San José, 18 de diciembre del 2014

INF-DGAI-035-2014

Señor
Alfredo Abarca Rojas, Director
Dirección de Tecnologías de Información
y Comunicación

ASUNTO: Informe de control interno, sobre

controles de los programas de cómputo.

Estimado señor:

Le presentamos informe de auditoría INF-DGAI-035-2014 referente al estudio realizado por esta Dirección
General de Auditoria Interna sobre la evaluación del control de los programas de cómputo, en la Unidad de
Administración de Software de la Dirección de Tecnología de Información y Comunicación (DTIC) del
Ministerio de Hacienda.

En el estudio se determinaron algunos aspectos de control interno que requieren ser revisados y fortalecidos
de conformidad con las obligaciones dispuestas en la Ley General de Control Interno y el Decreto Ejecutivo
denominado de Legalización de Software en el Gobierno Central y otras leyes conexas.

Las recomendaciones contenidas en este informe, están sujetas a las disposiciones del artículo 36 de la Ley
General de Control Interno, que establece un plazo de diez días hábiles, contados a partir de la fecha de
recibo del informe, para ordenar la implantación de las recomendaciones o si discrepa de ellas, debe elevar la
objeción y soluciones alternas al señor Ministro en el plazo establecido.

Por lo anterior, conforme con esa normativa y el Manual para la atención de informes de la Contraloría
General de la República y la Dirección General de Auditoría Interna vigente en la institución, le agradecemos
comunicar a esta Dirección la decisión que se tome al respecto dentro del plazo antes señalado, así como en
un tiempo razonable, el plan de acción que se defina para su implantación.

Dejándolo informado para la toma de decisiones, se suscribe.

Atentamente,

Master Juan de Dios Araya Navarro

Director General

JDAN/GBM/sfm/ecr

c:. Sr. Helio Fallas Venegas, Ministro de Hacienda

Edificio Virmarel, entre Avenidas 2 y 4, Calle 3era. 50m sur del Teatro Nacional. San José, Costa Rica.
Tel:(506)2539-6686 (506)2539-4232 Fax: 2222-1334 - www.hacienda.go.cr
 Estudio N°005-2014

INFORME SOBRE LA EVALUACIÓN DEL

CONTROL DE LOS PROGRAMAS DE
CÓMPUTO EN EL MINISTERIO DE HACIENDA

INF-DGAI-035-2014

Dirección General de Auditoría Interna

Diciembre 2014

Edificio Virmarel, entre Avenidas 2 y 4, Calle 3era. 50m sur del Teatro Nacional. San José, Costa Rica.
Tel:(506)2539-6686 (506)2539-4232 Fax: 2222-1334 - www.hacienda.go.cr
INFORME SOBRE LA EVALUACIÓN DEL CONTROL DE LOS PROGRAMAS DE CÓMPUTO EN EL
MINISTERIO DE HACIENDA

Tabla de contenido

Resumen Ejecutivo............................................................................................................................................. i
1. Introducción.............................................................................................................................................. 1
1.1 Origen................................................................................................................................................ 1
1.2 Objetivo............................................................................................................................................. 1
1.3 Alcance.............................................................................................................................................. 1
1.4 Comunicación oral de resultados.................................................................................................. 1
1.5 Normativa relacionada en materia de control y atención de informes......................................1
2. Resultados................................................................................................................................................ 2
2.1 Aspectos generales........................................................................................................................... 2
2.2 De las actividades realizadas por la DTIC para el cumplimiento del Decreto N° 37549-JP..3
2.3 Sobre el Sistema de Inventario de Software................................................................................ 4
2.4 Sobre la instalación de software no autorizado y la custodia de documentos........................5
2.5 Sobre los manuales para el uso e instalación de programas y la capacitación de usuarios..7
3. Conclusiones............................................................................................................................................ 8
4. Recomendaciones................................................................................................................................... 8

Edificio Virmarel, entre Avenidas 2 y 4, Calle 3era. 50m sur del Teatro Nacional. San José, Costa Rica.
Tel:(506)2539-6686 (506)2539-4232 Fax: 2222-1334 - www.hacienda.go.cr
INFORME SOBRE LA EVALUACIÓN DEL CONTROL DE LOS PROGRAMAS DE CÓMPUTO EN EL
MINISTERIO DE HACIENDA

Resumen Ejecutivo

Este informe es el resultado de un estudio de auditoria programado en el Plan de Auditoría del año 2014,
orientado para evaluar los controles establecidos en la Unidad de Administración de Software de la Dirección
de Tecnología de Información y Comunicación (DTIC,) sobre los programas de software contenidos en los
equipos de cómputo del Ministerio de Hacienda, para efectos de determinar la razonabilidad de estos para
garantizar el uso autorizado, la salvaguarda de los recursos públicos, y el cumplimiento de la normativa.

