informe nro. dfoe-saf-if-15-2016 31 de mayo de ......31 de mayo de 2016 divisiÓn de fiscalizaciÓn...

División de Fiscalización Operativa y Evaluativa Área de Fiscalización del Sistema de Administración Financiera de la República

Contraloría General de la República

T: (506) 2501-8000, F: (506) 2501-8100 C: [email protected]

http://www.cgr.go.cr/ Apdo. 1179-1000, San José, Costa Rica

INFORME NRO. DFOE-SAF-IF-15-2016 31 DE MAYO DE 2016

DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA

ÁREA DE FISCALIZACIÓN DEL SISTEMA DE ADMINISTRACIÓN FINANCIERA DE LA REPÚBLICA

INFORME DE AUDITORÍA DE CARÁCTER ESPECIAL SOBRE EL DESARROLLO Y OFICIALIZACIÓN DE UNA METODOLOGÍA PARA LA GESTIÓN DEL RIESGO, EN LA DIRECCIÓN DE TECNOLOGÍAS

DE INFORMACIÓN Y COMUNICACIÓN DEL MINISTERIO DE HACIENDA

2016





CONTENIDO

Página nro.

RESUMEN EJECUTIVO

1. INTRODUCCIÓN ................................................................................................1

ORIGEN DE LA AUDITORÍA .................................................................................................................. 1

OBJETIVO DE LA AUDITORÍA .............................................................................................................. 1

ALCANCE DE LA AUDITORÍA ................................................................................................................ 2

METODOLOGÍA APLICADA ................................................................................................................... 2

GENERALIDADES ACERCA DE LA AUDITORÍA .................................................................................. 2

COMUNICACIÓN PRELIMINAR DE LOS RESULTADOS DE LA AUDITORÍA ...................................... 3

2. RESULTADOS ....................................................................................................4

NO SE HA FINIQUITADO NI OFICIALIZADO UNA METODOLOGÍA PARA LA VALORACIÓN DE

RIESGOS EN LA DTIC .......................................................................................................................... 4

NECESIDAD DE FINIQUITAR LA ACTUALIZACIÓN Y OFICIALIZACIÓN DE LAS POLÍTICAS Y

PROCEDIMIENTOS DE LA UNIDAD DE ESTRATEGIA Y ADMINISTRACIÓN DE PROYECTOS DE

LA DTIC ................................................................................................................................................. 8

3. CONCLUSIONES ............................................................................................. 13

4. DISPOSICIONES .............................................................................................. 14

AL DOCTOR ALFREDO ABARCA ROJAS, EN SU CALIDAD DE DIRECTOR DE TECNOLOGÍAS

DE INFORMACIÓN Y COMUNICACIÓN, O A QUIEN EN SU LUGAR OCUPE EL CARGO. .............. 15

ANEXOS .................................................................................................................... 16

ANEXO 1: ESTADO ACTUAL DE PROCESOS PARA FORMULACIÓN DE POLÍTICAS (UETIC) .. 16

ANEXO 2: POLÍTICAS Y PROCEDIMIENTOS DE LA METODOLOGÍA DE ADMINISTRACIÓN DE

PROYECTOS DE TIC .......................................................................................................................... 21





INFORME Nro. DFOE-SAF-IF-15-2016

RESUMEN EJECUTIVO ¿Qué examinamos? En la Auditoría de Carácter Especial realizada en la Dirección de Tecnologías de Información y Comunicación del Ministerio de Hacienda, se analizó el estado del desarrollo y oficialización de una metodología para la gestión del riesgo, así como la actualización de políticas y procedimientos de dos importantes unidades de esa Dependencia, sean la Unidad de Estrategia (UETIC) y de Administración de proyectos (UAP) de la Dirección de Tecnologías de Información y Comunicación (DTIC). La auditoría abarcó los años 2014 y 2015, ampliándose en los casos que se consideró necesario. ¿Por qué es importante? Existen riesgos, naturales, técnicos o humanos que pueden afectar la operativa de los objetivos y procesos de la DTIC o el cumplimiento de importantes regulaciones en esta materia, por tanto, la gestión de riesgos permite contar con herramientas para administrar dichos riesgos y sus eventuales impactos positivos o negativos. La gestión integral de riesgos, además de constituir una exigencia en nuestro ordenamiento, contribuye al logro de los objetivos institucionales, la eficiencia de la gestión de TIC, la continuidad del negocio, el control interno y el cumplimiento regulatorio. Por otra parte, el Ministerio de Hacienda tiene objetivos estratégicos esenciales en materia hacendaria y de administración financiera de la República. De ahí que la gestión de riesgos para asegurar la continuidad del negocio y los procesos de mejora continua, así como la actualización oportuna de las políticas y procedimientos respecto de los procesos de trabajo, resultan fundamentales para el cumplimiento de los objetivos estratégicos de esa institución, los cuales tienen gran impacto en la operación y financiamiento del Gobierno. ¿Qué encontramos? En la auditoría realizada, se determinó que no se ha finiquitado ni oficializado aún una metodología para la gestión de riesgos de la DTIC. Se estableció que la Dirección de Tecnologías de Información y Comunicación, por medio de su Unidad de Normalización y Control Interno (UNCI), elaboró un borrador de propuesta metodológica general, que tiene como fin atender el tema de la gestión de riesgos operativos en la DTIC; sin embargo, aún se encuentra en proceso de revisión a lo interno del Ministerio de Hacienda.





