1. No category

Curso Modular sobre
CONTROL INTERNO
Módulo 5
SISTEMAS DE INFORMACION
Anexo:
Contexto de la Normas
Técnicas de Control Interno
para la Gestión y el Control de
las Tecnologías de Información
S
SIIS
ST
TE
EM
MA
AS
SD
DE
E IIN
NF
FO
OR
RM
MA
AC
CIIÓ
ÓN
N
C
CO
ON
NT
TE
EN
NIID
DO
O
1. Normas relacionadas con los
sistemas de información
2. Contexto Actual del entorno de
tecnologías de información
3. Elaboración de las normas
Sistema de Información
1. Normas relacionadas con los sistemas de
información
Introducción a las “Normas técnicas para la gestión y el control de las
tecnologías de información”
Las tecnologías de información (TI) constituyen uno de los principales
instrumentos que apoyan la gestión de las organizaciones mediante:
-
el manejo de grandes volúmenes de datos necesarios para la toma
de decisiones
-
y la implementación de soluciones para la prestación de servicios
ágiles y de gran alcance.
Su uso ha implicado, al menos, tres situaciones relevantes:
1. la dedicación de porciones importantes del presupuesto de las
organizaciones, con el costo de oportunidad que ello conlleva,
principalmente
en
organizaciones
con
recursos
limitados
y
actividades sustantivas esenciales para la sociedad
2. un marco jurídico cambiante tendente a buscar su paralelismo con
las nuevas relaciones que se dan a raíz del uso de esas TI
3. y una presión importante de proveedores y consumidores por la
implementación de más y mejores servicios apoyados en estas
tecnologías.
Dado el impacto de dichas situaciones, las TI deben gestionarse dentro de
un marco de control que procure el logro de los objetivos que se pretende con
3
Sistema de Información
ellas y que dichos objetivos estén debidamente alineados con la estrategia de la
organización.
Con el propósito de coadyuvar con ese marco de control y procurar una
mejor gestión de dichas tecnologías por parte de las organizaciones, esta
Contraloría General sustituye el “Manual sobre normas técnicas de control interno
relativas a los sistemas de información automatizados”, mediante la promulgación
de las presentes “Normas técnicas para la gestión y el control de las tecnologías
de información”, que se constituyen en una normativa más ajustada a la realidad y
necesidad de nuestro ámbito tecnológico actual.
En razón de que dicha normativa establece criterios de control que deben
ser observados como parte de la gestión institucional de las TI, el jerarca y los
titulares subordinados, como responsables de esa gestión, deben establecer,
mantener, evaluar y perfeccionar ese marco de control de conformidad con lo
establecido en la Ley General de Control Interno Nro. 8292. Asimismo, la Función
de TI debe contribuir con ello cumpliendo con dicho marco de control y facilitando
la labor estratégica del jerarca.
Esta normativa es de acatamiento obligatorio para la Contraloría General
de la República y las instituciones y órganos sujetos a su fiscalización, y su
inobservancia generará las responsabilidades que correspondan de conformidad
con el marco jurídico que resulte aplicable.
PREGUNTAS DE REPASO
¿Para qué sirven las “Normas técnicas para la gestión y el control de
las tecnologías de información”?
¿Cuáles son tres situaciones relevantes que afectan el uso de las TI
en el Sector Público?
¿Qué significa que las normas son “vinculantes”?
4
2. Contexto actual del entorno de tecnologías de
información
Las referidas Normas poseen condiciones que definen su origen. Al
respecto, es importante comentar que hay 3 tendencias en el entorno de
tecnologías de información del sector público:
-Quienes
presionan por nuevos servicios
-Quienes
no saben de los servicios
-Quienes
están aprendiendo.
Del primero grupo, hay una fuerte influencia que se promueve mediante
múltiples publicaciones de prensa con justificaciones a veces razonadas y a
veces no (refiérase a la Tabla #1 en los anexos de este capítulo). Por lo
anterior, es necesario hacer una lectura crítica de todos estos comentarios
sobre todo en el contexto de que muchas organizaciones tienen presupuestos
limitados y para quienes invertir en TI representa enfrentar un costo de
oportunidad importante que podría implicar desatender, en alguna medida,
asuntos sustantivos.
Tal situación revela la importancia de hacer una inversión inteligente
que repare los beneficios esperados, y que dicha inversión necesariamente
debe hacerse incluso para minimizar costos y lograr mejores resultados. Esto
último representa una disyuntiva difícil de resolver si no se visualiza con
claridad los beneficios de las TI.
