RESUMEN EJECUTIVO SOBRE EL INFORME No.

DFOE-PR-14-2006 DE LA
AUDITORA OPERATIVA EN LA COMPAA NACIONAL DE FUERZA Y LUZ
(CNFL), RELACIONADA CON LA GESTIN DE LAS TECNOLOGAS DE
INFORMACIN Y COMUNICACIN
El informe se prepar como resultado de un estudio que se llev a cabo en
la CNFL en atencin al Plan Anual de Fiscalizacin de la Divisin de Fiscalizacin
Operativa y Evaluativa de esta Contralora General. El estudio comprendi un
anlisis sobre la gestin de tecnologas de informacin y comunicacin (TIC) en
dicha Compaa, el cual se dirigi al examen de algunos de los componentes que
se consideraron ms relevantes, tales como marco estratgico, planificacin
estratgica, gestin de riesgos, gestin de seguridad, aseguramiento en la
continuidad de los servicios, y control de calidad, entre otros aspectos vinculados
estrechamente con la gestin de TIC.
En el estudio realizado se evidenci que la CNFL se ha convertido en una
institucin que apoya sus principales procesos de negocio en las tecnologas de
informacin y comunicacin, cuya gestin es atendida por dos grupos funcionales:
uno constituido por la Direccin de Tecnologa de la Informacin (DTI), rector de la
gestin de TIC que brinda servicios a toda la Compaa; y otro conformado por las
reas descentralizadas de servicios de TI, responsables de los procesos claves de
negocio, a cargo de las direcciones Comercial, Distribucin, y Desarrollo y
Produccin (generacin).
Se observ que la CNFL es una de las organizaciones que han recurrido a
las TIC para apoyar sus principales procesos, y muestra un grado razonable de
automatizacin en sus actividades. Sin embargo, las polticas, normas, directrices
y actividades que regulan la gestin de TI como parte del marco estratgico, cuya
gestin procura un uso eficiente de las tecnologas y los recursos invertidos, son
de carcter general. A ese respecto, la CNFL cuenta con unas polticas para TIC
que estima que son de carcter especfico; no obstante, son ms bien un marco
orientador donde se define un esquema general que procura una administracin
adecuada de esas tecnologas, y que regula aspectos relativos a la planeacin y
organizacin en TIC, adquisicin e implementacin de sistemas e infraestructura,
entrega de servicios y soporte tcnico, y monitoreo de la gestin de TIC.
A pesar de que el marco estratgico aborda cuatro grandes componentes
relacionados con las mejores prcticas para la administracin de las TIC, ste
debe apoyarse en una normativa especfica ms detallada para cada uno de sus
componentes, la cual debe materializarse o concretarse en normas y
procedimientos precisos. La CNFL cuenta con un conjunto de normas,
procedimientos y directrices que progresivamente se han venido emitiendo a fin de
regular aspectos especficos relacionados con las TIC, pero su implementacin se
realiz en atencin a necesidades que se presentaron en el pasado, sin una
estrecha vinculacin integral con un marco orientador que sirviera como gua para
lograr un diseo ordenado y bien estructurado que contribuyera a una mejor
gestin de dichas tecnologas.

