INFORME N° DFOE-SOC-IF-08-2015 15 de julio, 2015 ......La Universidad Estatal a Distancia (UNED)...

División de Fiscalización Operativa y Evaluativa Área de Fiscalización de Servicios Sociales

INFORME N° DFOE-SOC-IF-08-2015

15 de julio, 2015

DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA

ÁREA DE FISCALIZACIÓN DE SERVICIOS SOCIALES

AUDITORIA SOBRE LA GESTIÓN DE LAS TECNOLOGÍAS DE INFORMACIÓN EN LA UNIVERSIDAD

ESTATAL A DISTANCIA

2015


CONTENIDO

Página N°

RESUMEN EJECUTIVO 1. INTRODUCCIÓN .....................................................................................................1

ORIGEN DEL ESTUDIO ..................................................................................................................... 1 OBJETIVO ..................................................................................................................................... 1 NATURALEZA Y ALCANCE ................................................................................................................. 2 LIMITACIONES ............................................................................................................................... 2 GENERALIDADES DE LA UNIVERSIDAD ESTATAL A DISTANCIA ................................................................. 2 METODOLOGÍA APLICADA ............................................................................................................... 4 COMUNICACIÓN PRELIMINAR DE LOS RESULTADOS .............................................................................. 4

2 RESULTADOS .........................................................................................................5

CARENCIA DE LOS ELEMENTOS BÁSICOS PARA EJECUTAR LAS INVERSIONES

EN EL COMPONENTE TECNOLÓGICO DEL PLAN DE MEJORAMIENTO

INSTITUCIONAL. ............................................................................................................................. 5 DEBILIDADES EN LA DEFINICIÓN DE PRIORIDADES EN TECNOLOGÍAS

DE INFORMACIÓN Y COMUNICACIÓN ............................................................................................... 11 DEBILIDADES EN LA CONECTIVIDAD E INTERCONEXIÓN ENTRE LOS

PRINCIPALES SISTEMAS INSTITUCIONALES ......................................................................................... 13 AUSENCIA DE PRUEBAS DE SEGURIDAD PARA GARANTIZAR LA

CONTINUIDAD DE LAS OPERACIONES EN LOS SISTEMAS INSTITUCIONALES ............................................... 14 AUSENCIA DE UN PLAN DE CAPACITACIÓN PARA LOS FUNCIONARIOS DE TI............................................. 16 DEBILIDADES EN LA CALIDAD E INTEGRIDAD DE LA INFORMACIÓN CONTENIDA

EN LAS BASES DE DATOS INSTITUCIONALES ....................................................................................... 18

3. CONCLUSIONES ................................................................................................... 19


2

4. DISPOSICIONES ................................................................................................... 21

AL CONSEJO DE RECTORÍA DE LA UNIVERSIDAD ESTATAL A

DISTANCIA O A QUIENES EN SU LUGAR OCUPEN ESOS CARGOS .......................................................... 21 AL MAG. LUIS GUILLERMO CARPIO MALAVASSI EN SU CONDICIÓN

DE RECTOR DE LA UNIVERSIDAD ESTATAL A DISTANCIA O A

QUIEN OCUPE EL CARGO .............................................................................................................. 22 AL MAG. LUIS GUILLERMO CARPIO MALAVASSI EN SU CONDICIÓN

DE COORDINADOR DE LA COMISIÓN ESTRATÉGICA DE TECNOLOGÍAS

DE INFORMACIÓN DE LA UNIVERSIDAD ESTATAL A DISTANCIA O A

QUIÉN EN SU LUGAR OCUPE ESE CARGO ........................................................................................ 22 AL MAG. FRANCISCO DURAN MONTOYA, DIRECTOR DE

TECNOLOGÍA DE INFORMACIÓN Y COMUNICACIONES, O A

QUIEN EN SU LUGAR OCUPE ESE CARGO. ....................................................................................... 24 CONSIDERACIONES FINALES ........................................................................................................... 24

ANEXO N.° 1 ............................................................................................................................ 26

ANEXO N.° 2 ............................................................................................................................ 27

ANEXO N.° 3 ............................................................................................................................ 29

ANEXO N.° 4 ............................................................................................................................ 33

ANEXO N.° 5 ............................................................................................................................ 34

ANEXO N.° 6 ............................................................................................................................ 35


INFORME N°. DFOE-SOC-IF-08-2015

RESUMEN EJECUTIVO

¿Qué examinamos? Con el desarrollo de la presente auditoría de carácter especial realizada en la Universidad Estatal a Distancia (UNED) se examinó la planificación, conectividad, integridad, capacitación, continuidad del negocio y calidad de la información, en materia de Tecnologías de Información, lo anterior dentro del marco de implementación de las Normas técnicas para la gestión y el control de las Tecnologías de Información emitidas por esta Contraloría General. ¿Por qué es importante? La Universidad Estatal a Distancia cuenta con presencia en el territorio costarricense por medio de 37 Centros Universitarios, esto con el fin de cumplir sus objetivos de creación relacionados con proporcionar educación superior, principalmente mediante la utilización de técnicas de educación a distancia y atender preferentemente a aquellos sectores de la población que por razones geográficas, de trabajo o de otro tipo, no pueden asistir a los centros de educación superior. Por la importancia estratégica de esta universidad y el avance de las tecnologías de información en los últimos años, se consideró relevante evaluar el estado actual de sus sistemas informáticos, su planificación y conectividad, así como la integridad y calidad de los datos que contienen dentro del marco de la implementación de las normas técnicas en la Universidad. Lo anterior, aunado a la importante inyección de recursos por medio del financiamiento con el Banco Mundial por un monto de U$ 50 millones, del que se invertirá aproximadamente un 28%, es decir, U$ 14 millones en el componente tecnológico, aspectos relevantes para la realización de esta auditoría, con el fin de fomentar una óptima gestión en este campo ¿Qué encontramos? Luego de concluida la presente auditoría, esta Contraloría General encontró que, entre otros aspectos, la toma de las decisiones de inversión en tecnologías de información en la UNED se está ejecutando sin estar ligada al Plan Estratégico de Tecnologías de información, aspecto que se considera vital de cara a la inversión que la UNED tiene proyectada realizar en esta materia. Asimismo, se determinaron debilidades en cuanto a la conectividad e interconexión entre los sistemas institucionales analizados, el Sistema de Administración de Estudiantes (SAE), Sistema de Cursos Virtuales (MOODLE) y el Sistema Financiero Contable, tales como: que el SAE no posee interfaces con el Sistema Financiero Contable, esto incide directamente en los cobros de matrícula, que deben generarse mediante reportes que posteriormente se ingresan manualmente al Sistema Financiero Contable, adicionalmente el SAE no realiza interface con el MOODLE, específicamente en el caso de la sincronización de las notas de los cursos, impidiendo que las mismas se visualicen y que los modelos de evaluación del sistema de Notas Parciales se


ii

reflejen en Moodle. Lo anterior, se ha generado dado que los citados sistemas se desarrollaron en diferentes momentos, sin una visión de conjunto e integralidad. Además se encontró que, la UNED no cuenta con un plan de continuidad de negocio que establezca un procedimiento de pruebas de los respaldos de información y que refleje los requisitos de continuidad de las operaciones de la Universidad. Adicionalmente, existen limitantes en el personal y recursos de infraestructura para realizar este tipo de procedimientos de restauración de servicios críticos. A su vez, se determinó que no existe la práctica en la UNED de realizar pruebas de seguridad de los respaldos de las bases de datos institucionales para garantizar la continuidad de dichas operaciones. Por su parte, no se ha gestionado un Plan para capacitar a los funcionarios de Tecnologías de Información, situación que limita la formación de habilidades y competencias, de cara al logro de los objetivos de la Universidad y el cumplimiento de normativa técnica emitida por esta Contraloría General. Finalmente, del análisis de las bases de datos realizado por esta Contraloría General, por ejemplo, del Sistema de Asignación de Tiempos (SAT), se determinaron inconsistencias, tales como, datos inválidos en los campos correspondientes a los tutores con nombramientos, números de cédula inválidas, así como registros repetidos y horas asignadas negativas, aspectos que potencian el riesgo de que se generen eventuales inconsistencias en el pago de dichos tutores. ¿Qué sigue? Dadas las debilidades encontradas con el desarrollo de la presente auditoría, se están girando una serie de disposiciones a las autoridades de la UNED, dentro de las cuales caben destacar: la revisión del Plan de Desarrollo de las TIC (2015-2019), el establecimiento de políticas respecto de la conectividad y comunicación que deben poseer los sistemas de información de la Universidad, la revisión y ajuste del Modelo de Arquitectura de Información, : el nombramiento de funcionarios responsables del éxito tecnológico de los proyectos de Tecnologías de Información incluidos en el PMI, la aprobación del Plan de Capacitación para el personal de la Dirección de Tecnologías de Información y Comunicación, y la aprobación del Plan de Continuidad de Negocios, así como la corrección de las inconsistencias encontrados en los sistemas SAE y SAT.


INFORME N° DFOE-SOC-IF-08-2015

DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA

ÁREA DE FISCALIZACIÓN DE SERVICIOS SOCIALES

AUDITORIA SOBRE LA GESTIÓN DE LAS TECNOLOGÍAS DE INFORMACIÓN EN LA UNIVERSIDAD

ESTATAL A DISTANCIA

1. INTRODUCCIÓN

ORIGEN DEL ESTUDIO

1.1. La Universidad Estatal a Distancia (UNED) fue creada en el año 1977 como parte del Sistema Universitario Estatal Costarricense, su financiamiento proviene principalmente del Fondo Estatal de la Educación Superior (FEES) y dentro de sus objetivos de creación se encuentra el proporcionar educación superior, principalmente mediante la utilización de técnicas de educación a distancia, dentro de las cuales las tecnologías de información se han convertido en un factor clave de éxito para la transmisión del conocimiento a sus estudiantes. Lo anterior, aunado a la importante inyección de recursos por medio del financiamiento con el Banco Mundial por un monto de U$ 50 millones1, del que se invertirá aproximadamente un 28% en el componente tecnológico, aspectos relevantes para la realización de esta auditoría, con el fin de fomentar una óptima gestión en este campo.

OBJETIVO

1.2. Analizar la planificación, conectividad, integridad y calidad de la información gestionada en los sistemas de información de la UNED; la planificación y funcionamiento de los Servicios de Tecnologías de Información (TI) en los Centros Universitarios y el componente tecnológico incluido en las iniciativas 1 a 9 del Plan de Mejoramiento Institucional (PMI), también conocido como Acuerdo de Mejoramiento Institucional (AMI).