Sistema de Información
Además, hay un sector de la población que si bien escucha de las TI aún
mantiene alguna aversión hacia ellas.
Otros saben que están pero no las
pueden utilizar pues no están a su alcance, por desconocimiento o por falta de
recursos, o bien, por desconfianza, o quizás porque los servicios que esperan
no están disponibles.
Lo cierto es que el grupo que desconoce su existencia disminuye, lo cual
sería de esperar, pues se vislumbran nuevos y mejores servicios (por ejemplo,
las recientes iniciativas de Gobierno Digital).
Por ejemplo, el sector educativo costarricense hace un buen esfuerzo y
la juventud actual conoce y opera las TI con gran naturalidad lo que los
convertirá en segmento del mercado laboral futuro que demandará, con gran
fuerza, servicios automatizados en todos los ámbitos.
Para quienes estamos hoy en ese mercado laboral dicha situación será
de cuidado pues un desplazamiento laboral tiene alto riesgo.
Además, esa presión provocará cada vez mayores desarrollos y una
mayor cantidad de información disponible en medios automatizados. A la vez,
existirán nuevas herramientas, procedimientos o mecanismos para realizar los
trabajos. Por lo comentado, es necesario tomar las previsiones del caso y
prepararse para esa situación.
Por otro lado, los diversos tipos de usuarios conocen, dominan y
demandan nuevos servicios apoyados en TI, los cuales son diseñados,
construidos y habilitados por las instituciones gubernamentales para el servicio
de los ciudadanos y habitantes del país. Costa Rica, por sus condiciones, es un
país con una buena fuente de opciones para desarrollar las TI.
6
Sistema de Información
Sin duda se contará una buena cantidad de opciones y proveedores en
la oferta de servicios, no sólo de desarrollo o implementación de soluciones,
sino también para su mantenimiento y operación.
Es de esperar que los servicios de outsourcing cobren gran relevancia,
por lo que asuntos tales como el seguimiento a los contratos, a los servicios
prestados por terceros, y la seguridad de la información en esos contextos, se
conviertan en temas de evaluación cotidianos.
A lo largo de los pasados 10 años, la Contraloría General de la República
ha identificado una clara e inadecuada gestión de las TI, la cual se refleja en
proyectos caros, lentos y fallidos, y en una prestación ineficiente e ineficaz de
servicios públicos apoyados en TI, muchas veces inseguros y con baja calidad
de información. También, se ha observado sistemas desintegrados que dan
lugar a duplicidad de esfuerzos y contradicciones y redundancias de
información, en vez de facilitar las cosas más bien encarecen los servicios.
También, una cantidad de inversiones que no solo representan un gasto
público importante sino también un costo de oportunidad incurrido muy serio
pues se deja de atender requerimientos esenciales de la población. Es
indiscutible e incuestionable que la gestión no ha sido la mejor.
Hay una variedad de causas que originan situaciones disfuncionales
como las citadas anteriormente. Lo importante es identificar las causas, en el
marco de una adecuada gestión de riesgos, pues, corrigiéndolas, es la forma
en que se puede minimizar la recurrencia de dichas situaciones y potenciar las
oportunidades que brinda la tecnología.
7
Sistema de Información
Se puede intentar resumir identificar algunos de los factores de riesgos,
a partir de estudios realizados por la Contraloría General de la República:
–Planificación insuficiente y de alcance inadecuado
–Competencias insuficientes y la migración de profesionales, los salarios y
tipos de plazas, el papel del Servicio Civil, las restricciones que establece la
Autoridad Presupuestaria, y una estrategia para retener al personal
después de desarrollar sus competencias, son algunas consideraciones para
resolver.
– Contratación:
• Requerimientos mal definidos
• Contraparte incompetente
• Control inadecuado de proyectos
– Falta de gestión de riesgos
–Falta de criterios de gestión de calidad
– Procedimientos y metodologías obsoletos o mal aplicados
– Marco jurídico incipiente en algunos temas de tecnologías de información.
No es conveniente culpar a TI de todos los problemas que ocurren en el
Sector Público. Puede resultar difícil evitar del todo las fallas, los errores y los
fraudes e irregularidades, pues tales disfuncionalidades están implícitas en
todo proceso. Sin embargo, por la naturaleza de dichas deficiencias, cuando se
trata de sistemas automatizados (en cuyos casos se magnifican) es que se
requiere especial atención en su gestión.
Por ejemplo cuando hay colusión, no hay control que la evite. Lo que si
se puede hacer es tratar de detectar su ocurrencia para procurar evitar
situaciones reiteradas y males mayores. Por ejemplo:
8
Sistema de Información
Los proyectos fallidos no son excusa para continuar evolucionando los
servicios institucionales apoyados por TI. Para esos casos, las organizaciones
deberán implementar estrategias de automatización acertadas, en un contexto
seguro y controlado.