El estudio comprendió la revisión de los controles establecidos para administrar el software a nivel
institucional, de conformidad con las obligaciones establecidas en el Decreto Ejecutivo No 37549-JP,
denominado: “Reglamento para la Protección de los Programas de Cómputo en los Ministerios e Instituciones
Adscritas al Gobierno Central” de fecha 1 de marzo de 2013.

En el desarrollo del estudio se determinaron algunos aspectos de control que requieren ser revisados y
corregidos de manera que las actividades emprendidas en función del Decreto Ejecutivo No 37549-JP sean
suficientes para brindar una garantía razonable de que la institución cumple con lo dispuesto en dicho
Reglamento; específicamente en cuanto a lo siguiente:

 El sistema de información diseñado para el registro y control de las licencias de los programas, utiliza
como herramienta informática un sistema denominado “Sistema de Inventario de Software” el cual es
alimentado mediante el levantamiento periódico de las licencias de software instaladas en los
equipos de cómputo por el Ministerio, lo que no permite contar en todo momento con información
actualizada de licencias en existencia, el tipo de licencias que están siendo utilizadas y su costo.

 No se han definido controles que garanticen la confiabilidad y oportunidad de la información

contenida en el inventario, y que tienen que ver con las operaciones que lo incrementan o lo
disminuyen, según se trate de compras, desinstalación, uso o destrucción de licencias, entre otros.

 Se mantienen instaladas en los equipos de la institución una cantidad de licencias de programas

informáticos mayor a las autorizadas.

 No se cuenta con manuales de procedimientos en donde se defina de manera integral, clara y

precisa las rutinas que se deben realizar para el uso e instalación de programas de cómputo, así
como con planes para el entrenamiento de los funcionarios de las diferentes dependencias del
Ministerio en el uso legal de esos programas.

En razón de lo anterior, se emiten las recomendaciones correspondientes, las cuales están sujetas a las
disposiciones del artículo 36 de la Ley N° 8292 Ley General de Control Interno y al Manual para la atención
de informes de la Contraloría General de la República y de la Dirección General de Auditoría Interna en este
Ministerio.

Edificio Virmarel, entre Avenidas 2 y 4, Calle 3era. 50m norte del Teatro Nacional. San José, Costa Rica.
Tel:(506)2539-6686 (506)2539-4232 Fax: 2222-1334 - www.hacienda.go.cr
 INF-DGAI-035-2014
Página 1 de 9

INFORME SOBRE LA EVALUACIÓN DEL CONTROL DE LOS PROGRAMAS DE CÓMPUTO EN EL

MINISTERIO DE HACIENDA

1. I NTRODUCCIÓN

1.1 Origen

El estudio se realizó de conformidad con el Plan de Trabajo Anual del año 2014, de esta Dirección General de
Auditoría Interna.

1.2 Objetivo

Consistió en evaluar los controles establecidos sobre las licencias de los sistemas informáticos del Ministerio,
para efectos de determinar la razonabilidad de estos para garantizar el cumplimiento de la normativa vigente.

1.3 Alcance

Comprendió la evaluación de los controles existentes en la Dirección de Tecnologías de Información y

Comunicación, sobre las licencias de los sistemas informáticos del Ministerio de Hacienda, así como de las
acciones realizadas por esa Dirección para cumplir con las disposiciones contenidas en el Decreto Ejecutivo
No 37549-JP, orientado al uso legal de software en el Gobierno Central, extendiéndose a otros aspectos,
cuando se consideró necesario.

Este estudio se realizó de acuerdo con la normativa aplicable al ejercicio de la Auditoría Interna del Sector
Público.

1.4 Comunicación oral de resultados

Los resultados y recomendaciones que contiene este informe fueron presentados el 18 de diciembre del 2014,
a la licenciada María Isabel Vargas Zúñiga, Subdirectora de la Dirección General de Tecnología de
Información y Comunicación, Licenciada Patricia Hidalgo González, Jefe del Área de Sistemas y Licenciado
Roy Muñoz Rodríguez, Jefe de la Unidad de Administración de Software. Las observaciones realizadas por
los participantes, en lo procedente, fueron consideradas en este informe.

1.5 Normativa relacionada en materia de control y atención de informes

A fin de prevenir efectos negativos por inobservancia de la legislación vigente, a continuación se transcriben
los artículos de la Ley General de Control Interno N° 8292 (LGCI), que regulan los deberes del jerarca y
titulares subordinados en materia de control y atención de informes.

“Artículo 10. -Responsabilidad por el sistema de control interno . // Serán responsabilidad del jerarca y
del titular subordinado establecer, mantener, perfeccionar y evaluar el sistema de control interno institucional.
Asimismo, será responsabilidad de la administración activa realizar las acciones necesarias para garantizar su
efectivo funcionamiento.”