1 Ley N° 9144 del 9 de julio de 2013, publicada en el Diario Oficial La Gaceta N° 140 del 22 de julio de 2013.


2

NATURALEZA Y ALCANCE

1.3. Este estudio constituye una Auditoría de Carácter Especial, un tipo de auditoría de regularidad con enfoque de cumplimiento, realizada para verificar que las actividades de los sujetos fiscalizados se ejecuten de conformidad con las leyes, reglamentos u otras normativas que las regulan, tales como resoluciones, políticas, lineamientos, directrices, códigos, contratos, convenios u otros criterios considerados apropiados por el auditor. La auditoría abarcó el período comprendido entre el 1° de enero de 2014 y el 28 de febrero de 2015, el cual se amplió en los casos en que se consideró necesario.

1.4. Se analizó la planificación, conectividad, integridad y calidad de la información

gestionada en los sistemas de información más relevantes para la toma de decisiones; la planificación y funcionamiento de los Servicios de TI en los Centros Universitarios y el componente tecnológico incluido en las iniciativas 1 a 92 del Plan de Mejoramiento Institucional.

LIMITACIONES

1.5. Es importante indicar que el alcance del presente informe se vio limitado por retrasos en la extracción de información de las bases de datos de los sistemas institucionales por parte de la universidad, ya que los datos se encontraban en sistemas diferentes y no poseían reportes que cumplieran los requisitos solicitados por la Contraloría.

GENERALIDADES DE LA UNIVERSIDAD ESTATAL A DISTANCIA

1.6. La Universidad Estatal a Distancia (UNED) fue creada en el año 1977, mediante la Ley de la República N°. 6044, de Creación de la Universidad Estatal a Distancia, publicada en el Diario Oficial La Gaceta N°. 50 del 12 de marzo de 1977.

1.7. La UNED, forma parte del Sistema Universitario Estatal Costarricense y obtiene su

financiamiento del Estado por medio del Fondo Especial para la Educación Superior (FEES), del que recibe aproximadamente un 8,0% del total de dicho fondo, además por medio de este fondo se han gestionado recursos extra según el Contrato N°. 8194-CR suscrito por el Gobierno de la República con el Banco Internacional de Reconstrucción y Fomento (BIRF), para financiar el Proyecto de Mejoramiento de la Educación Superior.

2 La iniciativa Nº 6 del Plan de Mejoramiento Institucional abarca únicamente Formación y capacitación para el fortalecimiento del modelo de educación a distancia.


3

1.8. Dentro de los principales objetivos de la UNED se encuentran, entre otros, los siguientes:

a) Proporcionar educación superior, principalmente mediante la utilización de técnicas de educación a distancia.

b) Atender preferentemente a aquellos sectores de la población que por razones geográficas, de trabajo o de otro tipo no puedan asistir a los centros de educación superior.

c) Contribuir a la investigación científica, y tecnológica para el progreso cultural, económico y social del país.

d) Proporcionar los instrumentos adecuados para el perfeccionamiento y formación permanente de todos los habitantes.

1.9. La UNED posee presencia en todo el país por medio de 37 Centros Universitarios y 8

subsedes, estos centros son dirigidos por Directores de Centro, que son coordinados por una Dirección de Centros, ubicada en las oficinas centrales.

1.10. En punto a las tecnologías de información, la UNED cuenta con una Dirección de

Tecnologías de Información que depende de la Rectoría y está conformada por 42 funcionarios, distribuidos en 4 unidades estratégicas3, a saber: a) Unidad Estratégica de Seguridad Digital b) Unidad Estratégica de Sistemas de Información c) Unidad Estratégica de Soporte Técnico d) Unidad Estratégica de Telemática

1.11. Los sistemas informáticos de la Universidad se encuentran distribuidos en los Macro

procesos de las Gestiones Administrativa y Académica, en los que, entre otros, destacan como sistemas principales en la Gestión Administrativa, el Sistema Financiero Contable (SFC) y el Sistema de Gestión de Desarrollo del Personal (SGDP), y dentro de la Gestión Académica el Sistema de Administración de Estudiantes (SAE), el Sistema de Asignación de Tiempos (SAT), el Sistema de Graduaciones (SISGRA) y la Plataforma Tecnológica Moodle4.

3 Manual organizacional de la UNED, elaborado por el Centro de Planificación y Programación Institucional en el año 2012, página 25. 4 La plataforma MOODLE (Modular Object-Oriented Dynamic Learning Environment, Entorno de Aprendizaje Modular, Dinámico Orientado a Objetos). es el ambiente donde los estudiantes interactúan en forma virtual con los profesores y tutores, y consiste en un software diseñado para ayudar a los educadores a crear cursos en línea y entornos de aprendizaje virtuales.


4

1.12. Asimismo, , en la UNED el proyecto para la utilización de los fondos provenientes del V

Convenio de negociación del FEES, se materializó en el documento denominado “Plan

de Mejoramiento Institucional”, que contiene las estrategias e inversiones dirigidas a ampliar la cobertura, asegurar el acceso y facilitar la permanencia de los estudiantes en el modelo de educación superior a distancia, principalmente fuera del área metropolitana, por medio de la transformación de los procesos de enseñanza, aumentando la producción digital de recursos educativos y disponiéndolos para el uso de los estudiantes por medio del internet5.

1.13. El Plan de Mejoramiento Institucional, también denominado “Acuerdo de Mejoramiento

Institucional (AMI)” consta de 9 iniciativas entre las que se distribuirán los U$50 millones de financiamiento y los recursos de contrapartida, según se aprecia en el Anexo N°. 1. El AMI contiene un alto grado de componente tecnológico, distribuido entre infraestructura, equipo y desarrollo de sistemas, este último incluido principalmente en las iniciativas N°s 1, 2, 3, 4 y 9, según se muestra en el Anexo N° 2.

METODOLOGÍA APLICADA

1.14. Para la realización de esta auditoría se utilizaron las técnicas y procedimientos estipulados en el Manual General de Fiscalización Integral (MAGEFI) de la Contraloría General de la República. Asimismo, se observó en lo atinente, el Manual de Normas Generales de Auditoría para el Sector Público, las Normas técnicas para la gestión y el control de las Tecnologías de Información y demás normativa aplicable.

COMUNICACIÓN PRELIMINAR DE LOS RESULTADOS

1.15. La comunicación preliminar de los resultados, conclusiones y disposiciones producto de la auditoría a que alude el presente informe, se efectuó el 19 de junio de 2015 en la oficina del Rector de la UNED y estuvieron presentes los siguientes funcionarios: El Mag Luis Guillermo Carpio Malavassi, en su calidad de Rector; el Lic. Karino Lizano Arias, Auditor Interno; el Mag. Francisco Durán Montoya, en su calidad de Director de Tecnologías de Información y Comunicación; el Mag Marco Chaves Ledezma, coordinador de proyectos de TIC de la Vicerrectoría de Planificación; la Licda. Heidy Rosales Sánchez, coordinadora de la Unidad Coordinadora el Proyecto AMI y la Licda. Xinia Quesada Arce, Directora de Centros Universitarios. La convocatoria a esta actividad se realizó de manera formal por medio del oficio N° 08657 (DFOE-SOC-0526) del 19 de junio de 2015.

5 UNED, Plan de Mejoramiento Institucional, página 21.


5

1.16. El borrador del presente informe se entregó el 19 de junio de 2015 en versión digital, al Rector, Mag Luis Guillermo Carpio Malavassi, mediante el oficio N° 08650 (DFOE-SOC-0525) de 19 de junio de 2015, con el propósito de que en un plazo no mayor a cinco días hábiles, se formulara y remitiera a la Gerencia del Área de Fiscalización de Servicios Sociales, las observaciones que se consideraran pertinentes con respecto a su contenido.

1.17. Mediante oficio Ref. 348-2015 del 26 de junio de 2015, la administración de la UNED presentó observaciones al borrador del informe, las cuales se analizaron con detalle en el Anexo N°. 3 a este documento, incorporándose los ajustes correspondientes en los párrafos 1.4, 2.15, 2.17 y 2.19, al Anexo Nº 2 y a las disposiciones 4.4, 4.9 y 4.12.

2 RESULTADOS

2.1. En la auditoría realizada se analizó la planificación, conectividad, integridad y calidad de

la información gestionada en los sistemas de información para la toma de decisiones; la planificación y funcionamiento de los servicios de TI en los Centros Universitarios y el componente tecnológico incluido en las iniciativas 1 a 96 del Plan de Mejoramiento Institucional, con el fin de determinar si las tecnologías de información se han canalizado a potenciar la consecución de los fines y objetivos institucionales.

2.2. Por otra parte, también se analizó la implementación de las Normas Técnicas para la

gestión y el control de las Tecnologías de Información7, , que tal como se mencionó en el Informe Nº DFOE-SOC-IF-16-2014, tienen como propósito coadyuvar con el marco de control de la administración y contribuir con una gestión óptima de las tecnologías, tema que se complementa con los aspectos que se mencionan a continuación.

CARENCIA DE LOS ELEMENTOS BÁSICOS PARA EJECUTAR LAS INVERSIONES EN EL

COMPONENTE TECNOLÓGICO DEL PLAN DE MEJORAMIENTO INSTITUCIONAL. 2.3. Las normas técnicas para la gestión y el control de las Tecnologías de Información

emitidas por la Contraloría General de la República en el año 2007, tienen dentro de sus objetivos promover que el sector público organice, planifique y dirija los esfuerzos en el

6 La iniciativa Nº 6 del Plan de Mejoramiento Institucional abarca únicamente Formación y capacitación para el fortalecimiento del modelo de educación a distancia. 7 Contraloría General de la República. Normas técnicas para la gestión y el control de las Tecnologías de Información, (N-2-2007-CO-DFOE).


6

área de TI mediante la utilización de mecanismos e instrumentos de planificación dirigidos, entre otros, a crear una buena gobernanza de las Tecnologías de Información y Comunicación, a definir y estandarizar los procedimientos y los sistemas en aspectos como la calidad, los riesgos, la seguridad de la información y el manejo exitoso de los proyectos. Estas normas tienen su fundamento tanto en normativas de organismos internacionales como en sanas prácticas en este campo, entre otras en el COBIT8.