Se observó también que el proceso de definición metodológica para la valoración y gestión integral de los riesgos, se viene desarrollándose desde hace varios años, y la actual administración ha retomado este esfuerzo; sin embargo, éste ha sido lento en el tiempo, y aún se encuentra en proceso, no obstante su importancia. La atención oportuna de esta situación, por parte de las autoridades del Ministerio de Hacienda y los jerarcas de la DTIC, reviste gran importancia, dado que una valoración sistematizada de los riesgos, basada en una metodología técnica, debidamente oficializada, contribuiría a una gestión integral de tales riesgos y a asegurar el logro de los objetivos institucionales, la eficiencia de la gestión de TIC y la continuidad del negocio, el control interno y el cumplimiento regulatorio. Por otra parte, se determinó que la Dirección de Tecnologías de Información y Comunicación, a partir de su reorganización en el 2013, cuenta con dos importantes unidades, a saber, Estrategia de TIC y Administración de Proyectos, las cuales tiene como objetivos: Velar por una adecuada estrategia de TIC, que garantice la utilización eficiente de los recursos humanos y financieros, facilite la gestión operativa e incentive a la modernización e innovación de las TIC; y Gestionar el portafolio de proyectos de TIC garantizando una adecuada gestión de cada uno de los proyectos del portafolio, por medio de un seguimiento oportuno y la aplicación de una metodología según las mejores prácticas, respectivamente. En relación con lo anterior, la Ley General de Control Interno, dispone que las entidades deben diseñar, adoptar, evaluar y perfeccionar, como parte del Sistema de Control Interno Institucional (SCI), las actividades de control pertinentes, las que comprenden las políticas, los procedimientos y los mecanismos que contribuyen a asegurar razonablemente la operación y el fortalecimiento del (SCI) y el logro de los objetivos institucionales. Al respecto, se observó que la DTIC se encuentra en un proceso de revisión, documentación, adecuación y actualización de sus políticas, procedimientos y plantillas para guiar y controlar el desarrollo de sus funciones y la administración de los recursos a su cargo, con el fin de adecuarlos a las nuevas funciones asignadas a la DTIC. No obstante el proceso para disponer de dichos documentos ha sido relativamente lento, y dichas unidades aún no habían finiquitado la actualización de sus políticas y procedimientos, alineados con los objetivos y funciones establecidos en proceso de reorganización del año 2013 y, debidamente aprobados por el nivel superior, aspecto que debe ser atendido a la brevedad por las autoridades de esa Dependencia.

¿Qué sigue? Se dispuso al Director de la Dirección de Tecnologías de Información y Comunicación (DTIC), finiquitar y oficializar la metodología para la gestión de los riesgos de tecnologías de información y comunicación del Ministerio de Hacienda que permita una administración apropiada de dichos riesgos por parte de la DTIC y de ese Ministerio. Además, finiquitar y oficializar la actualización de las políticas y procedimientos utilizados en los procesos desarrollados en las unidades de Estrategia de TIC y Administración de Proyectos de TIC de la Dirección de Tecnologías de Información y Comunicación.




INFORME Nro. DFOE-SAF-IF-15-2016 31 DE MAYO DE 2016

DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA

ÁREA DE FISCALIZACIÓN DEL SISTEMA DE ADMINISTRACIÓN FINANCIERA DE LA REPÚBLICA

BORRADOR DEL INFORME DE AUDITORÍA DE CARÁCTER ESPECIAL SOBRE EL DESARROLLO Y OFICIALIZACIÓN DE UNA

METODOLOGÍA PARA LA GESTIÓN DEL RIESGO, EN LA DIRECCIÓN DE TECNOLOGÍAS DE INFORMACIÓN Y

COMUNICACIÓN DEL MINISTERIO DE HACIENDA

1. INTRODUCCIÓN

ORIGEN DE LA AUDITORÍA

1.1. La Auditoría se realizó con fundamento en las competencias conferidas, a la Contraloría General, en los artículos 183 y 184 de la Constitución Política, 17, 21 y 37, de su Ley Orgánica N° 7428.

1.2. El Ministerio de Hacienda tiene objetivos estratégicos esenciales en materia hacendaria, tributaria y de administración financiera de la República. Como ente rector del Sistema de Administración Financiera, puede tener incidencia significativa sobre la gestión del resto de instituciones del Gobierno Central y del resto del Sector Público, por medio de los sistemas de información que promueva a través de la Dirección de Tecnologías de Información y Comunicación (DTIC).

1.3. Dado lo anterior, la gestión de riesgos para asegurar la continuidad del negocio y los procesos de mejora continua, resultan fundamentales para el cumplimiento de los objetivos estratégicos de esa institución, los cuales tienen gran impacto en la operación y financiamiento del Gobierno.

OBJETIVO DE LA AUDITORÍA

1.4. Establecer el estado del desarrollo y oficialización de una metodología para la gestión del riesgo en la Dirección de Tecnologías de Información y Comunicación del Ministerio de Hacienda.


2




ALCANCE DE LA AUDITORÍA

1.5. La auditoría comprendió la verificación del estado del desarrollo y oficialización de una metodología para la gestión del riesgo en la Dirección de Tecnologías de Información y Comunicación del Ministerio de Hacienda, así como complementariamente el estudio de algunos aspectos de control interno relacionados específicamente con la actualización de políticas y procedimientos de la Unidad de Estrategia (UETIC) y de Administración de proyectos (UAP) de esa Dirección.

1.6. La auditoría abarcó el periodo comprendido entre el 1 de enero de 2014 y el 30 de setiembre de 2015, ampliándose en los casos que se consideró necesario.

METODOLOGÍA APLICADA

1.7. El estudio se realizó de acuerdo con el Manual de Normas generales de auditoría para el Sector Público (NGASP).

1.8. Además, se consideraron en lo pertinente, las disposiciones de la Ley General de Control Interno, las Normas técnicas para la gestión y el control de las tecnologías de información N° N-2-2007-CO-DFOE, las Directrices generales para el establecimiento y funcionamiento del Sistema Específico de Valoración de Riesgo Institucional (SEVRI) y, el Decreto Ejecutivo N° 37859-H relativo a la Estructura Organizacional de la Dirección de Tecnologías de Información y Comunicación.

GENERALIDADES ACERCA DE LA AUDITORÍA

1.9. La Dirección General de Tecnologías de Información y Comunicación tiene su fundamento en el Decreto Ejecutivo N° 37859-H del 02 de setiembre del 2013. Su misión es la de administrar la plataforma de servicios tecnológicos del Ministerio de Hacienda, a fin de coadyuvar en forma eficiente y eficaz a los procesos de la Institución. Su visión consiste en ser el proveedor de tecnología de información y comunicación, mediante la gestión oportuna de servicios al Ministerio de Hacienda. Tiene como objetivo coordinar y asegurar el cumplimiento de las actividades de la gestión de Tecnologías de Información y Comunicación, que permitan el alineamiento con los objetivos estratégicos del Ministerio y sus funciones operativas.

1.10. Para el cumplimiento de su objetivo, la DTIC está conformada actualmente por: la Dirección y Subdirección; el Departamento de Infraestructura de TIC; el Departamento de Sistemas de Información; el Departamento de Servicios


3




de TIC; el Departamento de Control y Aseguramiento de TIC; la Unidad de Estrategia de TIC y la Unidad de Administración de Proyectos de TIC.

