, el experto
en informática (Jefe Informática o quién este designe) de cada Ministerio o Institución adscrita al
Gobierno Central deberá cumplir con las siguientes reglas:
a. Establecer y mantener una política comprensiva de manejo de programas de cómputo y un sistema
efectivo, para garantizar la adquisición y uso adecuado de todos los programas de cómputo.
b. Establecer medidas para evaluar el cumplimiento del respectivo Ministerio o Institución adscrita
al Gobierno Central, de las disposiciones en materia de derechos de autor, en lo concerniente a
la adquisición y uso de programas de cómputo, de conformidad con las disposiciones de este
Decreto. […]
e. Para cada equipo deberá llevar un expediente u hoja de vida donde conste el funcionario
responsable que autoriza la instalación, fecha de instalación y la persona responsable de hacer
la instalación. Esta información deberá constar en el sistema indicado en el artículo 2° […]”.
En atención al inciso a), b) y e), citados anteriormente, el Área de Informática,
Coordinadora de los Programas Presupuestarios, reveló mediante el oficio DI-207-
2014, lo siguiente: […] 2. Artículo décimo:
o Inciso a: Si existe la política DI-PO-09 Política sobre el uso de Recursos de tecnología de la
Información, la cual debe ser distribuida; la cual se adjunta
o Inciso b: de manera aleatoria se realiza, previo a la entrega de los informes, la revisión de equipos para ver si
cumplen existe instalado algún software de manera anómala.
o Inciso e: se llevan expedientes tal y como se indicó en el punto definido como Controles. […]
En lo que se refiere a los Órganos Adscritos, se determinó lo siguiente:
El SINEM, nuevamente informó que en iguales condiciones, que el punto 2.2
de este informe, e en materia de políticas de uso y manejo de programas de
cómputo, se promulgó la circular DG-2013-05-2013, que comunica a los
funcionarios que no deben instalar programas sin contar con la licencia
correspondiente. Adicionalmente, en los equipos destacados en las Sedes,
se instaló un software libre Teamviewer, el cual permite a la Sede Central
monitorear la instalación de software, además, se realizan revisiones
MINISTERIO DE CULTURA Y JUVENTUD
AUDITORÍA INTERNA Informe de Control Interno N° AI-017-2014
14
aleatorias de los equipos de la Sede Central y algunas Sedes, con el fin de
verificar que no tengan software no licenciado.
Si, se cuenta con un control digital de licencias por expediente, el cual
consta de una hoja de Excel, donde se lleva el detalle el registro de todos los
equipos de cómputo, se indica: número de patrimonio, nombre del
responsable del equipo, Área o Departamento, versión de Windows, fecha
de instalación, fecha de desinstalación, funcionario que desinstaló y motivo
de desinstalación, para los programas del Office 2013 y Eset Antivirus. Este
control se renueva cada vez que se adquiere un nuevo equipo, cambio de
funcionarios o porque se da de baja
En atención a este apartado, el Centro Cultural Figueres Ferrer, no se refirió
concretamente al caso, aunque manifestaron que se están elaborando los
expedientes para las licencias de Software.
Se verificó que en el Museo Histórico Juan Santamaría, el Museo de Arte y
Diseño Contemporáneo, el Museo Calderón Guardia, el Consejo de la
Persona Joven y en el Centro Costarricense de Producción Cinematográfica,
no existen expedientes individuales conforme lo establece la normativa y lo
recomendado por el Departamento de Informática.
En el Centro Nacional de la Música, todas las licencias se encuentran en un
solo expediente, mientras la normativa señala que para cada equipo se
debe llevar un expediente u hoja de vida, por lo que en la visita realizada se
explicó el formato a seguir, por todas la Adscritas, con el objetivo de lograr
control y uniformidad en dicha labor.
Además, la funcionaria encargada informó, que no posee conocimientos
para llevar a cabo inventarios de licencias de software, es por eso que en visita
efectuada a ese Centro de Trabajo, en coordinación con el Departamento
de Informática, se levantó un inventario completo de las licencias y se le
explicó a la señora Retana, el procedimiento para su ejecución. Sin embargo,
esa institución ha realizado inventarios, aunque la información requerida se
encuentra incompleta, por ejemplo no se incluye el número de la licencia ni
la fecha de instalación.
Por último, en atención a lo establecido en la normativa mencionada, en el inciso
e), es necesario informar que ya fueron instruidas las instancias correspondientes,
para que se implemente el uso del expediente u hoja de vida para el computador,
según lo señala el Decreto Ejecutivo No. 37549-JP.