2.4. Dentro de los principales elementos que contiene esta normativa está la planificación y

organización de las tecnologías, con el nombramiento de una Comisión de Tecnologías, en la que las autoridades universitarias apoyen la toma de decisiones sobre asuntos estratégicos de TI, así como para que coadyuve a mantener la concordancia entre las actividades de TI y la estrategia institucional. Esta Comisión debe estar conformada por miembros de la organización con el conocimiento suficiente para dirigir, dictar las políticas y lineamientos necesarios y tomar las decisiones correspondientes, según el avance de la organización en este campo. Asimismo, es a la Comisión de TI9, como apoyo a la administración, a quien le corresponde analizar y dictaminar, mediante acuerdos, los asuntos relacionados con la planificación, las inversiones, la normativa, las políticas y procedimientos propuestos, la evaluación del desempeño, el establecimiento de prioridades en los proyectos de TI y cualesquiera otro asunto de importancia. Dado lo anterior, esta Comisión sesionará periódicamente y formalizará sus sesiones mediante el acta respectiva.

2.5. También, un producto del proceso de planificación, es la elaboración del Plan Estratégico

de TIC (PETIC), que debe ser elaborado mediante un proceso estructurado y continuo, de forma que asegure un óptimo balance entre las oportunidades tecnológicas existentes y los requerimientos de TI organizacionales. Este plan considerará, entre otros elementos, el marco estratégico, la orientación tecnológica, las regulaciones gubernamentales a que se encuentra sujeta la organización, los lineamientos referentes a la calidad, los riesgos, los costos, la protección del medio ambiente, el modelo de información, la infraestructura tecnológica y los recursos humanos y financieros requeridos. Se debe incluir también el portafolio de proyectos que deben ser

8 COBIT, Control Objectives for Information and related Technology, son emitidas por Information Systems Audit and Control Association (ISACA), su propósito fundamental es el desarrollo de políticas claras y buenas prácticas para la seguridad y el control de las Tic’s, y se constituyen en un marco de referencia para ayudar a las organizaciones a administrar efectivamente este recurso. 9 Contraloría General de la República. Normas técnicas para la gestión y el control de las Tecnologías de Información, (N-2-2007-CO-DFOE)., norma 1.6 relacionada con Decisiones sobre asuntos estratégicos.


7

desarrollados, así como la forma en que todos estos elementos serán puestos en operación anualmente en el Plan Operativo Anual Institucional10.

2.6. Según se ha indicado, con el fin de optimizar la organización de los sistemas, es necesario

crear y dar mantenimiento periódico a un modelo de arquitectura de la información, que en el caso de la UNED se encuentra en borrador11. Además este modelo debe ser consistente con el PETIC, fundamentarse en políticas o principios que promuevan la estandarización, incorporar la información de toda la organización, el diseño de los sistemas, los datos y sus interrelaciones (en la búsqueda de un eficiente uso de la información). Asimismo, este modelo contribuirá con la toma de decisiones respecto de por ejemplo, la migración de los sistemas, desarrollo de módulos nuevos, mejoras en sus bases de datos, cambios en los lenguajes de programación, o de proyectos para el desarrollo de nuevos sistemas, ya que contribuye a clarificar la forma en que armonizaran los nuevos sistemas en la organización 12.

2.7. Por su parte, las normas técnicas también precisan que toda organización debe sustentar

y respaldar en forma clara y explícita los proyectos de TI, que se deben aprobar formalmente las implementaciones realizadas, e instaurar líderes de proyecto con una asignación clara, detallada y documentada de su autoridad y responsabilidad. Así como que la organización debe “analizar las alternativas de solución de acuerdo con criterios técnicos, económicos, operativos y jurídicos, y lineamientos previamente establecidos”13, y que se debe desarrollar y aplicar un marco metodológico que guíe los procesos de implementación 14.

2.8. También, es de especial relevancia en los procesos de contratación con terceros la

observancia de lo contenido en los incisos d y e de la norma 3.4, relacionada con la obtención satisfactoria de los objetos contratados, en cuanto al establecimiento de un procedimiento para la definición de los “términos de referencia” y para la aprobación formal de los criterios, términos y conjunto de pruebas que se requerirán para dar por aceptadas las instalaciones, hardware o software contratados.

10 También del PETIC se derivan otros planes, tales como el Plan Táctico y el Plan de Continuidad y Contingencias, según las normas1.1, 1.4.7 y 2.1. 11 Oficio DTIC-2014-146 del 8 de agosto de 2014, de la Dirección de Tecnología, Información y Comunicaciones UNED. 12 Contraloría General de la República. Normas técnicas para la gestión y el control de las Tecnologías de Información, (N-2-2007-CO-DFOE), normas 2.2. 13 Contraloría General de la República. Normas técnicas para la gestión y el control de las Tecnologías de Información, (N-2-2007-CO-DFOE), norma 3.1 14 Contraloría General de la República. Normas técnicas para la gestión y el control de las Tecnologías de Información, (N-2-2007-CO-DFOE), norma 3.2.


8

2.9. Asimismo, la norma 5.3 del Manual de Control Interno para el sector público, se refiere a la armonización que debe existir entre los sistemas de información y los objetivos institucionales15,, e indica que:

“La organización y el funcionamiento de los sistemas de información deben estar integrados a nivel organizacional y ser coherentes con los objetivos institucionales y, en consecuencia, con los objetivos del SCI. La adecuación de tales sistemas a los objetivos institucionales involucra, entre otros, su desarrollo de conformidad con el plan estratégico institucional, y con el marco estratégico de las tecnologías de información, cuando se haga uso de estas para su funcionamiento.” El destacado es nuestro.

2.10. En punto a lo comentado en párrafos anteriores, los elementos descritos, constituyen,

entre otros, pilares fundamentales para cimentar adecuadamente el avance de las TIC’s y a su vez la toma de decisiones sobre las inversiones en este recurso (tanto en hardware, como en software y recurso humano) sobre todo al considerar que las inversiones en este campo por lo general son de alto valor monetario y constituyen una parte significativa de los presupuestos institucionales. Por esta razón, conforme a la normativa vigente, resulta de importancia que las administraciones afiancen esta área, en particular en la UNED, por las características del modelo de educación a distancia utilizado, y que según se definió en el Plan de Desarrollo Institucional, el área de tecnologías de información constituye un factor clave de éxito para el logro de sus objetivos.

2.11. Por su parte, un estudio realizado por la Contraloría General en el año 201416 en esa

universidad, detectó debilidades en el manejo de las tecnologías de información, debido a que no obstante haber transcurrido siete años desde la emisión de la normativa, la UNED había realizado intentos aislados para su implementación, y dejó inconclusas las actividades necesarias para lograrla en forma efectiva y controlada, debido a que no cumplió con las actividades establecidas en el artículo N° 6 de dicha normativa. Además de que no poseía una adecuada gestión de Gobierno de Tecnologías de Información, debido a la ausencia de elementos como el Comité de TI y el PETIC.

2.12. En punto a las disposiciones giradas en el citado informe, es importante indicar, que ya

fue comunicada a este Órgano Contralor la conformación de la Comisión Estratégica de

15 Normas de Control Interno para el Sector Público, N° R-CO-9-2009 del 26 de enero de 2009, norma 5.3 Control de Sistemas de Información. 16 Contraloría General de la República, Informe DFOE-SOC-IF-16-2014, del 11 de diciembre de 2014, página i.


9

TIC denominada CETIC, y sus funciones17, así como la elaboración del PETIC por parte de la Vicerrectoría de Planificación, quien lo elevó para la aprobación del nivel superior18.

2.13. Asimismo, es de vital importancia considerar que la UNED está en proceso de ejecución

del proyecto denominado “Plan de Mejoramiento Institucional”, que según se comentó supra, es financiado con recursos externos y contiene un alto porcentaje de inversión en tecnologías de información. El PMI consta de varias iniciativas en las que se hará una inversión relevante en tecnologías con un monto cercano a los U$11,6 millones, según se muestra en el Anexo N°. 3.

2.14. El destino de los mencionados recursos es realizar inversión en infraestructura (salas

tecnológicas de videoconferencias, laboratorios de cómputo y conectividad) en la mayoría de los Centros Universitarios; la construcción de un cuarto para la colocación de servidores de respaldo de los servidores principales ubicados en la sede central; para resguardar la información y la operatividad de las comunicaciones de toda la UNED19; dotar a estudiantes en condición de pobreza de dispositivos tecnológicos para tener acceso a los recursos audiovisuales y multimedia; también incluye este plan el desarrollo de un Sistema de información para el apoyo a la toma de decisiones y la gestión institucional, y depurar las bases de datos del Sistema de Administración de Estudiantes (SAE), el Sistema Financiero Contable (SFC), el Sistema de Gestión y Desarrollo del Personal (SGDP) y del Sistema Web 20.

2.15. En el Plan de Mejoramiento Institucional (PMI) se muestra la vinculación entre los

objetivos institucionales, las nueve iniciativas y los ejes estratégicos de cobertura, equidad y acceso; calidad y pertinencia; innovación y desarrollo científico y tecnológico y gestión institucional No obstante, para el área de tecnologías de información no es posible relacionar cada una de las iniciativas con su(s) correspondiente(s) estrategia(s) en tecnologías , debido a que cuando se elaboró el PMI, no se había emitido el Plan Estratégico de Tecnologías de Información, siendo este un elemento fundamental contemplado en la normativa técnica21. Por ejemplo, según la normativa, los proyectos se deben valorar, e incorporar al portafolio general de proyectos de TI, pero en este caso no fue posible acreditar la existencia de esta valoración, ni su inclusión como parte de los proyectos del PETIC, y de una estrategia que considerara las diferentes alternativas tecnológicas versus los requerimientos institucionales. Tampoco es posible identificar la

17 Acuerdo del Consejo Universitario, sesión 2406-2015, del 26 de febrero de 2015, artículo II, inciso 1-a). 18 Oficio V.P. 2015-023 del 27 de marzo de 2015, de la Vicerrectoría de Planificación. 19 Plan de Mejoramiento Institucional, página 36. 20 Plan de Mejoramiento Institucional, páginas 70 a 75. 21 Oficios DTIC-2014-146 del 8 de agosto de 2014 y DTIC-2015-056 del 10 de marzo de 2015.


10

relación existente entre los proyectos y las estrategias en tecnologías de información, la calidad, los riesgos, los costos, el modelo de arquitectura de información y de infraestructura tecnológica, de forma que estas iniciativas promuevan y contribuyan con la estandarización de los sistemas, y que hayan sido considerados los recursos humanos y financieros que garantizarán su sostenibilidad en el tiempo y de las inversiones que implican.