1.11. La DTIC tuvo en 2013 una reorganización de todos sus procesos de trabajo, con el objetivo de mejorar los servicios tecnológicos de información y comunicación que da al Ministerio de Hacienda. Dicha reorganización se efectuó en razón de que ese Ministerio consideró oportuna la existencia de una estandarización y unificación de los servicios informáticos que se brindan en esa cartera. Además, dado el rol del Ministerio de Hacienda, como órgano responsable de establecer y ejecutar la Política Hacendaria, se consideró importante la centralización de las diferentes dependencias informáticas, con el fin de realizar la normalización e implementación de los procesos, políticas y procedimientos de TIC definidos, optimizar los recursos informáticos y humanos de cada una de las dependencias, optimizar los recursos financieros por medio de economías de escala, realizar y dar seguimiento a un único plan estratégico de TIC alineado con el plan estratégico del Ministerio, asegurar un único canal para la gestión de los servicios de TIC, contar con una arquitectura de información centralizada y, fortalecer la función de ente rector en materia de TIC´s del Ministerio de Hacienda.

1.12. Indica además la DTIC1 que el proceso de centralización ha conllevado no solo el levantamiento de procesos sino actividades como: valoración de estándares existentes en las áreas TIC que fueron integradas, madurez en la implementación de los procesos, sensibilización y especialización del personal en temas como: Cobit, ITIL, Proyectos, Seguridad de la información, Planificación Estratégica, entre otros.

COMUNICACIÓN PRELIMINAR DE LOS RESULTADOS DE LA AUDITORÍA

1.13. La comunicación preliminar de los principales resultados, conclusiones y disposiciones producto del estudio a que alude el presente informe, se efectuó el 18 de mayo de 2016 en la Dirección de Tecnologías de Información y Comunicación y estuvieron presentes los siguientes funcionarios: Alfredo Abarca Rojas, Director de la Dirección de Tecnologías de información y Comunicación (DTIC); María Isabel Vargas Zúñiga, Subdirectora de la DTIC; Manuel Ramos Campos, Director Proyectos Estratégicos; Juan de Dios Araya Navarro, Director General de Auditoría

1 Oficio N°DTIC-458-2016 del 26 de mayo de 2016.


4




Interna y Guillermo Badilla Martínez, Supervisor de Auditoría de Servicios Corporativos.

1.14. El borrador del presente informe se entregó en versión digital, mediante oficio N° DFOE-SAF-0254 (6364), del 19 de mayo de 2016, dirigido al Doctor Alfredo Abarca Rojas, Director de la Dirección de Tecnologías de Información y Comunicación (DTIC), del Ministerio de Hacienda, con el propósito de que en un plazo no mayor de cinco días hábiles, formulara y remitiera a la Gerencia del Área de Fiscalización del Sistema de Administración Financiera de la República, las observaciones que considerara pertinentes sobre su contenido.

1.15. Al respecto, mediante oficio N° DTIC-458-2016 del 26 de mayo de 2016, la Dirección de la DTIC indicó que no tenía observaciones al Borrador del Informe, solo algunas observaciones generales que se incluyen en el presente informe.

2. RESULTADOS

NO SE HA FINIQUITADO NI OFICIALIZADO UNA METODOLOGÍA PARA LA

VALORACIÓN DE RIESGOS EN LA DTIC

2.1. La gestión de riesgos orienta a la organización a entender las amenazas a las que están expuestos los activos de información que soportan sus actividades, las vulnerabilidades de cada activo y el impacto que surgiría si una amenaza se materializa. Existen riesgos, naturales, técnicos o humanos que pueden afectar la operativa rutinaria de los procesos de la DTIC o el cumplimiento de regulaciones. La gestión de riesgos permite contar con herramientas que promueven aumentar la probabilidad y el impacto de eventos positivos y disminuir la probabilidad y el impacto de eventos negativos.

2.2. Gestionar los riesgos surge de la necesidad de asegurar la continuidad del negocio de los procesos tecnológicos que ejecuta la DTIC. En el entorno existen riesgos tanto internos como externos, que pueden interrumpir los procesos. Por lo tanto, estos riesgos deben ser detectados, identificados y analizados, con el fin de establecer controles, ya sean preventivos, detectivos o correctivos, de manera que se asegure su correcta operación y contribución a los objetivos institucionales.

2.3. La valoración del riesgo, también llamada “Gestión del riesgo”, según el inciso f) del artículo 2 de la Ley General de Control Interno N° 8292,


5




comprende “La identificación y análisis de los riesgos que enfrenta una institución, tanto de fuentes internas como externas, relevantes para la consecución de los “Objetivos”. Con el fin de realizar una gestión de riesgos alineada con la realidad institucional, se debe entender los factores2 internos y externos que pueden afectar el logro de los objetivos institucionales, la eficiencia de la gestión de TIC y la continuidad del negocio, el control interno y el cumplimiento regulatorio.

2.4. Este trabajo de gestión de riesgos, se desarrolla en el marco del Sistema Específico de Valoración de Riesgo Institucional, que está dispuesto en la Ley General de Control Interno, las “Normas de control interno para el Sector Público”, y en las Directrices Generales para el establecimiento y funcionamiento del Sistema Específico de Valoración de Riesgo Institucional, que debe estar definido por áreas, sectores, actividades o tareas3, cuya rectoría está a cargo de las autoridades del Ministerio y de la Dirección de Planificación Institucional.

2.5. En este sentido, las “Orientaciones generales para el funcionamiento del SEVRI en el Ministerio de Hacienda”, señalan en el punto 3, Política Institucional, inciso 3, que la valoración del riesgo se realizará considerando como base las actividades estratégicas y los procesos críticos, así como los procedimientos de las diferentes direcciones y unidades administrativas de la institución. Para ello deberán formalizarse y mantenerse debidamente actualizados los procedimientos de las diferentes dependencias.

2.6. No obstante lo anterior, en la auditoría realizada por la Contraloría General, se determinó que no se ha finiquitado ni oficializado aún una metodología para la gestión de riesgos de la DTIC.