“Artículo 12. -Deberes del jerarca y de los titulares subordinados en el sistema de control interno.
“…c) Analizar e implantar, de inmediato, las observaciones, recomendaciones y disposiciones formuladas por

Edificio Virmarel, entre Avenidas 2 y 4, Calle 3 era. 50 m sur del Teatro Nacional. San José, Costa Rica.
Tel:(506)2539-6686 (506)2539-4232 Fax: 2222-1334 - www.hacienda.go.cr
 INF-DGAI-035-2014
Página 2 de 9

la auditoría interna, la Contraloría General de la República, la auditoría externa y las demás instituciones de
control y fiscalización que corresponde…”

Artículo 36. —Informes dirigidos a los titulares subordinados. // Cuando los informes de auditoría
contengan recomendaciones dirigidas a los titulares subordinados, se procederá de la siguiente manera: a) El
titular subordinado, en un plazo improrrogable de diez días hábiles contados a partir de la fecha de recibido el
informe, ordenará la implantación de las recomendaciones. Si discrepa de ellas, en el transcurso de dicho
plazo elevará el informe de auditoría al jerarca, con copia a la auditoría interna, expondrá por escrito las
razones por las cuales objeta las recomendaciones del informe y propondrá soluciones alternas para los
hallazgos detectados .b) Con vista de lo anterior, el jerarca deberá resolver, en el plazo de veinte días hábiles
contados a partir de la fecha de recibo de la documentación remitida por el titular subordinado; además,
deberá ordenar la implantación de recomendaciones de la auditoría interna, las soluciones alternas
propuestas por el titular subordinado o las de su propia iniciativa, debidamente fundamentadas. Dentro de los
primeros diez días de ese lapso, el auditor interno podrá apersonarse, de oficio, ante el jerarca, para
pronunciarse sobre las objeciones o soluciones alternas propuestas. Las soluciones que el jerarca ordene
implantar y que sean distintas de las propuestas por la auditoría interna, estarán sujetas, en lo conducente, a
lo dispuesto en los artículos siguientes. c) El acto en firme será dado a conocer a la auditoría interna y al
titular subordinado correspondiente, para el trámite que proceda.”

“Artículo 39. —Causales de responsabilidad administrativa. // El jerarca y los titulares subordinados

incurrirán en responsabilidad administrativa y civil, cuando corresponda, si incumplen injustificadamente los
deberes asignados en esta Ley, sin perjuicio de otras causales previstas en el régimen aplicable a la
respectiva relación de servicios.//El jerarca, los titulares subordinados y los demás funcionarios públicos
incurrirán en responsabilidad administrativa, cuando debiliten con sus acciones el sistema de control interno u
omitan las actuaciones necesarias para establecerlo, mantenerlo, perfeccionarlo y evaluarlo, según la
normativa técnica aplicable.//(…) Igualmente, cabrá responsabilidad administrativa contra los funcionarios
públicos que injustificadamente incumplan los deberes y las funciones que en materia de control interno les
asigne el jerarca o el titular subordinado, incluso las acciones para instaurar las recomendaciones emitidas
por la auditoría interna, sin perjuicio de las responsabilidades que les puedan ser imputadas civil y
penalmente…”

2. R ESULTADOS

2.1 Aspectos generales

De conformidad con el Decreto Ejecutivo No. N° 37859-H1 se crea la Dirección de Tecnologías de Información
y Comunicación (DTIC), cuyo objetivo es coordinar y asegurar el cumplimiento de las actividades de la gestión
de Tecnologías de Información y Comunicación, que permitan el alineamiento con los objetivos estratégicos
del Ministerio y sus funciones operativas. En este mismo Decreto se crea la Unidad de Administración del
Software, cuyo fin es administrar el software a nivel institucional y gestionar iniciativas para la implementación
de soluciones de software libre y/o licenciado.

El uso legal de programas informáticos y los mecanismos de control correspondientes se encuentran

regulados desde la promulgación del Decreto Ejecutivo No 30151-J2 y posteriormente por el No 37549-JP3,
1 Decreto de Organización y Funciones de la DTIC, publicado en el diario oficial La Gaceta Nº 167 del 2 de setiembre del 2013

2 Publicado en el diario oficial La Gaceta N°37 del 21/02/2002, derogado por el artículo 16 del Reglamento para la Protección de los Programas de
Cómputo en los Ministerios e Instituciones Adscritas al Gobierno Central, aprobado mediante decreto ejecutivo N° 37549 del 26 de noviembre de 2012.