2.16. También, con respecto a los procesos de contratación con terceros, según se ha

comentado, la implementación de la norma se encuentra pendiente, por lo que la UNED no cuenta con procedimientos generales debidamente aprobados por la comisión y el nivel superior que le permitan velar por la observancia de lo contenido en la norma 3.4 sobre la obtención satisfactoria de los objetos contratados, en especial, en cuanto a la definición de los “términos de referencia” y la aprobación formal de los criterios, términos y conjunto de pruebas para aceptar las instalaciones, hardware o software que se contratarán. Además, de que en su ausencia, la organización debería contar con funcionarios responsables, encargados de coordinar su observancia.

2.17. Es decir, las iniciativas tecnológicas del PMI, en criterio de este Órgano Contralor, no

tienen como punto de partida una base sólida, debidamente fundamentada en las normas técnicas como parte de una óptima administración de estas tecnologías en la organización, y de una transparente gestión de proyectos de TI, en los que se pueda identificar los funcionarios responsables de que en estos proyectos, no solo se acate lo establecido en la normativa técnica de tecnologías de información, sino que se pueda garantizar su éxito tecnológico22.

2.18. Dado lo anterior, y conforme a la normativa vigente, resulta de vital importancia que

previo a continuar con la realización de inversiones en el área de tecnologías de información, la UNED prosiga con las gestiones iniciadas para la implementación de la normativa técnica que rige en este campo de forma que se dé en concordancia y coherencia, entre otros, con el marco estratégico, la planificación institucional, el modelo de arquitectura de información y la infraestructura tecnológica, el establecimiento de lineamientos para el análisis de las alternativas de solución según criterios técnicos y económicos, la definición clara, completa y oportuna de los requerimientos, en los cuales se deben incorporar aspectos de control, seguridad y auditoría bajo un contexto de costo beneficio. Así como que se formulen y ejecuten estrategias de implementación que incluyan todas las medidas para minimizar el riesgo de que los proyectos no logren sus

22 Oficios DTIC-2014-146 del 8 de agosto de 2014 y DTIC-2015-056 del 10 de marzo de 2015.


11

objetivos, no satisfagan los requerimientos o no cumplan con los términos de calidad, tiempo y costo preestablecidos23.

2.19. Consecuentemente, a esta Contraloría General le llama la atención la toma de decisiones

de inversión en tecnologías de información sin que previamente se hayan definido los elementos estratégicos, de planificación, administración y procedimientos que permitan tener una clara certeza del rumbo tecnológico hacia el que marcha la UNED con un enfoque sistémico, de cómo se integran todos estos proyectos entre sí y con la estrategia en tecnologías, y no como un proyecto de financiamiento aislado del modelo de gobierno y organizacional en tecnologías de información, todo esto con el fin de minimizar los riesgos de que el componente tecnológico del PMI no logre sus objetivos, no satisfaga los requerimientos o no cumpla con los términos de calidad, tiempo y costo estimados, conforme lo establece la normativa vigente.

DEBILIDADES EN LA DEFINICIÓN DE PRIORIDADES EN TECNOLOGÍAS DE INFORMACIÓN Y

COMUNICACIÓN 2.20. Según se comentó en el informe DFOE-SOC-IF-16-201424, la UNED no cuenta con una

Comisión Estratégica de TI, que direccione las acciones en este campo, además tampoco se tiene plasmado el rumbo hacia el que marchan estas tecnologías en el correspondiente Plan de Tecnologías o PETIC debidamente estructurado, entre algunos de los elementos contenidos en las normas de TI.

2.21. Debido a la ausencia de la dirección que brindan los elementos citados anteriormente,

con el fin de ordenar la dinámica existente entre la DTIC y los dueños de los sistemas existentes a la fecha, en el año 2012, el Consejo de Rectoría emitió un acuerdo mediante el que estableció las prioridades institucionales en tecnologías de información y comunicación, que debería atender la Dirección de Tecnología, Información y Comunicaciones (DTIC) en coordinación con las unidades académicas y administrativas25, no obstante este acuerdo no deja de ser un esfuerzo aislado de la administración, posee poca visión de conjunto y no puede venir a sustituir la función que ejerce la Comisión ni el PETIC.

2.22. En este acuerdo de prioridades TIC, se estableció en el punto 2, que la responsabilidad del desarrollo de los proyectos recae en las áreas usuarias, convirtiéndose estas unidades

23 Contraloría General de la República. Normas técnicas para la gestión y el control de las Tecnologías de Información, (N-2-2007-CO-DFOE), normas 1.3, 1.5, 3.1, 3.2 y 3.4. 24 Informe DFOE-SOC-IF-16-2014 del 11 de diciembre de 2014, página 14. 25 Sesión No. 1724-2012 Art. III, inciso 1) del 21 de mayo de 2012 del Consejo de Rectoría.


12

académicas o administrativas, en unidades encargadas de los sistemas, o usuarios administradores de sistemas. También, direccionaba hacia un modelo en el que la dinámica de trabajo de los proyectos TIC incluía la designación de la unidad académica o administrativa responsable del proyecto, por parte de la Vicerrectoría correspondiente, que contaría con la asesoría de la DTIC, para enrumbar el norte del sistema o sistemas a su cargo.

2.23. Además, la puesta en práctica del citado acuerdo ha generado que actualmente la DTIC

tenga que atender requerimientos de los usuarios administradores de los sistemas, con prioridades independientes y aisladas entre sí, donde cada usuario asigna una mayor prioridad a sus necesidades particulares según se aprecia en los requerimientos solicitados a la DTIC (un detalle de los requerimientos pendientes se muestran en el Anexo N°. 4) y no como un conjunto de sistemas con un norte y objetivos comunes dirigidos al servicio tanto de clientes internos como externos a la universidad, lo que fue confirmado por el Director de TI26.

2.24. Esta situación es contraria a lo establecido en las normas 3.1 y 3.2, en los aspectos

relacionados con que la organización debe implementar y mantener las TI en concordancia con su marco estratégico, planificación, modelo de arquitectura de información e infraestructura tecnológica, así como que es necesario la definición de criterios para determinar la procedencia de cambios en los sistemas.

2.25. En punto a lo anterior, la norma 2.2 relacionada con el Modelo de arquitectura de

información establece que la organización debe optimizar la integración, uso y estandarización de sus sistemas de información.

2.26. La emisión del mencionado acuerdo, que deja la responsabilidad del desarrollo de los

proyectos en las áreas usuarias, no favorece una gestión eficaz y eficiente en tecnologías de información de la UNED debido a que, en primera instancia, no se deriva de una estrategia a seguir establecida mediante un proceso estructurado de planificación de TI, a que genera descoordinación entre las partes involucradas y a que no promueve una visión de conjunto entre los requerimientos que realizan las unidades usuarias, estimula la duplicación de esfuerzos y aumenta el consumo de recursos institucionales, incrementa los tiempos de respuesta de la atención de requerimientos, así como el sobrecargo de esfuerzos en el equipo de desarrollo.

26 Oficio DTIC-2015-056, del 9 de febrero del 2015.


13

DEBILIDADES EN LA CONECTIVIDAD E INTERCONEXIÓN ENTRE LOS PRINCIPALES SISTEMAS

INSTITUCIONALES 2.27. La UNED posee diferentes sistemas para el proceso tanto de la información

administrativa como de la relacionada con la actividad estudiantil. En el presente estudio se analizaron los sistemas considerados principales para la Universidad, con el objeto de determinar la conectividad e interconexión existente entre ellos.

2.28. Los sistemas analizados fueron: el Sistema de Administración de Estudiantes (SAE) que es un sistema relevante para la UNED ya que administra todos los registros de la población estudiantil, incluyendo carreras, datos identificadores de los estudiantes entre otros y su conectividad manual o automática es requerida para las funciones primordiales de la universidad, el Sistema de Cursos Virtuales (MOODLE), que es la plataforma donde se presenta la oferta de cursos virtuales de la UNED, y el ambiente virtual en que los estudiantes interactúan con los profesores y tutores, por lo que contribuye con la educación a distancia promovida por la visión y misión de la universidad y el Sistema Financiero Contable, en el que se registran los movimientos relacionados con los aspectos financieros, contabilidad, presupuesto y da soporte a las labores administrativas de la universidad. Para cada uno de estos sistemas, la universidad designó un usuario de cada área que funciona como administrador.

2.29. En punto a lo anterior, las normas técnicas para la gestión y el control de las Tecnologías de información establecen en su punto 2.2, que las organizaciones deben contar con un Modelo de arquitectura de Información, con el fin de optimizar la integración, uso y estandarización de sus sistemas, de manera que se pueda identificar, capturar y comunicar, en forma completa, exacta y oportuna, sólo la información que sus procesos requieran. A manera de comparación, el Anexo N°. 5 muestra un detalle de los diferentes sistemas de la UNED y sus características técnicas.

2.30. Por otra parte, de acuerdo con el análisis realizado al Sistema de Administración del

Estudiante (SAE), se concluyó que este sistema no posee interfaces con el Sistema Financiero Contable, esto incide directamente en los cobros de matrícula, que deben

generarse mediante reportes que posteriormente se ingresan manualmente al Sistema Financiero Contable. Adicionalmente, el SAE no realiza interface con el MOODLE, específicamente en el caso de la sincronización de las notas de los cursos, impidiendo que las mismas se visualicen y que los modelos de evaluación del Sistema de Notas Parciales se reflejen en Moodle. En la actualidad los datos están desconectados y el


14

proceso de actualización es realizado manualmente por los tutores, situación que fue confirmada por el Director de TI27.

2.31. Adicionalmente, se realizaron solicitudes de información a la Unidad de Recursos Humanos y a la Dirección Financiera relacionada con los tutores que atienden a los estudiantes de los diferentes cursos, sin embargo, no fue posible obtener la información, no obstante transcurrido un tiempo significativo. Al respecto, la Vicerrectoría Ejecutiva indicó que los sistemas de generación de acciones de personal y de pago están separados, que los sistemas no cuentan con una función de reportes que puedan generar la información solicitada, por lo que dependen de la Dirección de Tecnologías y de su disponibilidad para extraer esa información, y que luego de obtenida debe ser revisada y depurada para que cumpla con lo requerido28.

2.32. Al indagar respecto de las causas que están generando estas debilidades en la

conectividad se indicó que las prioridades institucionales generan que “…cuando un usuario tiene interfaces con otros sistemas, le da prioridad a su proceso y no se enfoca en los desarrollos que coadyuvarían a otros procesos.”29, debido a que el desarrollo de los proyectos de TI es responsabilidad de las áreas usuarias (académicas o administrativas) quienes definen los requerimientos de los sistemas dejando por fuera una visión sistémica que tome en cuenta los objetivos estratégicos globales y la visión integral de la universidad 30.