2.7. Al respecto, se estableció que actualmente la DTIC ha estado trabajando en la normalización y formalización de los procesos TIC basados en las normas Cobit,4 incluyendo la normalización del proceso de “Gestión de

2 A nivel de la DTIC los departamentos correspondientes, deben considerar una serie de factores al

planificar las actividades, entre los factores más importantes se tiene los siguientes: Gobierno corporativo y de TIC, Cultura organizacional, Recursos disponibles, Relaciones con servicios contratados, Interesados internos y externos, Marco Jurídico y Tendencias tecnológicas. 3 D-3-2015- CO-DFOE. 2 Aspectos generales del Sistema Específico de Valoración del Riesgo

Institucional. 2.1 Ámbito de aplicación. 4 Objetivos de Control para Información y Tecnologías Relacionadas (COBIT, en inglés: Control

Objectives for Information and Related Technology) es una guía de mejores prácticas presentado como marco de referencia, dirigida al control y supervisión de tecnología de la información (TI). Mantenido por ISACA (en inglés: Information Systems Audit and Control Association) y el IT GI (en inglés: IT Governance Institute), tiene una serie de recursos que pueden servir de modelo de

https://es.wikipedia.org/wiki/ISACA

https://es.wikipedia.org/w/index.php?title=IT_Governance_Institute&action=edit&redlink=1


6




Riesgos de TIC”, que no solo abarca los riesgos operativos, sino también la gestión de los riesgos asociados a la seguridad de la información, continuidad del negocio y la integración con los riesgos de proyectos, el cual debe ir alineado con lo definido a nivel del Ministerio en relación al SEVRI.

2.8. Se observó que la DTIC por medio de la Unidad de Normalización y Control Interno (UNCI) elaboró un borrador de propuesta metodológica de valoración de riesgos enfocada a los riesgos operativos con un enfoque tecnológico, denominada “Metodología Gestión de Riesgos Operativos TIC” (julio, 2015). Esta propuesta es una combinación entre lo planteado por una firma consultora en el año 2010 y la metodología empleada por la DTIC denominada “Orientaciones generales para el funcionamiento del SEVRI en el Ministerio de Hacienda”, (junio 2008).5

2.9. En términos generales, dicho borrador de metodología comprende como objetivo “Gestionar el proceso de riesgos para contribuir al cumplimiento de la misión y objetivos institucionales del Ministerio a lo interno de la DTIC, como soporte al negocio.” Además, en su alcance esta metodología es aplicable a todos los procesos gestionados en la DTIC y se alinea a la Metodología Integral para la Gestión del Riesgo Tecnológico a excepción de Gestión de la seguridad de la información, Gestión de la continuidad de negocio y la contingencia tecnológica y, la Gestión de proyectos de TIC.

2.10. Además, se compone de 4 fases, a saber:

Fase I – Planificación: La fase de planificación está compuesta por las actividades que incluyen comprender el contexto, determinar el alcance, solicitar el patrocinio de la dirección, documentar el plan detallado de trabajo, confirmar los criterios de análisis de riesgos y deberán ser lideradas por la Unidad de Normalización y Control Interno de TIC, con apoyo de todos los departamentos y unidades de la DTIC.

Fase II – Desarrollo: La fase de desarrollo está compuesta por las actividades de identificación de riesgos, análisis de riesgos, evaluación de riesgos, y tratamiento de riesgos. Estas tareas deberán ser ejecutadas por las dependencias de TIC dentro del alcance, con el apoyo de la Unidad de Normalización y Control Interno de TIC.

referencia para la gestión de TI, incluyendo un resumen ejecutivo, un marco de referencia, objetivos de control, mapas de auditoría, herramientas para su implementación y principalmente, una guía de técnicas de gestión. 5 Oficio N° DTIC-1035-2015, del 10 de noviembre de 2015, del Director de la DTIC.


7




Fase III – Documentación: Toda la información recopilada debe estar debidamente documentada, para elaborar un Informe de gestión de riesgos operativos de TIC que deberá ser presentado a la Unidad de Control Interno para su debida valoración y aprobación formal.

Fase IV - Seguimiento y revisión: El seguimiento y revisión de los resultados del Proceso de Gestión de Riesgos permite a la institución conocer en qué estado se encuentra la implementación de las acciones de tratamiento y, comprende la evaluación de la efectividad de las estrategias y controles definidos. Los diferentes dueños de procesos de TIC, con apoyo de la Unidad de Normalización y Control Interno, deberán llevar un control estricto de las actividades de implementación que se lleven a cabo, considerando el estado de avance en la implementación del plan, en términos del cumplimiento de fechas programadas, la participación del personal involucrado y el aprovechamiento de los recursos humanos, técnicos y financieros asignados. Los resultados deberán ser reportados periódicamente y analizados permitiendo responder proactivamente ante desviaciones, además deberá contar con la aprobación de la dirección de la DTIC en caso de que se requiera replantear el Plan de tratamiento de riesgos definido originalmente.

2.11. Esta propuesta metodológica tiene como fin atender el tema de la valoración de riesgos en la DTIC; sin embargo, la Dirección de la DTIC señaló que se han realizado varias observaciones al documento, el cual aún no está en versión para su formalización.

2.12. Si bien la DTIC valora riesgos en su gestión, no se cuenta aún con una valoración sistematizada de los riesgos, basada en una metodología técnica, debidamente oficializada, que permita una gestión integral de los riesgos.

2.13. Factores como rotación del personal, la implementación de un proceso de reorganización de la función informática, limitaciones en las capacidades disponibles, pueden haber incidido en el tiempo de desarrollo de dicha metodología para la gestión de los riesgos.

2.14. Los riesgos a los que se enfrenta el Ministerio de Hacienda, de materializarse, podrían eventualmente tener repercusiones sobre el funcionamiento del Sistema de Administración Financiera de la República y los sistemas fundamentales para la Administración Central, y que dan servicios a los usuarios, relacionados con ingresos, egresos, presupuesto, tesorería, contabilidad, administración de bienes. Asimismo, se podría ver


8




afectada e a la continuidad del negocio, y la operativa de sistemas importantes como TICA, Tributación Digital, SIATT, SIGAF, INTEGRA, Tesoro Digital, entre otros), además lo relativo a vulnerabilidad de la información.

2.15. Existen diversas categorías para clasificar los riesgos identificados según su origen en externos o internos. Entre los riesgos externos pueden mencionarse políticas gubernamentales, económicas, sociales; legislación, tecnología; cliente externo; inundación; ataque de hacker, entre otros. Estos riesgos son originados por factores externos a la organización. Factores internos de la organización pueden generar entre otros riesgos, indefinición de procesos y procedimientos no claros; reorganizaciones sin análisis estructural y funcional; obsolescencia de los sistemas informáticos; implantación de nuevos sistemas de información sin capacitación; falta de capacitación del personal; falta de presupuesto; calidad del servicio brindado; modificación de las políticas por parte de los nuevos jerarcas; error en el respaldo de información, entre otros.