3 Publicado en el diario oficial La Gaceta N° 43 del 01/03/2013

Edificio Virmarel, entre Avenidas 2 y 4, Calle 3 era. 50 m sur del Teatro Nacional. San José, Costa Rica.
Tel:(506)2539-6686 (506)2539-4232 Fax: 2222-1334 - www.hacienda.go.cr
 INF-DGAI-035-2014
Página 3 de 9

emitido para prevenir y combatir el uso ilegal de programas de cómputo, con el fin de cumplir con las
disposiciones sobre derecho de autor que establecen la “Ley sobre Derechos de Autor y Derechos Conexos”
y la “Ley de Procedimientos de Observancia de los Derechos de Propiedad Intelectual”, acatando las
provisiones pertinentes de los acuerdos internacionales, incluyendo el “Acuerdo sobre los Aspectos de los
Derechos de Propiedad Intelectual relacionados con el Comercio” y también las otras disposiciones de la
normativa nacional vigente.

Se establecen en el capítulo I, artículo Nº 2 y capítulo II artículos N°8, 9, 10, 11 y 12 del Decreto Ejecutivo No
37549-JP, una serie de regulaciones relacionadas con la instalación de los programas de cómputo y con las
reglas que debe cumplir el experto en informática de cada entidad de Gobierno Central, para la adquisición
y utilización de programas de cómputo.

De acuerdo con lo expuesto, en esa normativa es clara la responsabilidad de la DTIC de mantener

información sobre la adquisición y utilización de programas de cómputo con sus respectivas licencias de uso.

Según información suministrada por la Licda. Vanessa Bolaños, de la Unidad de Estrategia TIC de la DTIC, en
el Ministerio de Hacienda en el año 2014 se presupuestó para la adquisición de licencias, la suma de
¢2.022.769.410,00 distribuida de la siguiente forma:

Tipo de licencia Monto presupuestado

· Microsoft ¢1.684.165.370 (mil seiscientos ochenta y cuatro millones ciento
sesenta y cinco mil trescientos setenta colones)
· Scan Egine ¢4.320.000 ( cuatro millones trescientos veinte mil colones)
. Genexus ¢3.740.040 (tres millones setecientos cuarenta mil cuarenta colones)
· Antivirus ¢57.600.000 (cincuenta y siete millones seiscientos mil colones)
· VMware ¢100.800.000 (cien millones ochocientos mil colones)
· SIGADE ¢172.000.000 (ciento setenta y dos millones de colones)
· Software para encriptar ¢144.000 (ciento cuarenta y cuatro mil colones).
datos en el data protector

2.2 De las actividades realizadas por la DTIC para el cumplimiento del Decreto N° 37549-JP.

De acuerdo al estudio realizado, se evidencia un gran esfuerzo por parte de la DTIC para dar cumplimiento a
las disposiciones contenidas en el Decreto Ejecutivo N°37549-JP del 01 de marzo de 2013 de legalización de
software en el Gobierno Central, no solo con el establecimiento de una Unidad de Administración de Software
encargada del control y seguimiento del licenciamiento institucional, sino también en cuanto a la
implementación de mecanismos de control, para una adecuada custodia y control de inventarios de los
programas informáticos y de equipo de cómputo adquiridos por el Ministerio.

Con estas acciones, se han centralizado las funciones de control de las licencias de programas en esa
Unidad, minimizando así los riesgos sobre esos bienes y evitando que la información sobre hardware y
software se encuentre dispersa en las diferentes dependencias del Ministerio, en concordancia con la
proyección institucional y de conformidad con las disposiciones que se presentan en el Decreto No 37549-JP,
supracitado.

En el momento del estudio, se habían realizado algunas mejoras en cuanto a la automatización en la captura
de información relativa a las licencias de software por medio de un sistema denominado ISWEB (Inventario de
Software) el cual es una herramienta desarrollada para tener a disposición un inventario de software de los

Edificio Virmarel, entre Avenidas 2 y 4, Calle 3 era. 50 m sur del Teatro Nacional. San José, Costa Rica.
Tel:(506)2539-6686 (506)2539-4232 Fax: 2222-1334 - www.hacienda.go.cr
 INF-DGAI-035-2014
Página 4 de 9

equipos pertenecientes al Ministerio de Hacienda, permitiendo el control del licenciamiento con el que se
cuenta, así como de los contratos de cada una de las licencias. En el mismo orden de cosas, se han emitido
y comunicado directrices sobre la instalación de software autorizado a través de circulares a la
Administración.

Sin embargo, están pendientes algunas soluciones sustantivas en cuanto al mejoramiento del sistema de
inventario de software, la definición de procedimientos para el levantamiento de inventarios de software
autorizado y el establecimiento de políticas y criterios administrativos, para la instalación de licencias y
entrenamiento de usuarios, que no han sido llevadas a cabo, las cuales se estima, sean solventadas con el
nuevo contrato de arrendamiento y se detallan en los siguientes puntos.

2.3 Sobre el Sistema de Inventario de Software.

La norma 5.6 de las “Normas de control interno para el Sector Público” (N-2-2009-CO-DFOE), emitidas por la
Contraloría General de la República, con respecto a la calidad de la información, señala:

“El jerarca y los titulares subordinados, según sus competencias, deben asegurar razonablemente que los
sistemas de información contemplen los procesos requeridos para recopilar, procesar y generar información
que responda a las necesidades de los distintos usuarios. (….)”