2.33. La situación en comentario, si bien en algunos casos puede ser transparente para el

usuario final de los sistemas, refleja un aumento en las labores a desarrollar por parte de los usuarios, al tener que alimentar manualmente los sistemas, así como que aumenta las probabilidades de la existencia de fallas en los datos y la calidad de la información contenida en los sistemas, tal y como se comentó anteriormente.

AUSENCIA DE PRUEBAS DE SEGURIDAD PARA GARANTIZAR LA CONTINUIDAD DE LAS

OPERACIONES EN LOS SISTEMAS INSTITUCIONALES

2.34. Las normas técnicas para la gestión y el control de las Tecnologías de Información relacionadas con la continuidad de los servicios de TI, establecen que las organizaciones deben mantener una continuidad razonable de sus procesos y que su interrupción no

27 Oficio DTIC-2015-056 del 10 de marzo de 2015. 28 Oficio VE-127-2015 del 27 de marzo de 2015. 29 Oficio DTIC-2015-056, del 10 de marzo de 2015. 30Idem.


15

debe afectar significativamente a los usuarios. Además, debe documentar y poner en práctica, en forma efectiva y oportuna, las acciones preventivas y correctivas, la evaluación e impacto de los riesgos y la clasificación de sus recursos de TI según su criticidad31.

2.35. Para garantizar esta continuidad, las buenas prácticas en este campo señalan que no solo

es necesario realizar los respectivos respaldos de información contenida en las bases de datos, sino que estos deben ser probados en forma regular con el fin de poner en práctica los planes de recuperación y garantizar que los mismos funcionarán cuando se requiera, de acuerdo con lo planificado en el Plan de Continuidad Institucional, que debe ser un subproducto del PETIC. Por otra parte, es necesario definir y acordar con las partes interesadas, los ejercicios que sean razonables, validar los procedimientos de continuidad, e incluir los roles, responsabilidades y acuerdos de retención de datos que ocasionen la mínima disrupción en los procesos del negocio.

2.36. Con respecto a este tema, se determinó que en la UNED existe la práctica de realizar

respaldos de la información contenida en las bases de datos de sus sistemas, además su custodia se mantiene tanto en sus instalaciones como fuera de la Universidad, mediante la contratación de un servicio de custodia de medios magnéticos con una empresa externa, es decir existen respaldos de información cuya ubicación física no se encuentra en las instalaciones principales de la Universidad32.

2.37. No obstante lo anterior, no se localizó documentación que demostrara que dichos

respaldos fueran probados mediante la realización de pruebas o ejercicios con los que se permita garantizar que la información contenida en estas copias de respaldo funcionen adecuadamente y puedan incorporarse nuevamente a los sistemas, en caso del acontecimiento de una situación inesperada de pérdida de información o una fuerza mayor, que deje inhabilitados los sistemas o las instalaciones donde se ubican normalmente33.

2.38. Al respecto, se determinó que la DTIC no cuenta con un Plan de Continuidad que

establezca un procedimiento de pruebas de los respaldos de información y que refleje los requisitos de continuidad de las operaciones de la Universidad. Adicionalmente,

31 Normas técnicas para la gestión y el control de las Tecnologías de Información, N-2-2007-CO-DFOE, junio de 2007, norma 1.4.7. 32 Oficio DTIC-2014-146 del 8 de agosto de 2014. 33 Oficios DTIC-2015-056, del 10 de marzo de 2015 y DTIC-2015-033 del 6 de febrero de 2015.


16

existen limitantes en el personal y recursos de infraestructura para realizar este tipo de procedimientos de restauración de servicios críticos34.

2.39. Dado lo anterior, no existe un nivel de certidumbre que garantice a la universidad que

las actividades realizadas por la DTIC dirigidas a garantizar la continuidad de las operaciones, cuentan con un nivel razonable de probabilidad de que la información crítica que se requeriría restaurar nuevamente en los sistemas de información, en casos de fuerza mayor, fallas de los sistemas, ataques tecnológicos u otros, permita seguir brindando los servicios de la Universidad, y que los respaldos de esta información podrán ser utilizables en caso de requerirse una restauración, y la misma funcionará en el tiempo, tal y como se espera. Lo anterior, con el riesgo inminente para la UNED de que se deba levantar o generar toda o parte de la información necesaria para dar continuidad a los servicios.

AUSENCIA DE UN PLAN DE CAPACITACIÓN PARA LOS FUNCIONARIOS DE TI 2.40. En relación con el recurso humano asignado al ejercicio de la función de Tecnologías de

Información resulta de importancia que la Administración brinde el apoyo necesario para dotar del personal adecuado, tanto cualitativa como cuantitativamente, a esa función. En punto a este tema , la norma 2.4 indica que: “El jerarca debe asegurar la independencia de la Función de TI respecto de las áreas usuarias y que ésta mantenga la coordinación y comunicación con las demás dependencias tanto internas y como externas./ Además, debe brindar el apoyo necesario para que dicha Función de TI cuente con una fuerza de trabajo motivada, suficiente, competente y a la que se le haya definido, de manera clara y formal, su responsabilidad, autoridad y funciones.” El resaltado no es del original.

2.41. Por su parte, la norma 2.5, indica que se debe optimizar el uso de los recursos que se invierten en las tecnologías de información con el fin de procurar el logro de los objetivos de esa inversión35.

2.42. Asimismo, las buenas prácticas del campo refuerzan lo comentado anteriormente, en el

sentido que es necesario mantener las habilidades y competencias necesarias del personal, y que se debe verificar regularmente que el mismo tenga las competencias necesarias para cumplir con sus funciones, para lo que es preciso revisar su educación,

34 Oficio DTIC-2015-033 del 6 de febrero de 2014. 35 Normas Técnicas para la gestión y el control de las Tecnologías de Información N-2-2007-CO-DFOE, norma 2.5.


17

formación y experiencia y verificar que estas competencias se mantienen, mediante la programación de actividades de capacitación y certificación según sea el caso36.

2.43. Al respecto, se determinó que la UNED, no cuenta con la práctica de mantener un

programa de formación o capacitación para los funcionarios del Área de Tecnologías de información, situación que puede incidir en el rendimiento y los resultados en este campo, dada la innovación y los cambios acelerados que sufren las áreas relacionadas con tecnologías de información.

2.44. En consulta realizada al director de TI37 respecto de la existencia de programas de

formación y capacitación de apoyo al personal de TI, así como de un detalle de frecuencia, anticipación a cambios tecnológicos, regulatorios y disponibilidad de recursos económicos, el funcionario indicó que no se dispone de recursos económicos para llevar a cabo un programa de formación o capacitación. Adicionalmente, se mencionó que a nivel institucional existe una Comisión de Becas, que es la que aprueba las solicitudes de becas y que el PMI contempla recursos para capacitación en sus diferentes iniciativas por un monto de $6.000.000,00. No obstante, el funcionario indicó que a febrero de 2015, la mayoría de solicitudes de capacitación realizadas por la DTIC han sido rechazadas, argumentando altos costos38,, por lo que se ha buscado utilizar medios fuera de la institución para capacitar al personal o capacitaciones gratuitas de otras instituciones de educación superior, pero estas dependen de la oferta y no de las necesidades de los funcionarios de TI39.

2.45. La situación comentada limita la formación de habilidades, competencias y motivación

necesarios en el recurso humano de la DTIC hacia el logro de los objetivos de la universidad. Además, según se indicó anteriormente, el marco regulatorio vigente en el tema de TI , tiene su fundamento principal en el COBIT, por lo que en las organizaciones es de suma importancia que dentro de la programación de las capacitaciones a su personal, éste reciba algún tipo de capacitación al respecto, con el fin de que obtengan el conocimiento básico y puedan contribuir en la implementación de esta normativa.

36 COBIT 5 proceso APO07 Gestionar los Recursos Humanos, y práctica clave de Gobierno APO07.03. 37 Oficio DTIC-2015-033 del 6 de febrero de 2015de la Dirección de Tecnologías. 38 Oficio DTIC-2015-033 del 6 de febrero de 2015. 39 Oficio DTIC-2015-056 del 9 de marzo de 2015.


18

DEBILIDADES EN LA CALIDAD E INTEGRIDAD DE LA INFORMACIÓN CONTENIDA EN LAS BASES

DE DATOS INSTITUCIONALES

2.46. El Manual de Normas de control interno indica que las instituciones deben disponer de los elementos y condiciones necesarias para que la obtención, el procesamiento, la generación y la comunicación de la información relacionada con la gestión institucional se realice de forma organizada, uniforme, consistente y oportuna para la consecución de los objetivos institucionales, así como para que los sistemas de información propicien una debida gestión documental institucional, mediante el control, almacenamiento y recuperación de manera confiable, oportuna y útil, según las necesidades institucionales40.

2.47. La norma 5.6.1 del mencionado Manual, en relación con la Confiabilidad de la

información indica que:

“La información debe poseer las cualidades necesarias que la acrediten como confiable, de modo que se encuentre libre de errores, defectos, omisiones y modificaciones no autorizadas, y sea emitida por la instancia competente.” El destacado es nuestro.

2.48. Asimismo, sobre el control de los sistemas de información se indica que éstos deben poseer los controles pertinentes para que “garanticen razonablemente la calidad de la información y de la comunicación, la seguridad y una clara asignación de responsabilidades y administración de los niveles de acceso a la información y datos sensibles, así como la garantía de confidencialidad de la información que ostente ese carácter”41 El resaltado no es del original.

2.49. El análisis de la base de datos del Sistema de administración de Estudiantes (SAE) reflejó

la existencia de datos inválidos en los campos relacionados con año de ingreso, nombre del estudiante, género, estado civil y nacionalidad, tal y como se muestra en el Anexo N°. 6. Por su parte, la base de datos del Sistema de Asignación de Tiempos (SAT) contiene datos inválidos en los campos correspondientes a los tutores con nombramientos, números de cédula inválidas, registros repetidos y horas asignadas negativas.

40 Normas de Control Interno para el Sector Público, N° R-CO-9-2009 del 26 de enero de 2009, normas 5.1 Sistemas de Información, 5.4 Gestión documental y 5.6 Calidad de la información. 41 Ibidem. Norma 5.8 Control de Sistemas de Información.


19

2.50. La situación comentada se presenta principalmente porque los sistemas de información y las bases de datos no tienen controles o restricciones instaurados para evitar campos nulos o caracteres no válidos, lo que según se comentó, ha generado la existencia de campos que no contienen la información que deberían, lo cual, a criterio de esta Contraloría General, por ejemplo en lo que respecta al SAT, potencia el riesgo de que eventualmente se materialicen inconsistencias en el pago de los tutores que laboran para la UNED.