2.16. Sobre la situación planteada en este aparte, la Contraloría General debe indicar que el proceso de definición metodológico para la valoración y gestión de los riesgos, que viene desarrollándose desde hace varios años, y que la actual administración ha retomado, ha sido lento en el tiempo y se encuentra aún en un estado incipiente, por lo que la situación comentada en este aparte reviste gran importancia, y debe ser impulsada y finiquitada a la brevedad por parte de las autoridades del Ministerio de Hacienda y los jerarcas de la DTIC, dado que una valoración sistematizada de los riesgos, basada en una metodología técnica, debidamente oficializada, permitiría una gestión integral de tales riesgos, y contribuiría a asegurar el logro de los objetivos institucionales, la eficiencia de la gestión de TIC y la continuidad del negocio, el control interno y el cumplimiento regulatorio.

NECESIDAD DE FINIQUITAR LA ACTUALIZACIÓN Y OFICIALIZACIÓN DE

LAS POLÍTICAS Y PROCEDIMIENTOS DE LA UNIDAD DE ESTRATEGIA Y

ADMINISTRACIÓN DE PROYECTOS DE LA DTIC

2.17. En la auditoría efectuada, se determinó que en la Dirección de Tecnologías de Información y Comunicación del Ministerio de Hacienda, operan dos unidades con importantes funciones, a saber: la Unidad de Estrategia (UETIC) y la Unidad de Administración de Proyectos (UAP).


9




2.18. La Unidad de Estrategia de TIC tiene como objetivo: “Velar por una adecuada estrategia de TIC, que garantice la utilización eficiente de los recursos humanos y financieros, facilite la gestión operativa e incentive a la modernización e innovación de las TIC”. Además tiene como funciones, a) Realizar la alineación de los Planes Estratégicos, Tácticos y Operativos con el Plan Estratégico Institucional, b) Velar porque existan las políticas y procedimientos para la formulación, evaluación y reformulación de planes estratégicos, tácticos y operativos de TIC; así como para la adquisición de recursos, administración de servicios contratados a terceros. c) Dirigir la formulación y evaluación del Plan Estratégico de Tecnologías de Información y Comunicación (PETIC) a nivel institucional, conforme a los lineamientos y directrices vigentes, así como con los objetivos estratégicos de la institución. d) Elaborar el Plan Táctico alineado con el Plan Estratégico de Tecnologías de Información aprobado. e) Proponer a la Dirección el Diseño y sistematización, para divulgar y promover el sistema de medición de metas. f) Asesorar a las dependencias de la Dirección de Tecnologías de Información y Comunicación en la formulación y seguimiento de los indicadores para el cumplimiento de las metas. g) Velar para dentro de la Planificación de TIC se contemplen aspectos como: recursos financieros, recursos humanos, los proyectos de TIC, las actividades operativas, las necesidades de formación, plan de giras y plan de vacaciones del personal. h) Realizar el seguimiento a los planes y las metas establecidas, así como generar informes y recomendaciones en temas relacionados con la planificación a la Dirección General. i) Proponer a la Dirección la priorización de los recursos de inversión para que se logre plasmar en la planeación de corto, mediano y largo plazo, manteniendo el alineamiento con las estrategias y prioridades del Ministerio en materia de TIC. j) Coordinar las acciones para la elaboración del Anteproyecto Presupuestario, considerando los compromisos establecidos para el ejercicio presupuestario, así como las nuevas contrataciones que sean necesarias y alineadas. k) Realizar ejercicios de proyección de la ejecución presupuestaria, con el fin de maximizar el aprovechamiento de los recursos financieros. i) Dar seguimiento a la gestión de la arquitectura de información de TIC. m) Remitir informes a la Dirección según su ámbito de competencia. n) Cumplir con las disposiciones de Control Interno establecidas en la Dirección de Tecnología de Información y Comunicaciones.6

6 Reglamento Estructura organizacional de la Dirección de Tecnologías de Información y

Comunicación (DTIC), Decreto Ejecutivo N°37859-H, de fecha 02 de setiembre de 2013, artículo 49 y 50.


10




2.19. La Unidad de Administración de Proyectos de TIC tiene como objetivo: “Gestionar el portafolio de proyectos de TIC garantizando una adecuada gestión de cada uno de los proyectos del portafolio, por medio de un seguimiento oportuno y la aplicación de una metodología según las mejores prácticas”. A dicha Unidad le corresponde ejecutar las siguientes funciones:7 a) Proponer a la Dirección políticas, procedimientos y métodos para la Administración de Proyectos de la TIC, así como las medidas de control para garantizar su cumplimiento. b) Establecer estándares para el uso de herramientas relacionadas con la Administración de Proyectos. c) Promover y desarrollar las actividades de investigación en metodologías o herramientas especializadas en la gestión de proyectos. d) Asesorar metodológicamente el desarrollo de proyectos estratégicos de la TIC durante todas las fases del ciclo de vida del mismo y de acuerdo con el tamaño, complejidad y requerimientos regulatorios de cada proyecto. e) Promover y desarrollar las actividades de investigación en metodologías o herramientas especializadas en la gestión de proyectos. f) Administrar la base de conocimiento de proyectos ejecutados en la organización con el fin de que pueda aplicarse en proyectos futuros, con una visión de mejora continua. g) Administrar las herramientas para la gestión en la Administración de Proyectos. h) Realizar la Administración de Proyectos existentes en el portafolio de proyectos de TICs. i) Realizar la gestión de portafolio de proyectos de TIC. j) Garantizar el alineamiento de los proyectos del portafolio de proyectos, con el Plan Estratégico de TIC, el Plan Estratégico Institucional, el presupuesto y el Plan Operativo. k) Remitir informes a la Dirección según su ámbito de competencia. l) Cumplir con las disposiciones de Control Interno establecidas en la Dirección de Tecnología de Información y Comunicaciones.

2.20. Respecto a la operación de esas unidades, y en general sobre el funcionamiento de las distintas unidades de la DTIC y del Ministerio, la Ley General de Control Interno N° 8292, en su artículo 7, establece que los entes dispondrán de un sistema de control interno, completo, razonable, integrados y congruente con sus atribuciones. Además, deberán proporcionar seguridad en el cumplimiento de sus competencias.