MINISTERIO DE CULTURA Y JUVENTUD
AUDITORÍA INTERNA Informe de Control Interno N° AI-017-2014
15
Es criterio de esta Auditoría, que la “Política sobre el uso de recursos de tecnología
de información, DI-PO-09”, elaborada por el Departamento de Informática de este
Ministerio, se debe generalizar y oficializar, para uso de los Órganos Adscritos y
demás Programas.
2.6 Sobre la elaboración de manuales para el uso e instalación de programas de
ordenador y el entrenamiento para los funcionarios de la institución, según
las disposiciones, señaladas en el artículo 11, Capítulo II, del Reglamento.
En lo que se refiere el artículo undécimo del reglamento, señala lo siguiente: “Cada
Ministerio o Institución adscrita al Gobierno Central, elaborará manuales para el uso e instalación de
programas de ordenador y velarán por el entrenamiento de todos los funcionarios de su dependencia, de
acuerdo con las necesidades y el uso legal de los programas de cómputo, incluyendo la expedición de notas
de advertencia, el establecimiento y la aplicación de medidas disciplinarias por incumplimiento de las
disposiciones del presente Decreto”.
En atención a lo dispuesto en el artículo mencionado, se verificó que el Ministerio
de Cultura no ha elaborado el “Manual para el uso e instalación de programas de
software”, según informó el Departamento de Informática y demás interesados, sin
embargo, es pertinente indicar la obligatoriedad de su aplicación en cumplimiento
del comentado reglamento.
Es por eso que los Órganos Adscritos, manifestaron lo siguiente:
El Centro Cultural Figueres Ferrer y el Consejo de la Persona Joven, indicaron
que dado el escaso personal y el poco equipo, se ha trabajado con
instrucciones verbales.
El Museo Histórico Cultural Juan Santamaría, y el Centro Costarricense de
Producción Cinematográfica, manifestaron que no han establecido los
manuales respectivos.
En el Museo de Arte y Diseño Contemporáneo y el Centro Nacional de la
Música, indicaron que están a la espera de que el Departamento de
Informática elabore dichos manuales, para así implementarlos.
En el SINEM, por falta de personal especialista en Informática no se cuenta
con Manuales de Instalación de Programas de Ordenador, sin embargo, se
recuerda que las redes del SINEM requieren la autorización de oficinas
centrales para la instalación de programas de cómputo.
MINISTERIO DE CULTURA Y JUVENTUD
AUDITORÍA INTERNA Informe de Control Interno N° AI-017-2014
16
Con respecto a este punto el Departamento de Informática, señaló: “[…]
Artículo undécimo:
o Manuales de instalación de software: al respecto debo indicarle que los programas adquiridos
por el Ministerio tienen un ejecutable que de manera intuitiva indica al técnico que instala el
software los pasos a realizar, como las versiones cambian así varia el procedimiento y todo
depende del proveedor, por lo tanto, no se cuentan con estos instructivos […]”.
Es Criterio de esta Auditoría, que cada Programa o Institución Adscrita, debe
elaborar los “Manuales para el uso e instalación de programas de ordenador”,
mismos que velarán por el entrenamiento de todos los funcionarios de su
dependencia, de acuerdo con las necesidades y el uso legal de los programas de
cómputo.
2.7 Software de Código Abierto
El software de código abierto, es el software cuyo código fuente y otros derechos
que normalmente son exclusivos para quienes poseen los derechos de autor, son
publicados bajo una licencia de software compatible y forman parte del dominio
público. Esto permite a los usuarios utilizar, cambiar, mejorar el software y
redistribuirlo, ya sea en su forma modificada o en su forma original.
Al respecto el artículo 14, del Decreto en cita, señala: “[…] Los Ministerios e Instituciones
adscritas al Gobierno Central, en los casos que sea posible, podrán utilizar software de código abierto en sus
diferentes aplicaciones, como una alternativa útil; garantizando el respeto a los Derechos de la Propiedad
Intelectual[…]”.
En lo que se refiere a este tema, informó el Señor Douglas Cubillo, funcionario del
Departamento de Informática, que en las instancias visitadas no existen Software a
Código Abierto, por tratarse de herramientas con nivel de confiabilidad
relativamente bajo.
Por lo citado anteriormente, el Decreto N° 37549-JP recuerda la importancia
implícita que tienen las Instituciones que utilicen software de código abierto, ya que
deben de garantizar la protección a los derechos de la propiedad intelectual,
mediante un control que se elabore para este fin.