3. CONCLUSIONES 3.1. La promulgación de la normativa técnica en materia de tecnologías de información,

pretendía que en el sector público se organizaran, planificaran y dirigieran los esfuerzos en el área de TI mediante la utilización de mecanismos e instrumentos dirigidos, entre otros, a una buena gobernanza de las TIC’s, cimentada en el direccionamiento de la toma de decisiones mediante el nombramiento de la Comisión de TI. Dicha Comisión se encargaría de asesorar al jerarca en los aspectos relacionados con las tecnologías, y en buscar la alineación estratégica de las mismas y el Plan Tecnológico donde se plasmara el rumbo de la organización en esta materia. Lo anterior, en conjunto con la búsqueda de la estandarización de los procedimientos y sistemas, en la calidad, los riesgos, la seguridad de la información y el manejo eficaz de los proyectos, que en el sector público no han tenido el éxito esperado.

3.2. En línea con lo anterior, la dirección de la citada Comisión de TI, enrumbaría a la

organización al logro de una adecuada planificación y organización del ambiente tecnológico institucional, montando los cimientos también con la elaboración de un modelo de arquitectura de la información, la disposición de la infraestructura y la administración tanto del recurso humano como financiero concentrados en TI. Asimismo, un aspecto de suma importancia y de alto riesgo en las instituciones públicas está relacionado con la implementación de software, considerado en el Capítulo III de la norma, que considera las contrataciones con terceros, la gestión de proyectos y el Capítulo IV sobre la definición y administración de los acuerdos de servicio.

3.3. Como producto de la auditoría realizada se determinó que la UNED ha iniciado el proceso

de cumplimiento de la normativa técnica con el nombramiento de la Comisión de Tecnologías y la elaboración de un PETIC que debe ser aprobado por los niveles superiores, no obstante, existe un rezago en el proceso de madurez tecnológica de la


20

Institución. La anterior situación, aunado a la ejecución del Plan de Mejoramiento Institucional, que incluye inversiones millonarias en las tecnologías de información y comunicación, requiere como un factor clave de éxito, que exista congruencia entre esas inversiones y el marco de implementación de la normativa técnica, en particular porque la UNED está ejecutando el PMI sin el desarrollo de las bases técnicas establecidas en las normas y sin que ese PMI sea producto de un proceso de planificación y organización del ambiente tecnológico institucional.

3.4. Asimismo, la UNED ha recurrido a diversas alternativas con el fin de cubrir el vacío

mencionado, tales como el establecimiento de prioridades en TI, políticas relacionadas con la seguridad de la información y continuidad de las operaciones y uso del equipo de cómputo. Sin embargo ha dejado de lado aspectos como la capacitación de los funcionarios del área de TI, la conectividad e interconexión de sus sistemas cimentados en un modelo de arquitectura de la información que esté en línea con el Plan Estratégico de TI y como consecuencia de estas decisiones actualmente existen usuarios-administradores de los sistemas de información, que aunado a la inexistencia de una hoja de ruta que defina con meridiana claridad el rumbo hacia dónde deben avanzar esos sistemas, ha generado que en la solución de los problemas asociados al funcionamiento de los sistemas, prive el interés de cada unidad sobre la visión sistémica e institucional.

3.5. Por su parte, no se ha implementado la realización de ejercicios prácticos para garantizar

que los respaldos de la información de los sistemas funcionan y pueden ser incorporadas nuevamente a éstos en caso de acontecimientos inesperados; además no se cuenta con un Plan de Continuidad de las Operaciones que regule estos aspectos.

3.6. También se determinó la existencia de datos inválidos en los años de ingreso, nombres de estudiantes, estado civil y nacionalidad, tutores y números de cédula, así como registros repetidos, en las bases de datos de los Sistemas SAE y SAT; lo que puede influir negativamente y generar la materialización de riesgos tales como eventuales inconsistencias en el pago de los tutores de la UNED.

3.7. Dados los aspectos anteriores, la UNED requiere reforzar las herramientas necesarias

para minimizar los riesgos, avanzar a paso firme e incursionar en nuevas inversiones y proyectos de desarrollo tecnológico que contribuyan al logro de sus fines, tal como el Proyecto Mejoramiento Institucional, que incluye una alta inversión en el componente tecnológico.


21

4. DISPOSICIONES 4.1. De conformidad con las competencias asignadas en los artículos 183 y 184 de la

Constitución Política, los artículos 12 y 21 de la Ley Orgánica de la Contraloría General de la República, N°. 7428, y el artículo 12 inciso c) de la Ley General de Control Interno, se emiten recomendaciones y disposiciones. Estas últimas son de acatamiento obligatorio y deberán ser cumplidas dentro del plazo (o en el término) conferido para ello, por lo que su incumplimiento no justificado constituye causal de responsabilidad.

4.2. Este Órgano Contralor se reserva la posibilidad de verificar, por los medios que considere

pertinentes, la efectiva implementación de las disposiciones emitidas, así como de valorar el establecimiento de las responsabilidades que correspondan, en caso de incumplimiento injustificado de tales disposiciones.

AL CONSEJO DE RECTORÍA DE LA UNIVERSIDAD ESTATAL A DISTANCIA O A QUIENES EN

SU LUGAR OCUPEN ESOS CARGOS

4.3. Analizar, discutir y acordar, sobre la funcionalidad del acuerdo de ese Consejo, tomado en la Sesión No. 1724-2012 Art. III, inciso 1) del 21 de mayo de 2012, relacionado con las prioridades institucionales en tecnologías de información y comunicación (TIC) que debe atender la Dirección de Tecnologías de Información y Comunicación (DTIC) en coordinación con las unidades académicas y administrativas de la UNED, lo anterior de cara al nuevo Plan de Desarrollo de Tecnologías de Información y Comunicación de la UNED 2015-2019. Para el cumplimiento de esta disposición se deberá remitir a esta Contraloría General copia del acuerdo donde se haga constar el análisis realizado en torno al acuerdo del 21 de mayo antes citado, a más tardar el 29 de febrero de 2016. Ver comentarios de los párrafos 2.20 a 2.26.

4.4. Analizar, discutir y acordar sobre el Plan de Desarrollo de Tecnologías de Información y Comunicación de la UNED 2015-2019, ajustado por la Comisión Estratégica de Tecnologías de Información, en línea con la disposición 4.6 del presente informe. Para el cumplimiento de esta disposición se deberá remitir a esta Contraloría General, a más tardar el 30 de setiembre de 2016, copia del Plan que en definitiva se implementará, y el acuerdo de ese Consejo, en que fue aprobado. Ver comentarios de los párrafos 2.5, 2.11 y 2.12.


22

AL MAG. LUIS GUILLERMO CARPIO MALAVASSI EN SU CONDICIÓN DE RECTOR DE LA

UNIVERSIDAD ESTATAL A DISTANCIA O A QUIEN OCUPE EL CARGO 4.5. Designar, con el apoyo de la Comisión Estratégica de Tecnologías, para cada una de las

iniciativas con inversión en tecnologías de información del Plan de Mejoramiento Institucional, al funcionario que deberá velar para que dichas iniciativas se desarrollen en apego a lo establecido en las Normas Técnicas de Tecnologías de Información. Para el cumplimiento de esta disposición remitir un oficio mediante el cual comunique a esta Contraloría General a más tardar el 31 de agosto de 2015, el nombre y calidades del funcionario designado en cada una de las distintas iniciativas y la definición expresa de cuáles serán sus responsabilidades para garantizar el éxito tecnológico de la iniciativa a su cargo. Ver comentarios de los párrafos 2.3 a 2.19.

AL MAG. LUIS GUILLERMO CARPIO MALAVASSI EN SU CONDICIÓN DE COORDINADOR DE

LA COMISIÓN ESTRATÉGICA DE TECNOLOGÍAS DE INFORMACIÓN DE LA UNIVERSIDAD

ESTATAL A DISTANCIA O A QUIÉN EN SU LUGAR OCUPE ESE CARGO

4.6. Analizar y ajustar el Plan de Desarrollo de Tecnologías de Información y Comunicación de la UNED 2015-2019 vigente, con el fin de verificar el cumplimiento de la normativa técnica, al menos, en aspectos tales como, su alineación con el marco estratégico, la orientación tecnológica y las regulaciones y políticas gubernamentales a que está sujeta la universidad, el diagnóstico de la situación de la universidad y su entorno (identificación de fortalezas, oportunidades, debilidades y amenazas), el modelo de información, la infraestructura tecnológica y los recursos humanos y financieros que requiere la organización y la forma en que se dará seguimiento a la gestión de las TI. Para el cumplimiento de esta disposición se deberá remitir a esta Contraloría General, a más tardar el 30 de junio de 2016, copia del acuerdo de esa Comisión, donde se indique que dicho Plan fue debidamente analizado y ajustado, y remitido al Consejo de Rectoría para su conocimiento y aprobación definitiva, en línea con la disposición 4.4 de la presente auditoría. Ver comentario en párrafo 2.5, 2.27 a 2.33.

4.7. Solicitar a la Dirección de Tecnologías de Información la revisión y ajuste del borrador del Modelo de Arquitectura de Información de la UNED, en cuyo caso deberá considerarse al menos, que incorpore la información de toda la organización, el diseño general de los sistemas, los datos y sus interrelaciones. Modelo de Arquitectura de Información que deberá someterse a conocimiento de esa Comisión Estratégica de Tecnologías de Información, para efectos de su análisis y aprobación. Para el cumplimiento de esta disposición se deberá remitir a esta Contraloría General copia del


23

Modelo de Arquitectura de Información, y el acuerdo de esa Comisión mediante el cual fue debidamente aprobado, ello a más tardar el 30 de octubre de 2015. Ver comentario en párrafos 2.6, 2.27 a 2.33.

4.8. Definir e implementar políticas respecto de la conectividad y comunicación que deben

poseer los sistemas de información de la Universidad, en concordancia con el Plan Estratégico de Tecnologías de Información, el Marco Estratégico y el Modelo de Arquitectura de Información. Para el cumplimiento de esta disposición se deberá remitir a esta Contraloría General, a más tardar el 30 de noviembre de 2015, una certificación donde se haga constar que las políticas de conectividad y comunicación fueron definidas

de conformidad con los aspectos solicitados en esta disposición, y que además esas políticas se encuentran implementadas. Ver comentario en párrafos del 2.27 a 2.33.