2.21. Por otra parte, la norma 4.1 de las Normas de Control Interno para el Sector Público, en cuanto a las actividades de control, indica que el jerarca y los titulares subordinados, según sus competencias, deben diseñar, adoptar, evaluar y perfeccionar, como parte del Sistema de Control Interno

7 Ídem artículo 51 y 52.


11




Institucional (SCI), las actividades de control pertinentes, las que comprenden las políticas, los procedimientos y los mecanismos que contribuyen a asegurar razonablemente la operación y el fortalecimiento del (SCI) y el logro de los objetivos institucionales. Dichas actividades deben ser dinámicas, a fin de introducirles las mejoras que procedan, en virtud de los requisitos que deben cumplir para garantizar razonablemente su efectividad.

2.22. Además, el inciso e) de la norma 4.2 sobre los requisitos de las actividades de control, establece que estas deben documentarse mediante su incorporación en los manuales de procedimientos, en las descripciones de puestos y procesos, o en documentos de naturaleza similar, así como que esa documentación debe estar disponible, en forma ordenada conforme a criterios previamente establecidos, para su uso, consulta y evaluación. Como sanas prácticas las políticas deben revisarse al menos una vez al año o cuando ocurra un cambio en los procesos o en la estrategia de TIC que así lo requiera.

2.23. En relación con lo anteriormente expuesto, en el estudio realizado, se estableció que la UETIC y la UAP aún no habían finiquitado la actualización de las políticas y procedimientos, alineadas con las nuevas funciones establecidas en decreto ejecutivo de reorganización del año 2013 y, debidamente aprobados por el nivel superior.

2.24. Se estableció que la DTIC se encuentra en un proceso de revisión, documentación, adecuación y actualización de sus políticas8, procedimientos y plantillas para guiar y controlar el desarrollo de sus funciones y la administración de los recursos a su cargo, con el fin de adecuarlos a las nuevas funciones asignadas a la DTIC. No obstante el proceso para disponer de dichos documentos ha sido relativamente lento, y se encuentra en proceso, ya que consta de diferentes etapas, en las que participan las unidades indicadas, la Unidad de Normalización y Control Interno (UNCI), la Dirección y Subdirección de la DTIC, hasta que dichos productos son aprobados, oficializados y comunicados a nivel interno.

2.25. En el Anexo 1 se muestra el estado actual de procesos para formulación de políticas de la UETIC catalogados como prioritarios que se encuentran en

8 Políticas: Criterios o directrices de acción elegidas como guías en el proceso de toma de

decisiones al poner en práctica o ejecutar las estrategias, programas y proyectos específicos del nivel institucional. Sirven como base para la implementación de los procedimientos y la ejecución de las actividades de control atinentes. (Normas de control interno para el Sector Público).


12




etapas de elaboración, visto bueno de la UNCI y autorización por parte de la Dirección, según información suministrada con oficio N° DTIC-267-2016 de 05 de abril de 2016.

2.26. Adicionalmente se determinó que la UAP cuenta con políticas y procedimientos relacionados con la “Metodología de Administración de Proyectos de TIC” elaborados en el año 2012 y, oficializados en el año 2013. (Ver Anexo 2).9 Sin embargo, la Administración indica que toda esta documentación de administración de proyectos se está analizando10, con el fin de replantearla a la luz de las disposiciones de la Contraloría (Informe N°DFOE-SAF-IF-07-2016).

2.27. De acuerdo con lo manifestado por la DTIC, la Metodología de Administración de Proyectos fue elaborada durante el año 2012, después de desarrollarse la acción DI-01 Marco de Trabajo para la Administración de Proyectos dentro del Proyecto Modelo de Gestión de TI. Una vez concluida la acción se elaboraron las políticas, procedimientos y plantillas que conforman la metodología. Dicha metodología se oficializó mediante Circular N° DGI-005-2013, del 19 de marzo del 2013. En la Circular N° DGI-006-2013, del 22 de abril del 2013, se oficializó la Política de Roles para la Administración de Proyectos de TIC´s.

2.28. No obstante, estas políticas y procedimientos, que conforman dicha metodología no están actualizados ya que fueron promulgados antes de la reorganización de la DTIC, según la anterior estructura organizacional. Se observó que disponen de una codificación desactualizada, situación que conlleva a la necesidad de revisión y, actualización, no solo de forma sino eventualmente de fondo, de acuerdo con la nueva estructura y funciones contempladas en el Decreto Ejecutivo N° 37859-H, del 2 de setiembre de 2013.

2.29. Las debilidades determinadas en relación con la disponibilidad de procedimientos actualizados se asocian con la necesidad de personal, la necesidad de recursos para capacitación, y la necesidad de obtener una curva de aprendizaje sobre las nuevas funciones asignadas, sus procesos y procedimientos. Además, la Administración indica que se ha presentado una rotación de funcionarios, que requieren ahora una inducción adecuada para asumir las nuevas funciones.

9 Los documentos fueron oficializados mediante Circular N° DGI-005-2013 del 19 marzo del 2013.

10 Oficio DTIC-267-2016 de 05 de abril de 2016.


13




2.30. Si bien la Administración se encuentra trabajando actualmente para solventar esta situación, e indica11 que tiene dentro de sus prioridades cumplir con la implementación de los procesos diseñados para el modelo de gestión de las TIC, lo cual se desarrolla en paralelo a la operativa y gestión de la DTIC, podrían presentarse factores de riesgo derivados de la carencia de políticas, procedimientos, plantillas y formularios actualizados y oficializados, como son una potencial afectación de la ejecución de las actividades, a la comunicación apropiada de las labores a los funcionarios involucrados, a los mecanismos de control sobre la gestión que realizan las diversas unidades y departamentos en relación con las funciones asignadas mediante el decreto de reorganización, entre otros.

2.31. Dado lo anterior, y la importancia de las funciones asignadas, según lo descrito anteriormente, se desprende la necesidad de que la Dirección de Tecnologías de Información y Comunicación del Ministerio de Hacienda, finiquite, a la brevedad, la actualización y oficialización de las políticas y procedimientos correspondientes a esas unidades.

3. CONCLUSIONES

3.1. El Ministerio de Hacienda cuenta con una Dirección de Tecnologías de Información y Comunicación (DTIC), cuya organización está regulada por el Decreto Ejecutivo N° 37859-H, de 02 de setiembre de 2013. Mediante la promulgación de dicho Decreto se estableció una nueva organización funcional, con el fin de alinear su trabajo con los objetivos estratégicos del Ministerio, y lograr una centralización de las diferentes dependencias informáticas de esta Dirección, a efecto de llevar a cabo las políticas, procesos, procedimientos de tecnologías de información.