Por lo tanto, la Compaa debe analizar la normativa existente vinculada

con los distintos componentes de las polticas, de manera que se determine si
estn alineadas con los propsitos que en ellas se plasman, o si por el contrario,
se deben ajustar o reorientar de conformidad con la nueva normativa. Asimismo, la
Compaa debe determinar qu reglamentacin y procedimientos adicionales
debe implementar acorde con lo regulado en las referidas polticas. Entre los
componentes del marco estratgico a los que la Compaa debe prestar especial
atencin est el Plan Estratgico de TIC (PETIC), en procura de buscar una mayor
eficiencia y eficacia en el uso de las tecnologas, y de coadyuvar en un mejor
servicio a los usuarios de los servicios de TIC. Al respecto, no obstante se elabor
un plan para el perodo 2003-2005, se observaron desviaciones entre la cartera de
proyectos incorporados en el plan de inversiones y los que en definitiva fueron
ejecutados, lo cual desnaturaliz el propsito principal de la planificacin, cual es
servir de gua a fin de orientar adecuadamente la toma de decisiones y los
recursos por invertir.
La Gestin de Riesgos, elemento importante dentro del marco estratgico,
conlleva la valoracin de factores que tienen estrecha relacin con los
componentes de la administracin de las TIC, tales como la gestin de la
seguridad, la continuidad del servicio, la administracin de proyectos, y la gestin
de calidad, entre otros, los cuales, en caso de materializarse, afectaran
seriamente el logro de los objetivos y metas organizacionales. Al respecto, resulta
importante que la CNFL, dentro del proceso que lleva a cabo para el diseo de su
sistema de riesgos, incorpore aquellos procesos de TIC vinculados con la DTI y
con las reas descentralizadas, as como que considere las directrices para el
establecimiento y funcionamiento del Sistema Especfico de Valoracin del Riesgo
Institucional (SEVRI).
En cuanto a la Gestin de Seguridad, la Compaa ha establecido medidas
relacionadas con los procesos de TIC, pero stas no estn alineadas con las
nuevas polticas que dise la Comisin Gerencial de TI. Al respecto, debe
procurarse el establecimiento de un sistema integral de seguridad sustentado en el
SEVRI, que incorpore la DTI y las reas descentralizadas, y que est vinculado
con los procesos claves del negocio. En cuanto a la Continuidad del Negocio, la
Compaa ha desarrollado algunos intentos por establecer un plan, pero no se ha
llegado a formalizar y estructurar un plan que abarque las TIC, entre otros
elementos, en el cual se identifiquen las medidas oportunas que corresponde
aplicar en procura de mitigar los efectos adversos ante determinada eventualidad,
que posibiliten a la CNFL continuar brindando a sus usuarios el servicio pblico.
Adicionalmente, la gestin de TIC debe estar acompaada de un monitoreo
adecuado de los procesos y actividades que se desarrollan, de manera que el
Consejo de Administracin conozca acerca del nivel de cumplimiento del Plan
Estratgico de TIC y de los objetivos y metas trazados a nivel operativo.
En virtud de lo anterior, se giraron las siguientes disposiciones al Consejo
de Administracin: discutir y aprobar el documento de Polticas y Objetivos

Estratgicos en TIC y el Marco Estratgico de la Comisin Gerencial de TI;

ordenar a la Administracin que elabore un Marco de Gestin de Polticas; y
discutir y aprobar el nuevo Plan Estratgico de TIC y el Sistema de Gestin
Integral de Riesgos.
Por otra parte, se giraron las siguientes disposiciones al Gerente General
de la CNFL: inventariar la normativa, procedimientos y directrices emitidos sobre
aspectos de la gestin de TIC a fin de alinearlos con el documento de Polticas y
Objetivos Estratgicos en TIC; identificar los mbitos de la gestin de TIC que
requieran la emisin y puesta en vigencia de normativa, polticas y procedimientos
adicionales; valorar los documentos tcnicos elaborados en torno a la formulacin
de un nuevo PETIC; ordenar la realizacin de un estudio tcnico que determine
eventuales ajustes en las actividades, competencias y estructura organizativa para
la gestin de TIC; valorar la creacin de un rea funcional que regule lo referente a
la planificacin y el aseguramiento de la calidad de las TIC y los servicios
asociados, y de un rea funcional que se encargue del monitoreo posterior del
esquema, estructura y estndares relativos a la seguridad de TIC, as como de la
revisin, adecuacin e integracin de los manuales, procedimientos y directrices
emitidos en materia de seguridad de TIC; revisar y adecuar los documentos
elaborados por la DTI en materia de valoracin de riesgos relacionados con
sistemas de informacin y comunicacin; desarrollar una gua metodolgica que
regule la priorizacin de los proyectos incorporados en el portafolio de proyectos
en TIC; disear un plan de implementacin tendente al desarrollo de un sistema
de gestin de calidad en materia de TIC; analizar, aprobar y divulgar el documento
Gua de Administracin de Proyectos en TI; y elaborar una propuesta de las
acciones para el desarrollo de un plan integral para la continuidad de los servicios
de las TIC.
Finalmente, se giraron las siguientes disposiciones al Director de TI de la
CNFL: llevar a cabo un anlisis exhaustivo de las recomendaciones pendientes de
cumplimiento emitidas por la Auditora Interna y otros rganos de control en
materia de TIC; formular un plan de implementacin con el detalle de las acciones
para el cumplimiento de dichas recomendaciones; e incorporar dentro de los
informes de labores que la DTI rinde al Consejo de Administracin, un anlisis
sobre el cumplimiento del PETIC en operacin, a fin de que el nivel superior se
informe sobre el grado de avance de ese plan estratgico.