4.9. Definir e implementar una estrategia que permita generar las interfaces de comunicación entre los sistemas, acorde con las políticas de conectividad y comunicación que se definan en la disposición 4.8. Para el cumplimiento de esta disposición deberá remitirse a esta Contraloría General, el 30 de marzo de 2016, el acuerdo de la Comisión donde se haga constar que dicha estrategia fue debidamente aprobada, y a más tardar el 30 de setiembre de 2017, un documento con los resultados de que dicha estrategia fue debidamente implementada, a su vez se deberán remitir a este Órgano Contralor, cuatro informes cuatrimestrales sobre el avance de la implementación, a saber, al 29 de julio de 2016, 31 de noviembre de 2016 y 28 de marzo de 2017 y 31 de julio de 2017. Ver comentarios de los párrafos 2.27 a 2.33

4.10. Solicitar a la Dirección de Tecnologías de Información la elaboración de un Plan de

Capacitación específico para dicha Dirección. Una vez que el mencionado Plan esté debidamente elaborado, deberá ser de conocimiento de esa Comisión, para efectos de su análisis y aprobación. Para acreditar el cumplimiento de esta disposición se deberá remitir a esta Contraloría General una certificación donde se acredite por parte de esa Comisión que dicho Plan fue debidamente elaborado y el acuerdo respectivo mediante el cual fue aprobado, a más tardar el 30 de setiembre de 2015. Además deberán remitirse dos informes a esta Contraloría General, el primero el 30 de marzo de 2016 y el segundo el 30 de setiembre de 2016, sobre el avance en la implementación del supracitado Plan. Ver comentarios de los párrafos 2.40 a 2.45.

4.11. Analizar, discutir y acordar, sobre el Plan de Continuidad de Negocios remitido por la DTIC, en línea con la disposición 4.13 del presente informe. Para el cumplimiento de esta disposición se deberá remitir a esta Contraloría General, copia del citado Plan y del


24

acuerdo de aprobación por parte de esa Comisión, a más tardar el 29 de enero de 2016. Ver comentarios de los párrafos 2.34 a 2.39.

4.12 Ordenar a la Dirección de Tecnologías de Información, corregir los errores que se

presentan en la base de datos del Sistema de Administración de Estudiantes (SAE) y el Sistema de Asignación de Tiempos (SAT). Para el cumplimiento de esta disposición deberá remitirse a esta Contraloría General a más tardar el 31 de agosto de 2015, un documento que indique los errores determinados en dichas bases de datos, y las actividades específicas por desarrollar para corregirlos. Asimismo, una certificación de que los errores identificados fueron debidamente subsanados a más tardar el 31 de diciembre de 2015. Ver comentarios de los párrafos 2.46 a 2.50.

AL MAG. FRANCISCO DURAN MONTOYA, DIRECTOR DE TECNOLOGÍA DE INFORMACIÓN Y

COMUNICACIONES, O A QUIEN EN SU LUGAR OCUPE ESE CARGO

4.13 Elaborar un “Plan de Continuidad de Negocios” formalmente documentado y acorde con la normativa vigente vinculada con esta temática, con el fin de garantizar la continuidad de las operaciones de la UNED. Para el cumplimiento de esta disposición deberá remitirse a esta Contraloría General, a más tardar el 30 de octubre de 2015, una certificación que indique que el “Plan de Continuidad de Negocios” fue elaborado de conformidad con la normativa vigente vinculada con esta temática y debidamente enviado a la Comisión Estratégica de Tecnologías de Información y Comunicaciones. Ver comentarios de los párrafos 2.34 a 2.39.

CONSIDERACIONES FINALES 4.14 La información que se solicita en este informe para acreditar el cumplimiento de las

disposiciones anteriores, deberá remitirse, en los plazos y términos antes fijados, al Área de Seguimiento de Disposiciones de la Contraloría General de la República. La Administración debe designar y comunicar al Área de Seguimiento de Disposiciones, en un plazo no mayor de cinco días hábiles, contados a partir del recibo del informe final, el nombre, número de teléfono y correo electrónico de la persona que fungirá como el contacto oficial con esa Área, con autoridad para informar sobre el avance y cumplimiento de las disposiciones correspondientes. En caso de incumplimiento en forma injustificada del tiempo otorgado, podrá considerarse que se incurrió en falta grave y dar lugar a la aplicación de las sanciones previstas en el artículo 69 de la Ley Orgánica de la Contraloría General de la República, con garantía del debido proceso.


25

4.15 De conformidad con lo establecido por los artículos 343, 346 y 347 de la Ley General de la Administración Pública, contra el presente informe caben los recursos ordinarios de revocatoria y apelación, que deberán interponerse dentro del tercer día a partir de la fecha de su comunicación, correspondiéndole a esta Área de Fiscalización la resolución de la revocatoria y al Despacho Contralor, la apelación.

4.16 De presentarse conjuntamente los recursos de revocatoria y apelación, esta Área de

Fiscalización en caso de rechazo del recurso de revocatoria, remitirá el recurso de apelación al Despacho Contralor para su resolución.


26

ANEXO N.° 1 Universidad Estatal a Distancia

Distribución del financiamiento del Plan de Mejoramiento Institucional Por iniciativa

(Dólares Estadounidenses)

Iniciativa Financiamiento

Préstamo Contrapartida

UNED Monto total

1. Red de Centros Universitarios para la innovación y el desarrollo local y nacional

14.732.700,00 2.327.858,00 17.060.558,00

2. Centro de Gestión de cambio y desarrollo regional: CeU Cartago

4.532.300,00 436.115,00 4.968.415,00

3. Centro de Gestión de cambio y desarrollo regional: CeU Puntarenas

3.957.500,00 407.375,00 4.364.875,00

4. Mejorar la equidad de acceso de los estudiantes a los recursos de aprendizaje digitales y en internet.

770.000,00 46.500,00 816.500,00

5. Diversificar la oferta académica de ingenierías. 1.677.300,00 193.865,00 1.871.165,00

6. Formación y capacitación para el fortalecimiento del modelo de educación a distancia.

2.320.000,00 416.000,00 2.736.000,00

7. Diversificar y ampliar la producción multimedia digital y en internet.

2.415.000,00 670.750,00 3.085.750,00

8. Fortalecer la producción experimentación y la investigación para el desarrollo tecnológico y de la innovación en la UNED.

16.785.700,00 1.166.285,00 17.951.985,00

9. Sistema de Información para el apoyo a la toma de decisiones y la gestión institucional.

2.809.500,00 140.475,00 2.949.975,00

Totales 50.000.000,00 5.805.223,00 55.805.223,00 Fuente: Plan de Mejoramiento Institucional, página 77


27


Recursos del Plan de Mejoramiento Institucional Principales iniciativas con componente tecnológico

(Dólares Estadounidenses)

Iniciativa Financiamiento Observaciones

1. Red de Centros Universitarios para la innovación y el desarrollo local y nacional (se enfoca entre otros aspectos, en dotar a diferentes Centros Universitarios de infraestructura tecnológica tales como salas tecnológicas (videoconferencias), laboratorios de cómputo, fortalecimiento de plataformas administrativas, conectividad mediante conexiones de fibra óptica y zonas WiFi.)

6.236.450,11 Corresponde únicamente al monto de Equipamiento

2. Centro de Gestión de cambio y desarrollo regional: CeU Cartago (incluyó el desarrollo de una infraestructura nueva con todos los servicios administrativos y académicos con una planta de 2.198 metros cuadrados, una sala tecnológica (videoconferencia), dos laboratorios de cómputo. Asimismo, en esta construcción se incluye: “un cuarto para la colocación de servidores de respaldo de los servidores principales, ubicados en la sede central; se resguarda de esta forma la información y la operatividad de las comunicaciones de toda la Universidad, a la vez que se cumple con las normativas internacionales de manejo de datos y centros de servidores”.)

1.122.000,00 Corresponde únicamente al monto de Equipamiento

3. Centro de Gestión de cambio y desarrollo regional: CeU Puntarenas (abarca la construcción de un edificio de 2.000 m2, en el que se encontrarán dos salas tecnológicas (videoconferencia), salas multiuso, dos laboratorios de cómputo, plataforma de servicios para el estudiante, área de cómputo de libre acceso, conexión por fibra óptica.)

999.000,00 Corresponde únicamente al monto de Equipamiento

4. Mejorar la equidad de acceso de los estudiantes a los recursos de aprendizaje digitales y en internet. (posee dentro de su estrategia principal proporcionar acceso a los estudiantes a todos los recursos audiovisuales y multimedia, publicaciones, bases de datos científicas y académicas y los recursos de la UNED, por lo que la iniciativa: “pretende asignarles dispositivos tecnológicos a los estudiantes cuya condición de pobreza no les permite adquirirlos”.)

600.000,00 Corresponde únicamente al monto de Equipamiento


28

9. Sistema de Información para el apoyo a la toma de decisiones y la gestión institucional. (Incluye el desarrollo del “Sistema de información para el apoyo a la toma de decisiones y la gestión institucional” además de inversiones en los sistemas de información institucionales y bases de datos: Sistema de Administración de Estudiantes (SAE), Sistema Financiero Contable (SFC), Sistema de Gestión y Desarrollo del Personal (SGDP) y del Sistema Web.

2.599.500,00 Corresponde al monto para desarrollo del Sistema para la toma de decisiones y la mejora a las bases de datos de los sistemas actuales.

Totales 11.556.950,11

Fuente: Plan de Mejoramiento Institucional, páginas 36, 42, 43, 77


29


Valoración de las observaciones al borrador de informe de Auditoría de Carácter especial sobre la gestión de las Tecnologías en la Universidad Estatal a Distancia.

Nro. Párrafos 1.4 y 1.13

Observaciones Administración

Indica la UNED, respecto a la información del Plan de Mejoramiento Institucional, que es importante mencionar que las iniciativas que tienen componente tecnológico son la 1, 2, 3, 4, 5, 7, 8 y 9. Además, mediante nota R 138.2015, remiten las tablas 1 y 2, donde se aclara la inversión en tecnología en la iniciativa 1. Monto que difiere a lo indicado en el anexo 2 del mencionado borrador. La diferencia radica en que la inversión total en equipamiento incluye mobiliario y laboratorios de ciencias.

¿Se acoge? Sí

No

Parcial

Argumentos CGR

Tal y como se indicó en la fuente del Anexo Nº 2 del Borrador del Informe, la información se tomó, entre otras de la página 77 del documento del Plan de Mejoramiento Institucional (PMI), donde aparecen los montos globales de inversión en Infraestructura, Desarrollo, Equipamiento y Formación, dado que no se poseía un detalle más preciso de estas inversiones para cada una de las iniciativas. Ahora bien, dada la aclaración realizada por esa Administración, en torno a este particular, se acepta la observación, por lo que se modifica y precisa el monto de la inversión en tecnologías en la iniciativa Nº 1, de $8.978.200,00 a $6.236.450,11 a mostrar en el Anexo Nº 2 del informe definitivo. Y se hace el ajuste pertinente en los párrafos 1.4 y 1.13, de la versión definitiva de la presente auditoría.

