Servicio Fitosanitario del Estado Risk Advisory Informe de Control Interno “Resultados del estudio de auditoría relativo a la evaluación del sistema de control interno en materia de tecnologías de la información, implementado para cumplir con lo dispuesto en el Decreto Ejecutivo N.° 37549-JP (Reglamento para la Protección de los Programas de Cómputo en los Ministerios e Instituciones adscritas al Gobierno Central)” Ref.: N° AI-SFE-SA-INF-005-2016 00 Servicio Fitosanitario del Estado | Tabla de contenido Tabla de contenido Tabla de contenido 1 Resumen ejecutivo 3 Introducción 4 Resultados del estado de los inventarios y del licenciamiento 14 Seguimiento al informe AI-SFE-SA-INF-005- 2015 34 Resultados - Hallazgos 36 Anexos 61 01 Servicio Fitosanitario del Estado | TablaInforme de decontenido Control Interno “Resultados del estudio de auditoría relativo a la evaluación del sistema de control interno en materia de tecnologías de la información, implementado para cumplir con lo dispuesto en el Decreto Ejecutivo N. 37549-JP (Reglamento Informe de Control Interno “Resultados del estudio de auditoría relativo a la evaluación del sistema de control interno en materia de tecnologías de la información, implementado para cumplir con lo dispuesto en el Decreto Ejecutivo N.° 37549-JP (Reglamento para la Protección de los Programas de Cómputo en los Ministerios e Instituciones adscritas al Gobierno Central)” 02 Servicio Fitosanitario del Estado | Resumen ejecutivo Resumen ejecutivo Objetivo El presente estudio de auditoría relacionado con la “Evaluación del sistema de control interno en materia de tecnologías de la información, implementado para cumplir con lo dispuesto en el Decreto Ejecutivo N.° 37549-JP (Reglamento para la Protección de los Programas de Cómputo en los Ministerios e Instituciones Adscritas al Gobierno Central)”, se llevó a cabo en atención al Plan Anual de Labores (2016) de la Auditoría Interna del Servicio Fitosanitario del Estado (SFE). El estudio abarcó la totalidad del equipo con el que cuenta el SFE, tanto adquirido como arrendado, y se analizó el licenciamiento asociado en todas sus modalidades FPP (por las siglas en inglés de Full Package Product o producto adquirido por medio de caja o producto al detalle), OEM (por las siglas en inglés de Enterprise Equipment Manufacturer), software licenciado, software libre y software gratuito. De manera complementaria, se tomó en cuenta el equipo ubicado en bodega, en mantenimiento y con estado de robado, además del equipo de un programa ejecutado aparentemente en conjunto con una ONG que no pertenece al SFE. Los resultados obtenidos evidencian aspectos que requieren ser atendidos de forma oportuna por la administración activa; se encontraron en total 8 hallazgos, los cuales se clasifican en los siguientes niveles de riesgo: • Alto (A) • Bajo (B) Dicha categorización corresponde al impacto que se puede ocasionar en el cumplimiento de los objetivos de la entidad, en los procesos establecidos por parte del control interno, en la gestión y operaciones, y en el cumplimiento de lo dispuesto en el Decreto Ejecutivo N.º 37549-JP. 03 Servicio Fitosanitario del Estado | Introducción Introducción 1.1. Origen En el artículo 3° del Decreto Ejecutivo N.° 37549-JP (Reglamento para la Protección de los Programas de Cómputo en los Ministerios e Instituciones Adscritas al Gobierno Central), se dispone lo siguiente: Artículo 3.º Cada Ministerio e Institución adscrita al Gobierno Central, deberá realizar anualmente una auditoría interna o externa según las propias posibilidades presupuestarias y organizacionales para determinar el cumplimiento de las disposiciones tendientes a la protección de los derechos de autor, relativos a los programas de cómputo; mediante la auditoría se deberá verificar los equipos existentes y los programas que tengan las computadoras, así como el número de copias autorizadas de cada programa, comprobando la fecha de instalación, versión de cada uno y ajustado a los términos de licenciamiento. 04 Servicio Fitosanitario del Estado | Introducción Artículo 4.º Posterior a la auditoría mencionada en el artículo anterior, cada Ministerio e Institución adscrita al Gobierno Central, a través de la persona designada como responsable deberá presentar un informe anual(*) dentro del primer semestre de cada año ante el Registro de Derechos de Autor y Derechos Conexos. Este informe pondrá en conocimiento del citado Registro los resultados del auditoraje efectuado por el respectivo Ministerio o Institución adscrita al Gobierno Central, así como las acciones aplicadas; en el mismo deberán indicar el grado de cumplimiento y cantidad de equipos existentes, se deberá adjuntar el informe de la auditoría. Dentro del mismo cada Ministerio e Institución adscrita al Gobierno Central, deberá hacer constar que cumple con la protección de los derechos de autor relativos a los programas de cómputo. También, deberá presentar el inventario. Mediante el oficio AI SFE 255-2015, del 13 de noviembre de 2015, la Auditoría Interna comunicó el Plan Anual de Labores de la Auditoría Interna del Servicio Fitosanitario del Estado (SFE) para el año 2016. Como parte de dicho plan, se destinaron recursos para realizar el estudio especial de auditoría relacionado con la “Evaluación del sistema de control interno en materia de tecnologías de la información”, a fin de determinar el grado de cumplimiento de lo dispuesto en el citado Decreto Ejecutivo N.