De acuerdo con el Decreto Ejecutivo N° 37549-JP, el Ministerio deberá mantener un sistema de información
que registre los resultados del inventario de equipos y licencias adquiridas, e instalaciones (equipos donde se
tienen instaladas las licencias permitidas bajo tales autorizaciones), sistema que permitirá determinar si tienen
suficientes autorizaciones para cubrir todos los equipos y los programas en uso, ello permitirá establecer que
se cumple con la protección de los derechos de autor relativos a los programas de cómputo. En el sistema
deberá constar la fecha de instalación y el funcionario que autoriza la instalación de la licencia.

Al respecto, se logró determinar que en la Unidad de Administración de Software de la DTIC (UAS), se

mantiene un sistema que permite llevar un control de las licencias de software adquiridas por el Ministerio,
así como del equipo de cómputo donde se mantienen instaladas esas licencias; sin embargo, este sistema no
le permite llevar un registro permanente de las entradas y salidas y el saldo del software licenciado a una
fecha determinada.

El Sistema de Información ISWEB o IS Sistema de Inventario de Software, es el sistema que se ha

implementado en la Unidad de Administración de Software (UAS) para almacenar la información del software
y equipo de cómputo adquirido por el Ministerio (compra , alquiler, desarrollo), el cual está dispuesto para
identificar el usuario, el número de patrimonio, la ubicación, y el tipo de software, así como para obtener la
información del software instalado en cada dependencia y emitir información relacionada con las solicitudes
de instalación recibidas.

No obstante, la información que contiene el ISWEB, no corresponde a la de un registro de inventario

permanente de licencias de programas y equipo sino que es el resultado del levantamiento de un listado del
software instalado en los equipos adquiridos por el Ministerio, que se realiza en forma periódica mediante
visitas a las unidades de las diferentes dependencias del Ministerio o por acceso remoto, obteniendo la
información del software instalado en los equipos, lo que no permite contar en todo momento con información
actualizada sobre las licencias adquiridas, en uso o en desuso.

Además, no registra información relativa a movimientos de inventario por la adquisición y baja de licencias, y
al no mantener información actualizada, no permite obtener reportes oportunos a una fecha determinada.

Edificio Virmarel, entre Avenidas 2 y 4, Calle 3 era. 50 m sur del Teatro Nacional. San José, Costa Rica.
Tel:(506)2539-6686 (506)2539-4232 Fax: 2222-1334 - www.hacienda.go.cr
 INF-DGAI-035-2014
Página 5 de 9

Asimismo, solo cuenta con un reporte, no cuenta con roles ni perfiles y tampoco con bitácoras a nivel de
sistema; y a la fecha del estudio no se logró observar información de los sistemas que han sido desarrollados
en el Ministerio, como tampoco información actualizada con la totalidad de licencias de SW, clasificadas por
programa. Además, no posee información sobre las licencias, en cuanto a la fecha en que fueron
adquiridas, costo, la fecha de instalación y quien autoriza.

Adicionalmente, no se han definido controles que garanticen la confiabilidad y oportunidad de la información

contenida en el inventario, y que tienen que ver con las operaciones que lo incrementan o lo disminuyen,
según se trate de compras, desinstalación, uso o destrucción de licencias, entre otros.

Un sistema de inventario permanente, le permitiría al Ministerio tener información exacta en una fecha
determinada de la cantidad de licencias en existencia, el tipo que están siendo utilizadas y su costo.
Además, se podrían hacer seguimientos y verificaciones por muestreo, para cotejar la información contenida
en las computadoras con relación al inventario que se mantiene en el sistema, debido a la actualización de
los datos.

Lo anterior, conlleva un efecto positivo sobre el control de esos componentes, por la información actualizada;
y al ejercerse un control constante, se minimiza la pérdida de esos bienes, con la consiguiente salvaguarda
de los recursos de la organización por una mejor administración, minimizando así los riesgos potenciales
que los puedan afectar.

De acuerdo a lo expuesto, se puede decir que si bien la UAS ha realizado esfuerzos por mantener un sistema
de información para el registro y control de software y equipo de cómputo, se hace necesario que esa Unidad
establezca los controles necesarios para el registro oportuno de los movimientos de inventario, así como las
acciones correctivas para mejorar los módulos y aplicaciones del ISWEB de tal forma que mantenga
información completa y actualizada que dé apoyo a las operaciones, la gestión y la toma de decisiones sobre
las licencias y sus instalaciones, proporcionando a los usuarios la información que necesitan mediante el uso
de esa tecnología, de manera oportuna y de conformidad con lo que disponen el Decreto Ejecutivo No
37549-JP, y las disposiciones sobre derechos de autor que establecen las leyes N° 6683 y N° 8039.