Por otro lado, el Estado invierte cada vez más en TI, con proyectos y
nuevos servicios. Dichos servicios deberán ser lo suficientemente sencillos e
intuitivos para minimizar ese efecto. Veamos ejemplos:
9
Sistema de Información
Otros ejemplos incluyen las iniciativas de gobierno digital y el
incremento de los servicios de los bancos del Estado por medio de Internet.
Queda claro que nuestras instituciones no pueden seguir visualizando
sus sistemas únicamente dentro de sus propias fronteras. Los sistemas
tendrán
que
integrarse
a
muchos
otros
sistemas
de
fuera
de
esas
instituciones. De ahí la importancia de la convergencia y la estandarización. De
lo contrario, puede darse un incremento en el gasto público al tener que
invertir recursos adicionales en la implementación de soluciones que logren la
conectividad, compatibilidad e integración entre múltiples sistemas, y los
riesgos de redundancia y desintegración seguirían vigentes, con mayores
costos, procesos ineficientes y una cantidad importante de errores.
Al respecto, la inversión en TI es creciente. El Sistema de Actividad
Contractual (SIAC) de la Contraloría General de la República puede brindar
información sobre cifras muy interesantes, que habilitan nuevas reservas
presupuestarias. La incremental inversión se refleja en los presupuestos
institucionales. Al hacer un recorrido por dicha información se puede observar
con facilidad las importantes partidas reservadas para este tipo de recursos y
servicios. Para acceder al SIAC, pulse en la imagen siguiente:
PREGUNTAS DE REPASO
¿Quiénes presionan por mejores servicios apoyados por TI en el
Sector Público?
¿Por qué fallan las iniciativas de tecnologías de información en las
instituciones públicas?
¿Por qué hay que fiscalizar y dar mejor gestión a las tecnologías de
información del Sector Público?
10
Sistema de Información
3.
Elaboración de las normas
La Contraloría General de la República ha previsto una estrategia para
fiscalizar el entorno de tecnologías de información del Sector Público, que
considera:
•
Establecimiento de un marco normativo, de conformidad con las
sanas prácticas de aceptación general, que tiendan a garantizar una
gestión eficiente y eficaz de los recursos asignados a la gestión de las
TI.
•
Incremento del conocimiento que tienen las unidades administrativas,
las auditorías internas, las jefaturas, los altos niveles de mando y las
unidades informáticas, relacionadas con la gestión y control de las TI.
•
Mejora en la capacidad de fiscalización con que cuenta la Contraloría
para evaluar periódicamente la gestión de las entidades públicas
respecto del uso de recursos destinados a TI y promover un crecimiento
sostenido de dicha capacidad.
•
Mayor disposición de herramientas de trabajo para lograr un
mejoramiento continuo en el cometido de sus funciones y el máximo
aprovechamiento de sus recursos.
11
En resumen:
La mejora que se busca en la gestión de las TI no es un fin único ni un
fin en si mismo.
Lo que se espera es un resultado de mayor alcance
relacionado con la reducción de la brecha tecnológica en nuestra sociedad y el
aprovechamiento de esas TI para brindar más y mejores servicios públicos a la
ciudadanía.
Asimismo, será necesario un esfuerzo importante para incrementar las
competencias que en esta materia requieren las autoridades institucionales
responsables de la definición de la orientación tecnológica y de los niveles de
mando intermedios en relación con el desarrollo en un ámbito seguro y
controlado. Es necesario un proceso de desarrollo de capacidad.
Por otra parte, es requerido un esfuerzo importante de las auditorías
internas para reforzar sus competencias y realizar las evaluaciones no sólo en
forma
automatizada
sino
aprovechando
lo
procesos
automatizados
institucionales.
El objetivo de este esfuerzo es:
Coadyuvar al uso óptimo de los recursos invertidos en TI de acuerdo con una
orientación clara que procure el desarrollo nacional y la reducción de la brecha
tecnológica, por medio de un marco de control que guíe esa gestión y desarrollando
las competencias internas y externas necesarias para promover una fiscalización
suficiente y oportuna sobre ese uso.
Sistema de Información
Tres variables para justificar la fiscalización de la CGR son:
•
La importancia de las tecnologías de información en los
procesos y presupuestos institucionales.
•
El surgimiento de nuevos marcos jurídicos asociados con esas
mismas tecnologías.