MINISTERIO DE CULTURA Y JUVENTUD
AUDITORÍA INTERNA Informe de Control Interno N° AI-017-2014
17
2.8 Informe de avances en materia de licencias de software, de los Órganos
Adscritos, después del Trabajo de Campo realizado por la Auditoría Interna y
el Departamento de Informática (pendientes de verificación):
El Sistema Nacional de Educación Musical, remitió el oficio SG-023-2014, en el que
adjuntó el “Informe Avances Registro de Licencias en Equipos de Cómputo”, que
hace referencia a la implementación de las mejoras que se llevaron a cabo en el
SINEM, luego de la visita realizada y las recomendaciones verbales, entre las
soluciones presuntamente implementadas se citan las siguientes:
“[…]
1. Creación de un nuevo inventario de equipos de cómputo, a partir de la adquisición de 55 nuevas
computadoras adquiridas y asignadas a la Sede Central y Sucursales del Sinem en este año.
2. Depuración y revisión de equipos de cómputo usado que fueron devueltos por la sustitución de
equipo nuevo.
3. Revisión y registro de laptops usadas, en mal estado y unidades nuevas adquiridas este año.
4. Creación de una ficha de registro para cada computadora que indica las características de
hardware y software de cada equipo. Cada ficha será firmada por la persona encargada de
revisión del equipo y por la persona usuaria que dará el visto bueno de que la información que
se consigna es la correcta. Cada ficha llevará un número de registro e irá foliado.
5. Crear un expediente único, tanto físico y digital de los registros de licencias adquiridas (factura,
contrato y orden de compra) y cuadros resumen de los equipos de cómputo donde están
instalados. (este trabajo todavía está en proceso de creación).
6. Cambio en computadoras que tienen “usuario administrador” a “usuario estándar”, con el fin
de que se restrinja la instalación de software no autorizado. (este trabajo no se ha realizado)
7. Hacer una valoración del equipo en bodega para categorizarlo como equipo que se puede
reutilizar y equipo que se puede donar o dar de baja por no cumplir con aspectos como haber
cumplido con el ciclo de vida útil de 5 años. (este trabajo no se ha realizado). Una vez finalizado
este proceso, el Director General asignará el uso de las computadoras reutilizables.
Se espera que los puntos pendientes se puedan finalizar a mediados del mes de Febrero, donde
se hará un informe final dirigido al Registro de Derechos de autor, con copia al Departamento
de Informática y el Departamento de Informática del Ministerio de Cultura […].
Es criterio de esta Auditoría, que el interés demostrado por la Administración del
SINEM para implementar un sistema oportuno y eficiente, en la administración de
las licencias de software asignadas, es destacado, por lo que oportunamente se
estará fiscalizando el seguimiento, de los puntos descritos.
MINISTERIO DE CULTURA Y JUVENTUD
AUDITORÍA INTERNA Informe de Control Interno N° AI-017-2014
18
3. CONCLUSIONES
De conformidad con los resultados expuestos se concluye que:
1- En cuanto a las obligaciones que tiene el Ministerio de Cultura y Juventud,
sus Órganos Adscritos y Programas presupuestarios, para el cumplimiento de
Decreto Ejecutivo 37549, se designaron diferentes funcionarios, es por eso
que se verificaron las funciones que le corresponde ejecutar al respecto,
obteniendo un resultado satisfactorio, por lo que se hace constar que el
Ministerio de Cultura y Juventud cumple con la protección de los Derechos
de Autor relativos a los Programas de Cómputo.
Aunque, según informó la señora Catalina Cabezas, el Centro de
Investigación y Conservación del Patrimonio Cultural no ha suministrado la
información requerida.
2- Se demostró que algunas instancias fiscalizadas, no suministran la información
actualizada, sino remiten información de periodos anteriores, inobservando
el Decreto Ejecutivo 375349.
3- Se verificó, que los Órganos Adscritos a este Ministerio, no mantienen registros
completos de inventarios de licencias de software, además, en la revisión
efectuada de registros anteriores, se determinaron únicamente algunos
registros incompletos, por lo que no se cumple con los requerimientos del
Decreto Ejecutivo N° 37549-JP.
4- Se determinó mediante la fiscalización efectuada que el software se
encuentra instalado conforme los lineamientos establecidos en esa materia
y el Decreto Ejecutivo No. 37549-JP.
5- Se concluye que con respecto al expediente u hoja de vida de cada
computadora, los Órganos Adscritos no han cumplido con la normativa
vigente, se demostró la inobservancia a las medidas de control que debe
establecer la Administración Activa.