2.4 Sobre la instalación de software no autorizado y la custodia de documentos

Respecto a la instalación de programas de cómputo, se determinó que aun cuando el sistema IS (Inventario
de Software) que maneja la UAS es una herramienta desarrollada para llevar un control del licenciamiento con
el que cuenta el Ministerio de Hacienda, se mantiene en uso software no licenciado o autorizado en
contraposición a lo establecido en el Decreto Ejecutivo N° 37549-JP.

Esta condición se comprobó no solo en los reportes que genera ese Sistema, sino en el informe que brindó el
Departamento de Control y Aseguramiento en conjunto con la Unidad de Administración de Software de la
DTIC, en oficio DTIC-DCA-UAS-025-2014 de fecha 27 de junio de 2014 dirigido a la Licenciada Vannessa
Cohen Jiménez, Directora Oficina Derechos de Autor y Conexos del Registro Nacional, mediante el cual se
informa sobre el estado del Ministerio en cuanto a la implementación del Decreto Ejecutivo N° 37549-JP, y
en donde también se indica, que hay más licencias instaladas que las autorizadas en algunos programas o
aplicaciones.

De acuerdo con la revisión de reportes que emite el Sistema de Inventario administrado por la Unidad de
Administración de Software, se identificó una lista de licencias de software en uso que exceden las
autorizadas, según se observa a continuación:

Edificio Virmarel, entre Avenidas 2 y 4, Calle 3 era. 50 m sur del Teatro Nacional. San José, Costa Rica.
Tel:(506)2539-6686 (506)2539-4232 Fax: 2222-1334 - www.hacienda.go.cr
 INF-DGAI-035-2014
Página 6 de 9

Detalle de licencias informáticas del Ministerio de Hacienda al 30 de junio 2014

LICENCIA CANTIDAD INSTALACIONE EXCEDENTE

DE S
LICENCIAS
Office professional 2800 3876 1076
Windows Pro 2800 3467 667
Project Professional 80 2456 2376
System Center Operations Manager 12 14 2
Visio Professional 166 2545 2379
Visual Studio 32 170 138
GTE (Tesorería Nacional) 50 69 19
CCX 5.0 PREMIUM 10 agentes 10 23 13
ACL 42 56 14
IBM Lotus Domino Enterprise Client 16 32 16
access
SAP -481 817 1298 481
Websense 2000 3460 1460

Fuente: reportes del IS WEB o Sistema de Inventario de Software

En cuanto a la custodia de los documentos relativos a las licencias de SW, se determinó que los encontrados
en los ampos revisados, en su mayoría están desactualizados, no llevan un orden estricto de archivo y en
algunos casos con duplicación de la copia de la licencia en otro ampo, lo que evidencia que los documentos
no se tienen centralizados en un solo lugar para facilitar el acceso a los archivos y a toda la información
asociada a estas; además, se evidenció que el original de los documentos sobre programas de software
adquiridos por las diferentes dependencias del Ministerio se mantienen en custodia del programa
presupuestario que adquirió la licencia.

La falta de un sistema de control para el uso y control de licencias de programas, así como para la
salvaguarda de la documentación relativa a esas licencias, infringe lo dispuesto en los artículos 2 y 8 del
Decreto Ejecutivo N° 37549-JP sobre Derechos de Autor y normativa relacionada, debido a que podría
presentar el riesgo de uso de software ilegal en los equipos del Ministerio, comprometiendo incluso la
seguridad de la información manejada en las redes internas de la Institución.

Asimismo existe riesgo en cuanto a la gestión documental y de custodia de documentos relativos al software
licenciado adquirido por el Ministerio, ya que la situación determinada sobre el acceso a los archivos y a toda
la información asociada a esos dispositivos informáticos, puede provocar el extravío de documentos y no
permite llevar un control efectivo sobre la cantidad de licencias adquiridas y su fecha de vencimiento.

Al respecto, la norma 5.4 de las “Normas de control interno para el Sector Público” (N-2-2009-CO-DFOE), con
respecto a la gestión documental, señala lo siguiente:

“El jerarca y los titulares subordinados, según sus competencias, deben asegurar razonablemente que los
sistemas de información propicien una debida gestión documental institucional, mediante la que se ejerza
control, se almacene y se recupere la información en la organización, de manera oportuna y eficiente, y de
conformidad con las necesidades institucionales.”

En el mismo orden de cosas, el l inciso b) del artículo 2 del Decreto N° 37549-JP, con respecto al archivo de
documentos relativo a las licencias de SW, señala:

Edificio Virmarel, entre Avenidas 2 y 4, Calle 3 era. 50 m sur del Teatro Nacional. San José, Costa Rica.
Tel:(506)2539-6686 (506)2539-4232 Fax: 2222-1334 - www.hacienda.go.cr
 INF-DGAI-035-2014
Página 7 de 9

“Garantizar que se tengan suficientes autorizaciones para cubrir todos los equipos y los programas en uso,
guardándose la documentación correspondiente en un solo lugar con la custodia necesaria”.