•
Las
políticas
de
Estado
para
promover
el
desarrollo
tecnológico, para reducir la brecha digital e implementar el
“Gobierno Digital”.
El proceso de desarrollo de las “Normas Técnicas de Control Interno
para la gestión y el control de las Tecnologías de Información TI”
El proceso de desarrollo de las normas conllevó tiempo y análisis
profundo, que involucró el siguiente proceso de trabajo:
13
Sistema de Información
El estudio partió de las normas
publicadas en el año 1995 y analizó sus
antecedentes
para
determinar
su
aplicación en esta nueva propuesta, previa
determinación de lo que aplicaba y lo que
ya no estaba vigente.
El origen de las normas de 1995 tuvo como contexto los avances
tecnológicos y la inversión en proyectos de TI que alcanzaban niveles
importantes.
A su vez, el manejo de importantes volúmenes de datos
implicaban la necesidad de que los ambientes fueran seguros y controlados, se
procurara niveles razonables en cuanto a la calidad de la información y se
hiciera un uso eficiente y eficaz de los recursos.
Sin embargo, ese contexto fue cambiando rápidamente pues hubo
nuevos e importantes avances, se dio una explotación de los servicios en
Internet y con ello tomó fuerza la implementación de nuevos servicios como el
comercio electrónico y el intercambio de datos, y la implementación de
aplicaciones específicas pero de gran alcance como los promovidos por el
Banco Central y el Ministerio de Hacienda.
14
Sistema de Información
Paralelamente, nuevas normativas relacionadas con las TI surgieron en
procura de establecer controles o mecanismos para el establecimiento de
responsabilidades respecto del uso de esas TI.
Con respecto al marco jurídico se tiene, por ejemplo, normas específicas
tales como las establecidas en:
-
La Ley de Control Interno
-
La Ley de Administración Financiera (Art. 111)
-
La Ley General de Aduanas
-
Las reformas al Código Penal
-
Las reformas al Código Tributario
-
La
Ley
de
Certificados,
Firma
Digital
y
Documentos
Electrónicos.
-
Ley de Derechos de Autor y otras leyes que tratan asuntos
relacionados con prácticas tales como la piratería.
Los asuntos comentados, unidos a múltiples proyectos informáticos que
presentaron dificultades en su desarrollo, dieron una clara señal de la
necesidad de llevar a cabo acciones tendentes a resolver tal situación y lograr
mejoras significativas en la gestión de TI. Una de tales acciones es la
actualización de las normas sobre TI.
Ante esta situación la DFOE analizó dos posibilidades:
-
Adoptar un modelo existente por las eventuales ventajas que ello
podría tener.
-
Actualizar la normativa de 1995.
15
Sistema de Información
Para analizar la primera opción de adoptar un modelo se identificó una
serie de modelos los cuales fueron evaluados comparativamente considerando
una serie de variables.
-
VARIABLES
Costo
Estándar
Tipo de instrumento
Idioma
Aplicación en el sector público o en
el privado
Consultores nacionales
Curva de inducción
Software disponible
Utilizado en otras EFS
Los modelos más relevantes y más ajustados, según el criterio del
equipo de trabajo son los detallados abajo. Fueron comparados considerando
las variables anteriores para tener un mejor criterio para definir cuál podría
constituirse en una guía a ser adoptada por la CGR como estándar de gestión
y control.
Capability Maturity Model (SEI-CMM)
Malcolm Baldridge Quiality Award Business Criteria
ISO 9001
"World Class IT" y similar
Control Objectives For Information And Related Technology
(COBIT)
Federal Information System Controls Audit Manual
Systems Auditability And Control (SAC Report)
Modelo de Auditoría y Control de ACAI
Audit Guides, Auditing EDP (4 Módulos)
Auditing of Information Management and Technology
BS-7799, Habilitado en el formulario NAO 905 (V.10)
Information Technology Investment Management (ITIM)
IT Security Baseline Controls
Information System Security Review Methodology
Normas Internacionales de Auditoría
CICA Computer Control Guidelines
Computerized Information Systems Audit Manual (CIS)
ITIl It Management Practices Information Techonolgy
Infraestructure Library
Software Engineering Institute, Carnegie-Mellon University
National Institute for Standards and Technology
INTECO
KPMG
Information Systems Audit and Control Association (ISACA)
General Accounting Office (GAO)
Institute of Internal Auditors EEUU
Asociación Costarricense de Auditores en Informática (ACAI)
Office of the Auditor General OAG - CANADA
Office of the Auditor General OAG - CANADA
British Standard Institution National Audit Office (NAO)
General Accounting Office (GAO)
INTOSAI
INTOSAI
IFAC
CANADIAN INSTITUTE OF CHARTERED ACCOUNTANTS
The Information Systems Control Foundation --hoy: ISACA-Central Computer and Telecommunications Agency (CCTA)
De los modelos analizados, por sus condiciones o características, el
COBIT resultó ser la opción que mejor se adaptaba a las necesidades. Como
parte del análisis se realizó una consulta en el año 2001 a múltiples entidades
para que se manifestaran respecto de la factibilidad técnica y jurídica de su
adopción.