Además, se comprobó el desconocimiento de los Órganos Adscritos con
respecto a la “Política sobre el uso de recursos de tecnología de información,
DI-PO-09”, elaborado por el Departamento de Informática de este ministerio.
6- Se evidenció que aunque el decreto Ejecutivo 37549, establece la
obligatoriedad de elaborar “Manuales para el uso e instalación de
programas de ordenador, y velarán por el entrenamiento de todos los
funcionarios de la dependencia”, en los Programas presupuestarios y
Órganos Adscritos, no se han elaborado.
MINISTERIO DE CULTURA Y JUVENTUD
AUDITORÍA INTERNA Informe de Control Interno N° AI-017-2014
19
4.- RECOMENDACIONES
En razón de las situaciones señaladas por esta Auditoría en el presente estudio,
con la finalidad de que las mismas sean consideradas, y teniendo en cuenta lo
que señala el artículo 22 de la Ley General de Control Interno, se emiten las
siguientes recomendaciones:
AL Señor Viceministro Administrativo:
4.1 Girar instrucciones al Departamento de Informática, para que en un plazo
de 90 días naturales, se realicen las gestiones necesarias para obtener la
información correspondiente al Centro de Investigación y Conservación
del Patrimonio Cultural, respecto a las licencias de software, entre ellos:
inventario actualizado y elaboración de expedientes. (Ver conclusión N°1).
4.2 Emitir una directriz en un plazo de 30 días naturales, y dirigirla a los Órganos
Adscritos y los Programas Presupuestarios, en la que se les recuerde la
obligatoriedad de facilitar a la Auditoría Interna, la información
correspondiente a la fiscalización de las licencias de software de cada
periodo, misma que debe presentarse actualizada y ordenada según los
requerimientos solicitados. (Ver conclusión N°2).
4.3 Girar instrucciones a los Órganos Adscritos y al Centro de Investigación y
Conservación del Patrimonio Cultural, para que en un plazo de 30 días
naturales se realicen los inventarios periódicos, del equipo de cómputo y
las licencias de software, con el objetivo de mantener actualizados los
registros e informar oportunamente sobre el equipo tecnológico que es
propiedad de la institución, además, que la información obtenida se
adjunte al expediente u hoja de vida, para su fiscalización oportuna. (Ver
conclusión N°3).
4.4 Girar instrucciones al Departamento de Informática, para que el
expediente de cada computadora se actualice en un plazo de 90 días,
incluyendo la uniformidad de los formularios que se utilicen en dicha
gestión. (Ver conclusión N° 5)
MINISTERIO DE CULTURA Y JUVENTUD
AUDITORÍA INTERNA Informe de Control Interno N° AI-017-2014
20
4.5 Girar instrucciones al Departamento de Informática, para que en un plazo
de 60 días naturales, se elabore un “Instructivo para el uso e instalación de
programas de ordenador”, mismos que velarán por el entrenamiento de
todos los funcionarios de la dependencia, de acuerdo con las
necesidades y el uso legal de los programas de cómputo, además, ese
Departamento se encargará de remitir a Órganos Adscritos y los
Programas Presupuestarios, el citado instructivo. (Ver conclusión N° 6)
4.6 Informar en un plazo improrrogable de diez días hábiles, posterior a recibir
este informe, de acuerdo con lo que establece el artículo 36 de la Ley
General de Control Interno, las acciones ejecutadas en atención a las
anteriores recomendaciones, aportando documentación que evidencia
lo actuado al respecto, así como remitir un cronograma de actividades y
personas designadas como responsables del cumplimiento de las mismas.
Todo lo anterior de acuerdo con lo dispuesto en los artículos 17 inciso c),
36, 37, 38 y 39 de la Ley General de Control Interno.
Al Departamento de Informática:
4.7 Emitir una circular a los Órganos Adscritos a este Ministerio, para que en un
plazo de 10 días hábiles, les remita digitalmente o en forma impresa el
documento denominado “Política sobre el uso de recursos de tecnología
de información, DI-PO-09” (Ver conclusión N° 6)
4.8 Informar en un plazo improrrogable de diez días hábiles, posterior a recibir
este informe, de acuerdo con lo que establece el artículo 36 de la Ley
General de Control Interno, las acciones ejecutadas en atención a las
anteriores recomendaciones, aportando documentación que evidencia
lo actuado al respecto, así como remitir un cronograma de actividades y
personas designadas como responsables del cumplimiento de las mismas.
Todo lo anterior de acuerdo con lo dispuesto en los artículos 17 inciso c),
36, 37, 38 y 39 de la Ley General de Control Interno.