° 37549-JP. Por medio del proceso de contratación administrativa N.° 2016CD- 000009-0010100001, se adquirieron los servicios de auditoría interna para evaluar el sistema de control interno en materia de tecnologías de la información, específicamente en cuanto al grado de cumplimiento de lo dispuesto en el Decreto Ejecutivo N.° 37549-JP (Reglamento para la Protección de los Programas de Cómputo en los Ministerios e Instituciones Adscritas al Gobierno Central). 1.2. Objetivo Determinar si el sistema de control interno en materia de tecnología de la información, implementado por el Servicio Fitosanitario del Estado (SFE), le permite garantizar de forma razonable el cumplimiento de lo dispuesto en el Decreto Ejecutivo N.° 37549-JP (Reglamento para la Protección de los Programas de Cómputo en los Ministerios e Instituciones Adscritas al Gobierno Central). 1.3. Alcance Se verificó lo siguiente: 1.3.1. Se realizó un levantamiento de inventario (verificación in situ) de todos los equipos de cómputo con que cuenta el SFE, para lo cual se visitaron tanto las oficinas a nivel central como regional. A continuación se detallan las dependencias que fueron visitadas: 05 Servicio Fitosanitario del Estado | Introducción Sede Ubicación Oficinas Centrales Sabana Sur, San José Programa Nacional de Moscas de Pavas, San José la Fruta Laboratorio Central de Aeropuerto Juan Santamaría, Alajuela Diagnóstico de Plagas Puesto Ventanilla Única Plaza Tempo Escazú, San José Estación de Control Fitosanitario Aeropuerto Tobías Bolaños Pavas , San José Estación de Control Fitosanitario Aeropuerto Juan Santamaría, Alajuela Estación de Control Fitosanitario Puerto Limón, Limón Estación de Control Fitosanitario Sixaola, Limón Estación de Control Fitosanitario Los Chiles y Tablillas, Alajuela Estación de Control Fitosanitario Paso Canoas, Puntarenas Estación de Control Fitosanitario Puerto Caldera, Puntarenas Estación de Control Fitosanitario Peñas Blancas, Guanacaste Estación de Control Fitosanitario Aeropuerto Internacional Daniel Oduber Liberia, Guanacaste Puesto de Control Fitosanitario Sabalito, Coto Brus Unidad Regional Chorotega Liberia, Guanacaste Unidad Regional Huetar Norte Ciudad Quesada, San Carlos Alajuela Unidad Regional Brunca Pérez Zeledón, San José Unidad Regional Brunca Piedras Blancas, Osa Unidad Regional Central Sur Puriscal, San José Unidad Regional Huetar Caribe Guápiles, Limón Unidad Regional Central Oriental Cartago, Cartago Unidad Regional Pacífico Central Esparza, Puntarenas Unidad Regional Central Grecia, Alajuela Occidental 1.3.2. Se verificó la suficiencia y pertinencia del sistema de control interno con respecto a: 1.3.2.1. Implementación de procedimientos que regulen el uso e instalación de programas de cómputo, conforme lo dispuesto en el artículo 11 del Decreto Ejecutivo N° 37549-JP. 1.3.2.2. Establecimiento de mecanismos y prácticas administrativas que permitan ejercer control sobre los aspectos contenidos en el artículo 10 del Decreto Ejecutivo N.° 37549-JP, tales como: 06 Servicio Fitosanitario del Estado | Introducción a. Política comprensiva de manejo de programas de cómputo, cuya aplicación garantice de forma efectiva la adquisición y uso adecuado de todos los programas de cómputo. b. Medidas para evaluar el cumplimiento de las disposiciones en materia de derechos de autor, en lo concerniente a la adquisición y uso de programas de cómputo. c. Plan de capacitación orientado al entrenamiento apropiado del personal en materia de derechos de autor y derechos conexos, relacionado con los programas de cómputo, las políticas y procedimientos adoptados para cumplir con ellos. d. Control y registro del licenciamiento e instalación de licencias en los equipos. e. Registro, expediente u hoja histórica por cada uno de los equipos de cómputo en el cual conste, entre otra información, aquella relacionada con la instalación de programas de cómputo o aplicaciones: identificación del equipo, funcionario que autoriza, nombre del programa o aplicación, fecha de instalación y la persona responsable de realizarla. f. Medios utilizados para exhortar a todos los contratistas y proveedores