3.2. Se desprende de la auditoría, que la DTIC presenta la necesidad de fortalecer algunos aspectos organizacionales relacionados con la gestión de riesgos y control interno. Situación que conlleva a que aún no se haya consolidado plenamente el proceso de reorganización, a pesar de los esfuerzos que realizan las respectivas autoridades, jerarcas y titulares subordinados, con el fin de disponer de una adecuada gestión organizacional.

3.3. Se estableció que no se ha finiquitado ni oficializado una metodología para la valoración de riesgos en la DTIC. De acuerdo con los resultados de la

11

Oficio N°DTIC-458-2016 del 26 de mayo de 2016.


14




auditoría, se elaboró un borrador de propuesta metodológica de gestión de riesgos enfocada a los riesgos operativos con un enfoque tecnológico, denominada “Metodología Gestión de Riesgos Operativos TIC” (julio, 2015). Esta propuesta metodológica tiene como fin atender el tema de la gestión de riesgos operativos en la DTIC; sin embargo, pese a su importancia y al tiempo transcurrido en su conformación, aún se encuentra en proceso de revisión a lo interno del Ministerio de Hacienda.

3.4. Se determinó también que la Unidad de Estrategia TIC y la Unidad de Administración de Proyectos, aún no habían finiquitado la actualización de las políticas y procedimientos, alineadas con las nuevas funciones establecidas en decreto ejecutivo de reorganización del año 2013 y, debidamente aprobados por el nivel superior.

3.5. La DTIC se encuentra en un proceso de revisión, documentación, adecuación y actualización de sus políticas, procedimientos y plantillas para guiar y controlar el desarrollo de sus funciones y la administración de los recursos a su cargo, con el fin de adecuarlos a las nuevas funciones asignadas a la DTIC. No obstante el proceso para disponer de dichos documentos ha sido relativamente lento.

3.6. Dada la importancia de las situaciones comentadas en el presente informe, se requiere que las autoridades de la Dirección de Tecnologías de Información y Comunicación del Ministerio de Hacienda, finiquiten las acciones necesarias, para contar con la citada metodología de gestión de riesgos, y las políticas y procedimientos correspondientes a las Unidades de Estrategia y Administración de Proyectos.

4. DISPOSICIONES

4.1. De conformidad con las competencias asignadas en los artículos 183 y 184 de la Constitución Política, los artículos 12 y 21 de la Ley Orgánica de la Contraloría General de la República, N° 7428, y el artículo 12 inciso c) de la Ley General de Control Interno, se emiten las siguientes disposiciones, las cuales son de acatamiento obligatorio y deberán ser cumplidas dentro del plazo (o en el término) conferido para ello, por lo que su incumplimiento no justificado constituye causal de responsabilidad.

4.2. Para la atención de las disposiciones incorporadas en este informe deberán observarse los “Lineamientos generales para el cumplimiento de las disposiciones y recomendaciones emitidas por la Contraloría General de la República en sus informes de auditoría”, emitidos mediante resolución


15




N°R-DC-144-2015, publicados en La Gaceta N° 242 del 14 de diciembre del 2015, los cuales entraron en vigencia desde el 4 de enero de 2016.

4.3. Este órgano contralor se reserva la posibilidad de verificar, por los medios que considere pertinentes, la efectiva implementación de las disposiciones emitidas, así como de valorar el establecimiento de las responsabilidades que correspondan, en caso de incumplimiento injustificado de tales disposiciones.

AL DOCTOR ALFREDO ABARCA ROJAS, EN SU CALIDAD DE DIRECTOR

DE TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIÓN, O A QUIEN EN

SU LUGAR OCUPE EL CARGO.

4.4. Finiquitar, oficializar e iniciar la implementación de una metodología para la gestión de los riesgos de tecnologías de información y comunicación del Ministerio de Hacienda (ver puntos 2.1 a 2.16). Para acreditar el cumplimiento de esta disposición, se deberá remitir a esta Contraloría, a más tardar el 31 de marzo de 2017, una certificación por parte de esa Dirección, en la que se indique que se ha oficializado e iniciado la implementación de la referida metodología.

4.5. Finiquitar y oficializar la actualización de las políticas y procedimientos, correspondientes a las unidades de Estrategia de TIC y Administración de Proyectos de TIC de la Dirección de Tecnologías de Información y Comunicación del Ministerio de Hacienda (ver puntos 2.17 a 2.30). Para acreditar el cumplimiento de esta disposición, se deberá remitir a esta Contraloría, a más tardar el 31 de marzo de 2017, una certificación por parte de esa Dirección, en la que se indique que se ha finiquitado y oficializado la actualización de dichas políticas y procedimientos correspondientes a las unidades de la Dirección de Tecnologías de Información y Comunicación del Ministerio de Hacienda.

Lic. Federico Castro Páez Licda. Julissa Sáenz Leiva Gerente de Área Asistente Técnico

Contraloría General de la República Contraloría General de la República

Dip. Guido Chavarría Naranjo Fiscalizador Asistente



16




ANEXOS

ANEXO 1: ESTADO ACTUAL DE PROCESOS PARA FORMULACIÓN DE

POLÍTICAS (UETIC)

Proceso para la Administración de Servicios Contratados:

NOMBRE DEL DOCUMENTO

CODIFICACIÓN DTIC

FECHA OFICIALIZACIÓN

ESTADO

Política para la Administración de Servicios Contratados de TIC

DTIC-POL-011 1 de julio de 2015 Elaborado por la UETIC y comunicado mediante oficio DTIC-UETIC-058-2015, del 29 de mayo de 2015.