16
Sistema de Información
Al respecto, se obtuvo respuestas muy variadas, las cuales, junto con
un mayor análisis posterior, derivó en la conclusión de que no era factible
adoptar COBIT, principalmente por varias razones:
-No
todas las entidades estaban debidamente preparadas o en capacidad de
cumplir con la mayor parte del modelo, lo cual implicaba que la CGR permitiera
cumplimientos parciales y con ello debilitar el marco normativo.
-El
modelo requería, en su versión 2 de aquel entonces, la certificación de
algunos procesos, actividades o productos de la gestión de TI. Situación que
encarecía su cumplimiento sin que se visualizara un valor agregado importante.
Además, el mercado no ofrecía una cantidad razonable de proveedores
certificadores.
-El
modelo no estaba disponible en idioma español oficializado por la ISACA, su
ente emisor.
En virtud de lo comentado, se desestimó la posibilidad de adoptar un
modelo y se inició la tarea de emitir nuevas normas actualizadas. Tal ejercicio
implicaba tener claro lo que se debe normar - en este caso la gestión de las
TI- y por ende sus componentes, el funcionamiento de dichos componentes y
la interrelación de las TI con otras unidades de la organización.
17
Sistema de Información
Este diagrama fue utilizado como base para la definición de las normas
finalmente propuestas.
Después de un esfuerzo amplio de análisis y estudio, utilizando como
base
algunos
de
los
modelos
analizados,
principalmente
COBIT,
complementado con otros modelos o estándares específicos (CMM, BS- 7799 e
ISO17799 en seguridad, AS-NZ 4360y NIST en riesgos, ISO en calidad, PMBoK
en proyectos, entre otros) se planteó una propuesta de normas inicial que fue
sometida a un proceso riguroso de validación.
Dicha
validación
interna
y
interna
estuvo
proceso
ejecución
tuvo
externa.
de
de
dos
La
validación
constituida
capacitación
proyectos
partes:
por
un
con
la
piloto
de
fiscalización utilizando la normativa
propuesta, lo cual permitió obtener
una serie de resultados para mejora
Proceso de capacitación con proyectos piloto
Tribunal Supremo de Elecciones
Ministerio de Hacienda
Instituto Mixto de Ayuda Social IMAS
Municipalidad de San José
Caja Costarricense del Seguro Social CCSS
Universidad Estatal a Distancia
Compañía Nacional de Fuerza y Luz
de la gestión de TI. Al mismo tiempo,
permitió evaluar preliminarmente la
factibilidad de cumplimiento de las
normas, de lo cual se derivó que eran
viables.
Por su parte, la validación externa implicó la remisión de la propuesta a
personas tanto del ámbito público como privado, relacionados con la gestión
de las TI. Se incluyó a funcionarios tanto del área de tecnologías como de
auditoría interna, así como a consultores en la materia y gente de despachos
de auditoría. Como resultado se obtuvo un conjunto nutrido de sugerencias y
observaciones las cuales fueron analizadas una a una para derivar en una
propuesta ajustada.
La propuesta validada fue nuevamente discutida a lo interno de la
División de Fiscalización Operativa y Evaluativa (DFOE) de la Contraloría
18
Sistema de Información
General de la República y como producto se obtuvo un documento más
generalizado y resumido, con la pretensión de que resultara de mejor
comprensión.
Asimismo se procuró su ajuste o concordancia con el marco
jurídico aplicable.
El resultado es el documento de reciente publicación:
N-2-2007-CO-DFOE
PREGUNTAS DE REPASO
¿Cuáles son los componentes de la estrategia de la Contraloría
General de la República para fiscalizar la TI del Estado?
¿Por qué las Normas N-2-2007-CO-DFOE son las prácticas líderes y
vinculantes para la gestión control de la TI del Sector Público?
¿En qué circunstancias es posible recurrir a otros modelos de
mejores prácticas en TI?
¿Cuáles son algunos componentes del marco jurídico gubernamental
que están vinculados con la Normas N-2-2007-CO-DFOE?
19