Nro. Párrafos 2.15, 2.17, 2.19 y 3.3


Comentan que los diferentes párrafos de resultados mencionados y la conclusión 3.3 plantean que el PMI no es producto de una planificación y organización del ambiente tecnológico institucional y que existe un riesgo en la ejecución y logro de sus objetivos. Se argumenta que se respeta la opinión de la Contraloría, pero que es conveniente aclarar y profundizar en el proceso de planificación del Plan de Mejoramiento Institucional. La vinculación con los ejes estratégicos del Plan de Desarrollo Institucional es visible, así como su apoyo a una estrategia de fortalecimiento inteligente y sostenido a las TI en su modelo educativo, que permita modernizar tecnológicamente los procesos administrativos y académicos y responder a las necesidades y requerimientos de la comunidad universitaria y del país, de manera oportuna y pertinente, de acuerdo a los sistemas más modernos de enlace y acceso a redes. Asimismo, indican que cada una de las iniciativas del PMI tiene un responsable, nombrado mediante

resolución de Rectoría y ratificado por el Consejo de Rectoría; a su vez la Dirección de Tecnologías,

Información y Comunicación asignó a un responsable técnico que apoya, en materia de TI, a cada

iniciativa del PMI. Esta disposición ha fortalecido, desde su inicio, a todos los proyectos del AMI, y

será oficializada en el corto plazo, atendiendo la disposición planteada por medio del borrador

analizado, asegurando que entre sus funciones se incluya velar por el cumplimiento de las Normas


30

Técnicas de Tecnologías de Información. Además de la aplicación de herramientas para la verificación

de la implementación de las Normas.

¿Se acoge? Sí

No

Parcial

Argumentos CGR

Los comentarios de los párrafos 2.15, 2.17, 2.19 y 3.3 fueron generados debido a que producto de la auditoría realizada no se obtuvo evidencia de la vinculación entre las iniciativas del PMI con componentes tecnológicos y sus cimientos en las normas técnicas y el Plan Estratégico de Tecnología de Información (PETIC), ya que a la fecha de elaboración del PMI, el PETIC no se había elaborado. Así las cosas, según las normas técnicas de TI, el PETIC, es un elemento clave para establecer una base sólida y una administración óptima de las tecnologías, así como de los proyectos de TI, y la implementación de Proyectos de TI, su ausencia genera un riesgo de que el componente tecnológico no logre sus objetivos en términos de calidad, tiempo y costo estimados. Asimismo, las estrategias contenidas en un Plan Estratégico Institucional, distan de las estrategias que deben estar contenidas en el Plan Estratégico de Tecnologías de Información, debido a que estas últimas se constituyen en la operativización técnica de los ejes y estrategias institucionales, razón por la que no resulta lo mismo vincular una iniciativa con los ejes estratégicos institucionales que con una estrategia del PETIC, relacionada con la operativización de la misma No obstante, lo anterior, lleva parcialmente razón esa Administración respecto de que el PMI presenta una vinculación entre los ejes estratégicos y las iniciativas, según se establece en la página 23 del documento que lo sustenta, y que la UNED realizó esa vinculación entre los ejes estratégicos de calidad, cobertura, innovación y gestión y las nueve iniciativas contenidas en dicho PMI, aunque la misma está hecha de forma general. Dado lo anterior, se acoge parcialmente la observación realizada por esa Administración, sobre este particular, de forma tal que en la versión final de la presente auditoría, se ajustan los párrafos 2.15, 2.17 y 2.19.

Nro. Párrafos 4.4


Se solicita modificar la fecha de cumplimiento de esta disposición, ya que para la ejecución de la misma se requiere el desarrollo de la disposición 4.6, la cual tiene como fecha de ejecución el 30 de junio del 2016. Se propone el 30 de septiembre del 2016 para cumplir con la disposición.

¿Se acoge? Sí

No

Parcial

Argumentos CGR

Se acepta la observación y por ende, la fecha propuesta por esa Administración. De forma tal que, dentro de la versión final de la presente auditoria, se modifica el plazo de cumplimiento de la presente disposición al 30 de setiembre de 2016.

Nro. Párrafos 4.9


Indican que para el cumplimiento de esta disposición se requiere el cumplimiento de la disposición 4.8, la cual tiene definida como fecha de ejecución el 30 de noviembre de 2015. Por lo tanto, solicitan cambiar la fecha de aprobación de la estrategia para el 30 de marzo del 2016 y que a partir de esta fecha se establezcan 18 meses para la implementación de la misma. Adicionalmente, se propone presentar informes cuatrimestrales sobre su avance.


31

¿Se acoge? Sí

No

Parcial

Argumentos CGR

Se acepta la observación y se traslada el plazo para presentar la aprobación de la estrategia al 30 de marzo de 2016, en línea con el desarrollo de la disposición 4.8. Por su parte, en cuanto al documento con los resultados de la implementación de la estrategia al 30 de setiembre de 2017 (18 meses), con la presentación de 4 informes cuatrimestrales sobre su avance. De forma tal que dicha disposición, se modifica en dentro de la versión final del presente informe.

Nro. Párrafos 4.12


En cuanto a la disposición 4.12 se solicita establecer un mes para determinar los errores de las bases de datos del Sistema de Administración de Estudiantes y el Sistema de Asignación de Tiempos y elaborar un cronograma para realizar las correcciones respectivas. Se propone establecer que la fecha para presentar ante la Contraloría el detalle de los errores y el cronograma de ejecución será el 31 de julio, 2015. Lo anterior fundamentado en lo importante de determinar la cantidad de errores y el tiempo para su corrección.

¿Se acoge? Sí

No

Parcial

Argumentos CGR

Se acoge la observación y se modifica el plazo de la presente disposición, dada la importancia que posee para la institución determinar la cantidad de errores y el tiempo para su corrección. Se fija como fecha límite para determinar los errores de las bases de datos y la definición de actividades específicas para su corrección, al 31 de agosto de 2015. De forma tal que, la disposición de marras se modifica en lo pertinente en la versión final de la presente auditoría. Y se estaría incluyendo como fecha máxima para realizar las correcciones correspondientes, el 31 de diciembre de 2015.

Nro. Párrafos 4.13


Se comenta que esta disposición asigna su cumplimiento directamente al Director de la Dirección de Tecnología y Comunicaciones, sin embargo, el Consejo de Rectoría en el acuerdo CR.2015.100 del 11 de febrero de 2015, crea un grupo de trabajo para la elaboración del plan de contingencias, el cual es coordinado por la Vicerrectora de Investigación, por lo que se solicita asignar el cumplimiento de esta disposición a la Dra. Lizette Brenes Bonilla, Vicerrectora de Investigación, así como modificar el texto de la disposición 4.11 para que se consigne que quien remitirá el plan de continuidad de negocios a la CETIC para su aprobación, es la coordinadora del equipo de trabajo, a saber la Vicerrectora de Investigación.

¿Se acoge? Sí

No

Parcial

Argumentos CGR

Sobre este particular, resulta importante considerar que un Plan de Continuidad desde el punto de vista técnico, se diferencia sustantivamente de la “atención de contingencias relacionadas con las TIC”, las cuales se vinculan a interrupciones puntuales de los servicios en esta materia, en tanto un Plan de Continuidad además de incluir actividades a desarrollar en caso de desastre, analiza las vulnerabilidades y genera acciones mitigadoras para dichas vulnerabilidades, por lo tanto este Plan, no solo es un rehabilitador, sino que también desarrolla acciones preventivas con un mayor grado de


32

planificación. Así las cosas, a criterio de este Órgano Contralor, el grupo de trabajo designado por el Consejo de Rectoría el 9 de febrero de 2015 en sesión Nº 1847-2015, artículo III, inciso 2), se conforma con el fin específico de “atender contingencias relacionadas con las TIC” y no para elaborar un Plan de Continuidad en los términos aquí indicados. De forma tal que, esta Contraloría General mantiene la presente disposición en los términos originalmente planteados.


33


Estado de Requerimientos Según año de solicitud

Período 2012-2015

Año de Solicitud Estado Cantidad de Requerimientos

2012 Desarrollo 5

Por Asignar 4

2013

Sin Datos 1

Abierto 12

Asignado a Friedrick 1

Desarrollo 9

Por Asignar 3

Pruebas 1

2014

Abierto 15

Desarrollo 26

Pase a producción 1

Pendiente 1

Por Asignar 25

2015

Abierto 16

Desarrollo 6

Pendiente 1

Por Asignar 14

Pruebas 1

Total 142 Fuente: Dirección de Tecnologías de Información y Comunicación. UNED.


34

ANEXO N.° 5 Universidad Estatal a Distancia Características de los Sistemas

Año 2015

Siglas Nombre del Sistema Lenguaje de

programación de Creación

Motor de base de datos que utiliza

SAE

Sistema Administración de Estudiantes

SNAP DB2

SAIE

Sistema de Apelaciones de Instrumentos de Evaluación

VB6.0 SQL Server DB2

SARCIE

Sistema de Administración, Reproducción y Control de Instrumentos de Evaluación

.NET SQL Server DB2

SAT

Sistema Asignación de Tiempos

.NET SQL Server DB2

SATF

Sistema de Administración de Títulos y Folios

.NET SQL Server DB2

SB

Sistema de Becas


SFC

Sistema Financiero Contable

SNAP DB2

SISGRA

Sistema de Graduaciones


MOODLE Sistema de Cursos Virtuales

PHP MySQL

SGDP Sistema de Gestión de Desarrollo Personal

VB6.0 .NET

Oracle

Fuente: Información suministrada por la Dirección de Tecnologías de Información y Comunicación UNED.


35


Sistema de Administración de Estudiantes Inconsistencias en los registros de los estudiantes

Año 2015

Sistema Inconsistencia Cantidad

de Registros

SAE Año de ingreso del estudiante 4.126

SAE Con cédula registrada pero nombre en blanco

10

SAE Con género en blanco 3.687

SAE En el Estado Civil 1.386

SAE En la nacionalidad 106

Total 9.315

Fuente: Base de datos del SAE, proporcionada por la DTIC en oficio DTIC-2015-033

Date post:	16-Oct-2020
Category:	Documents
Upload:	others
View:	6 times
Download:	0 times

INFORME N° DFOE-SOC-IF-08-2015 15 de julio, 2015 ......La Universidad Estatal a Distancia (UNED)...

Documents