Procedimiento de Inicio y Planificación del Seguimiento a la Relación Contractual

DTIC-PCD-033

Procedimiento para el Seguimiento a la Relación Contractual

DTIC-PCD-034

Procedimiento Para la Aceptación de Entregables

DTIC-PCD-035

Procedimiento para el cierre a la Relación Contractual

DTIC-PCD-036

Procedimiento para el Cierre de Gestión como Encargado Contractual

DTIC-PCD-037

Procedimiento para Documentar la Gestión del Consumo de Horas en la Relación Contractual

DTIC-PCD-038

Procedimiento Documentación y Solicitud de Autorización para el Cambio en el Uso del Objeto Contractual

DTIC-PCD-043

Formulario Plan de Seguimiento

DTIC-FOR-038

Formulario Avance de la Ejecución de la Contratación

DTIC-FOR-039

Formulario Revisión de Entregables

DTIC-FOR-040


17




Formulario Información General de la Contratación

DTIC-FOR-041

Formulario Información del Trabajo Realizado

DTIC-FOR-042

Formulario Planificación de Consumo de Horas

DTIC-FOR-043

Formulario Control de Cambios de Consumo de Horas

DTIC-FOR-044

Formulario Control de Consumo de Horas por Emergencia

DTIC-FOR-045

Formulario de Control de Registro de Horas por Garantía

DTIC-FOR-046

Formulario Reporte de Actividades Realizadas Durante la Contratación

DTIC-FOR-047

Plantilla Orden de Inicio Trámite Contratación

DTIC-PLA-003

Plantilla Cambio Encargado Relación Contractual

DTIC-PLA-004

Formulario Plan de Seguimiento

DTIC-FOR-038 11 de enero de 2016

Actualización 11/01/2016 comunicado mediante Boletín UNCI-INF-2016-01 del 18/01/2016.

Formulario Información del Trabajo Realizado

DTIC-FOR-042

Formulario Planificación de Consumo de Horas

DTIC-FOR-043

Formulario Control de Consumo de Horas por Emergencia

DTIC-FOR-045

Formulario de Control de Registro de Horas por Garantía

DTIC-FOR-046

Formulario Reporte de Actividades Realizadas Durante la Contratación

DTIC-FOR-047

Plantilla Orden de Inicio Trámite Contratación

DTIC-PLA-003

Procedimiento para aplicar una modificación contractual

No tiene asignada la codificación. La codificación se asigna hasta su oficialización.

No Aplica Mejora Los documentos fueron elaborados por la UETIC y presentados el 31/03/2016 a la UNCI para su revisión.

Plantilla de VB de la Dirección para aplicar Art 200


18




Plantilla de VB de la Dirección para aplicar Art 201

Está pendiente el visto bueno de la UNCI y la autorización de la Dirección.

Plantilla para PI para aplicar Art 200

Plantilla para PI para aplicar Art 201

Procedimiento para Prorrogar una Contratación

Plantilla de solicitud de VB de la Dirección para Prorrogar una Contratación

Plantilla para Prorroga de Contratación

Plantilla para VB por parte de la empresa para tramitar una suspensión de una contratación

Plantilla para Gestionar una Suspensión Contractual

Fuente: Oficio DTIC-267-2016 de 05 de abril de 2016.

Proceso Adquisición de Recursos y Servicios TIC:


CODIFICACIÓN DTIC


ESTADO

Política: Política para la adquisición de recursos y servicios de TIC Procedimientos: 1. Procedimiento para la adquisición de recursos y servicios TIC. 2.Procedimiento de evaluación de ofertas Formularios: 1.Necesidad de adquisición de TIC 2.Estudio de Mercado 3.Estudio de Factibilidad 4.Declaración de limitaciones de objetividad e independencia para la

No tiene asignada codificación. La codificación se asigna hasta su oficialización.

No Aplica Los documentos fueron elaborados por la UETIC y presentados el 17/03/2016 a la UNCI para su revisión. Está pendiente el visto bueno de la UNCI y la autorización de la Dirección.


19




participación en procesos de contratación administrativa 5.Evaluación técnica de las ofertas 6.Formulario de autorización



20




Proceso de Planificación de TIC:


CODIFICACIÓN DTIC


ESTADO

Política: Política Planificación TIC Procedimientos: 1.Procedimiento Elaboración del PAO 2.Procedimiento Actualización y Seguimiento PAO y PETIC 3.Procedimiento Elaboración PETIC Plantillas: 1.Plantilla Solicitud VB Dirección para actualización del PETIC 2.Plantilla Elaboración PAO 3.Plantilla Seguimiento PAO


No Aplica Se encuentra en etapas de elaboración de la UETIC. Está pendiente de remitirse a la UNCI; visto bueno de la UNCI y la autorización de la Dirección.


Proceso de Evaluación de Inversiones de TIC:


CODIFICACIÓN DTIC


ESTADO

Política para la evaluación y la aprobación de inversiones de TIC


No aplica Se encuentra en etapas de elaboración de la UETIC. Está pendiente de remitirse a la UNCI; visto bueno de la UNCI y la autorización de la Dirección.



21




ANEXO 2: POLÍTICAS Y PROCEDIMIENTOS DE LA METODOLOGÍA DE

ADMINISTRACIÓN DE PROYECTOS DE TIC

NOMBRE DEL DOCUMENTO CODIFICACIÓN FECHA

OFICIALIZACIÓN ESTADO

Política: 19 de marzo de 2013

Los documentos fueron oficializados mediante Circular DGI-005-2013 del 19 marzo del 2013 (ver adjunto). Es importante anotar que toda esta documentación de administración de proyectos se está analizando con el fin de replantearla a la luz de las disposiciones de la misma Contraloría (DFOE-SAF-IF-07-2016).

Política para la Administración del Portafolio de Programas y Proyectos de TIC,s

MH-DGI-DAP-PAPPP

Política General para la Administración de Proyectos de TIC´s

MH-DGI-DAP-PLGAP

Política para la utilización de Herramientas para la Administración de proyectos de TIC´s

MH-DGI-DAP-PLUHAP

Política para la Valoración y Clasificación de Proyectos de TIC´s

MH-DGI-DAP-PLVCP

Procedimiento:

Procedimiento para el aseguramiento y control de calidad

MH-DGI-DAP-ACC-05

Procedimiento para el control de cambio de proyectos en etapa de ejecución

MH-DGI-DAP-CCPEJ-08

Procedimiento de cierre de proyectos

MH-DGI-DAP-CP-06

Procedimiento para desarrollar la planificación del proyecto

MH-DGI-DAP-DDP-02

Procedimiento para la ejecución de proyectos

MH-DGI-DAP-EP-04

Procedimiento para la iniciación de proyectos de TIC,s

MH-DGI-DAP-IP-07

Procedimiento para el monitoreo y seguimiento del proyecto

MH-DGI-DAP-MSP-03

Procedimiento para la presentación de iniciativas de proyectos

MH-DGI-DAP-PIP-01

Procedimiento para el uso del modelador WBS en la herramienta VISIO.

MH-DGI-DAP-UWBS-01


informe nro. dfoe-saf-if-15-2016 31 de mayo de ......31 de mayo de 2016 divisiÓn de fiscalizaciÓn...

Documents