El artículo 8º de este mismo Decreto con relación a la instalación de programas de software, dispone lo
siguiente:

“Queda totalmente prohibido la instalación de programas de cómputo que no cuenten con la respectiva
licencia de uso legal en ninguna oficina del Gobierno Central e instituciones adscritas. Los programas
solamente podrán ser instalados por el experto en informática autorizado o por quien este determine para el
buen desempeño de las funciones designadas. Cualquier violación a las normas de derechos de autor por
parte de los funcionarios de los Ministerios e Instituciones adscritas al Gobierno Central, se procederá con la
apertura del debido proceso con el fin de aplicar la sanción de carácter administrativo disciplinario que
corresponda.”

Durante de la Comunicación de resultados y recomendaciones, los funcionarios de la DTIC, Licda. María

Isabel Vargas Zúñiga, Subdirectora y el Lic. Roy Muñoz Rodriguez, indicaron, que dichos datos ya habían
variado sustancialmente producto de las medidas adoptadas por esa Dirección así como de la coyuntura que
se presentó con la nueva contratación y cambio de equipos.

2.5 Sobre los manuales para el uso e instalación de programas y la capacitación de usuarios.

La norma 5.8 de las “Normas de control interno para el Sector Público” (N-2-2009-CO-DFOE), respecto al
control de sistemas de información, dispone lo siguiente:

“El jerarca y los titulares subordinados, según sus competencias, deben disponer los controles pertinentes
para que los sistemas de información garanticen razonablemente la calidad de la información y de la
comunicación, la seguridad y una clara asignación de responsabilidades y administración de los niveles de
acceso a la información y datos sensibles, así como la garantía de confidencialidad de la información que
ostente ese carácter.”

En el mismo orden de cosas, el artículo 1 del Decreto Ejecutivo N° 37549-JP, con relación a los manuales de
procedimientos, señala lo que se transcribe a continuación:

“Cada Ministerio o Institución adscrita al Gobierno Central, elaborará manuales para el uso e instalación de
programas de ordenador y velarán por el entrenamiento de todos los funcionarios de su dependencia, de
acuerdo con las necesidades y el uso legal de los programas de cómputo, incluyendo la expedición de notas
de advertencia, el establecimiento y la aplicación de medidas disciplinarias por incumplimiento de las
disposiciones del presente Decreto.”

Al respecto, no se logró determinar que en la Unidad de Administración de Software se hayan establecido

manuales de procedimientos formales en donde se defina de manera integral, clara y precisa las rutinas que
se deben realizar para el uso e instalación de programas de cómputo, así como , así como de planes de
entrenamiento para los funcionarios de las diferentes dependencias del Ministerio en el uso legal de esos
programas, que garantice la aplicación correcta de la normativa que rige la materia y que exista uniformidad
de criterio y consistencia en su aplicación, por parte de los funcionarios usuarios de esa tecnología y de los
encargados de realizar los procesos de instalación de SW. Asimismo, los manuales de procedimientos
existentes se encuentran en proceso de adaptación o desactualizados, y otros en proceso de revisión e
implementación.

Edificio Virmarel, entre Avenidas 2 y 4, Calle 3 era. 50 m sur del Teatro Nacional. San José, Costa Rica.
Tel:(506)2539-6686 (506)2539-4232 Fax: 2222-1334 - www.hacienda.go.cr
 INF-DGAI-035-2014
Página 8 de 9

Al no contar con políticas y procedimientos establecidos para el control de las licencias de SW adquiridas por
el Ministerio, que contemple el establecimiento de responsabilidades por incumplimiento de las disposiciones
contenidas en el Decreto Ejecutivo N° 37549- JP, así como a la capacitación a los usuarios y técnicos de los
programas de la Institución, se afecta el cumplimiento adecuado de los deberes y funciones que le competen
a la Unidad de Administración de Software en la realización de los procesos relativos al control y
administración del software, según lo establecido en el Decreto N° 37859-H 4 y por consiguiente de las tareas
que deben realizar los funcionarios encargados de su ejecución.

3. C ONCLUSIONES

Con la revisión realizada, se concluye lo siguiente:

3.1 Con la creación de la Unidad de Administración de Software de la DTIC, mediante el Decreto

Ejecutivo N°37859-H el Ministerio dio un paso importante en sus esfuerzos por cumplir con las disposiciones
contenidas en el Decreto Ejecutivo N°37549-JP que tiene como objetivo la prevención y el combate del uso
ilegal de programas de cómputo. Asimismo, en relación con dicho objetivo, la unidad mencionada ha
realizado acciones tendentes a la definición y establecimiento de controles que le permitan mantener control
de las licencias de programas informáticos adquiridas, utilizadas y en desuso, así como de la documentación;
física y digital que las respaldan. (Ver punto 2.1 y 2.2 de este informe)

3.2 No se ha obtenido resultados suficientes para evitar que se incumpla con la normativa emitida en el
Decreto Ejecutivo N° 37549- JP, esto, por cuanto existen algunos aspectos de control que deben corregirse,
en cuanto a la revisión del Sistema de Inventario de Software que maneja la UAS, para que facilite
información precisa a la fecha en que se necesite obtener la información sobre la cantidad de licencias de
programas en existencia, así como otras aplicaciones necesarias para un efectivo control de esas licencias, la
exclusión de instalaciones no autorizadas en cierto tipo de software, la formalización de los procedimientos
para el uso e instalación de programas de software, así como de entrenamiento y de seguimiento y control
necesarios para el debido cumplimiento de las directrices emitidas por la DTIC, sin dejar de lado, una solución
al problema de gestión documental en el caso de los derechos de uso de las licencias. (Ver puntos 2.3, 2.4 y
2.5 de este informe)

1. R ECOMENDACIONES

Para colaborar con la Administración en el fortalecimiento del control interno, sobre el manejo de licencias de
software en los equipos del Ministerio, se recomienda la ejecución de las siguientes acciones:

4.1 Tomar la medidas necesarias a fin de que el sistema de información que lleva la Unidad de Administración
de Software para el control de las licencias de programas informáticos, constituya un control permanente de
la licencias adquiridas por el Ministerio. Para estos efectos se deberá incluir información sobre cada una de
las licencias en cuanto a cantidad, fecha de adquisición, plazo de vigencia, ubicación, dependencia o unidad,
costo, autorización, entre otros.

4.2 Ordenar las acciones de necesarias para el fortalecimiento del sistema de control interno, de tal forma
que le garantice el registro oportuno de todos los movimientos de inventario de software, sean estos por
adquisición, instalación, desinstalación, destrucción, donación, entre otros.

4 Decreto de Organización y Funciones de la DTIC Publicado en el diario oficial La Gaceta Nº 167 del 2 de setiembre del 2013

Edificio Virmarel, entre Avenidas 2 y 4, Calle 3 era. 50 m sur del Teatro Nacional. San José, Costa Rica.
Tel:(506)2539-6686 (506)2539-4232 Fax: 2222-1334 - www.hacienda.go.cr
 INF-DGAI-035-2014
Página 9 de 9

4.3 Continuar con los esfuerzos que se realizan para asegurar la instalación únicamente de licencias
autorizadas, así como para remover en un plazo razonable las instaladas sin el respaldo legal
correspondiente.

4.4 Tomar las medidas correspondientes para que se definan y apliquen medidas para el archivo de las
licencias de programas informáticos, sean estas físicas o digitales, de manera que el Ministerio cuente con un
archivo centralizado y actualizado de licencias, de fácil acceso y revisión en el momento que una instancia lo
requiera.

4.5 Formalizar los procedimientos para el uso e instalación de software a través de manuales de
procedimientos, así como el establecimiento de los planes de entrenamiento del personal del Ministerio, de
conformidad con lo que dicta el Decreto N°37549- JP.

Por último, recordamos que estas recomendaciones están sujetas a las disposiciones del artículo 36 de la Ley
Nº 8292, Ley General de Control Interno, que establece un plazo de diez días hábiles contados a partir de la
fecha de recibido el informe, para ordenar la implantación de las recomendaciones. Si discrepa de ellas, en el
transcurso de dicho plazo deberá elevar las objeciones con las acciones alternas ante el Jerarca y enviar
copia a la Auditoría Interna.

Con base en lo anterior, se le solicita respetuosamente proceder en lo que corresponda, con la aplicación de
esta normativa y el Manual para la atención de informes de la Contraloría General de la República y de la
Dirección General de Auditoría Interna, según Decreto Ejecutivo Nº 34323-H del 22 de febrero de 2008, y
comunicar a esta Dirección, la aceptación de las recomendaciones dentro del plazo de diez días hábiles
señalado, así como en un plazo razonable el plan de acción que se defina para puesta en ejecución de las
acciones en concreto que implemente.

Shirley Fernández Murillo Edgar Cuadra Ramirez

Profesional Informatico 1B Profesional de Auditoría Interna 3

Guillermo Badilla Martínez Juan de Dios Araya Navarro

Coordinador Auditoría Servicios Corporativos Directror General

c. Estudio N° 005-2014

Edificio Virmarel, entre Avenidas 2 y 4, Calle 3 era. 50 m sur del Teatro Nacional. San José, Costa Rica.
Tel:(506)2539-6686 (506)2539-4232 Fax: 2222-1334 - www.hacienda.go.cr