Read Ti-06-09 text version

INFORME DE AUDITORÍA TI-06-09 2 de junio de 2006 Departamento de Transportación y Obras Públicas Sistemas de Información Computadorizados (Unidad 5320 - Auditoría 12648)

Período auditado: 9 de julio de 2004 al 31 de octubre de 2005

Informe de Auditoría TI-06-09 2 de junio de 2006 Unidad 5320 - Auditoría 12648

1

CONTENIDO Página INFORMACIÓN SOBRE LA UNIDAD AUDITADA............................................................. 3 RESPONSABILIDAD DE LA GERENCIA ............................................................................. 6 ALCANCE Y METODOLOGÍA ............................................................................................... 7 OPINIÓN...................................................................................................................................... 7 RECOMENDACIONES ............................................................................................................. 8 AL SECRETARIO DE TRANSPORTACIÓN Y OBRAS PÚBLICAS ............................... 8 CARTAS A LA GERENCIA.................................................................................................... 10 COMENTARIOS DE LA GERENCIA ................................................................................... 10 AGRADECIMIENTO............................................................................................................... 11 RELACIÓN DETALLADA DE HALLAZGOS..................................................................... 12 CLASIFICACIÓN Y CONTENIDO DE UN HALLAZGO................................................ 12 HALLAZGOS EN LOS SISTEMAS DE INFORMACIÓN COMPUTADORIZADOS DEL DEPARTAMENTO DE TRANSPORTACIÓN Y OBRAS PÚBLICAS................... 13 1 - Deficiencias en la validación de la información registrada en el Sistema DAVID ....................................................................................................... 13 2 - Deficiencias relacionadas con el control de acceso al Sistema DAVID................... 15 3 - Falta de controles adecuados para la detección y corrección de errores durante la entrada de datos ...................................................................................... 18 4 - Atrasos en el registro de boletos adjudicados a conductores y a vehículos............. 21 5 - Falta de procedimientos escritos para el registro, la cancelación, la corrección y la invalidación de los boletos de multas............................................................... 23 6 - Falta de controles para el recibo, la custodia, la distribución y el archivo de los boletos de multa y su documentación relacionada ............................................ 24 7 - Falta de actualización del Manual del Usuario y otras deficiencias en la documentación del Sistema DAVID ........................................................................ 27

2

Informe de Auditoría TI-06-09 2 de junio de 2006 Unidad 5320 - Auditoría 12648

8 - Falta de controles en el proceso de adquisición y recibo de las libretas de boletos de multas y deficiencia en el formato de fecha establecido........................29 ANEJO 1 - FUNCIONARIOS PRINCIPALES DEL NIVEL EJECUTIVO QUE ACTUARON DURANTE EL PERÍODO AUDITADO.........................................................32

Informe de Auditoría TI-06-09 2 de junio de 2006 Unidad 5320 - Auditoría 12648

3

Estado Libre Asociado de Puerto Rico OFICINA DEL CONTRALOR San Juan, Puerto Rico

2 de junio de 2006

Al Gobernador y a los presidentes del Senado y de la Cámara de Representantes Realizamos una auditoría de las operaciones de los Sistemas de Información Computadorizados del Departamento de Transportación y Obras Públicas (Departamento) para determinar si se hicieron de acuerdo con las normas generalmente aceptadas en este campo y si el sistema de control interno establecido para el procesamiento de las transacciones era adecuado. Efectuamos la misma a base de la facultad que se nos confiere en la Sección 22 del Artículo III de la Constitución del Estado Libre Asociado de Puerto Rico y en la Ley Núm. 9 del 24 de julio de 1952, según enmendada. Determinamos emitir dos informes de dicha auditoría. Éste es el segundo y último informe y contiene el resultado de nuestro examen de los controles y los procedimientos utilizados para el procesamiento de los boletos de multas mediante el Sistema Drivers and Vehicles Information Database (DAVID). El primer informe se emitió el 8 de febrero de 2006 y contiene el resultado de nuestro examen sobre los controles, programas y procedimientos necesarios para el uso correcto y adecuado de las microcomputadoras, y la función de auditoría interna en los sistemas de información. (Informe de Auditoría TI-06-04) INFORMACIÓN SOBRE LA UNIDAD AUDITADA El Departamento se estableció mediante la Sección 6 del Artículo IV de la Constitución del Estado Libre Asociado de Puerto Rico. Mediante el Plan de Reorganización Núm. 6 del 1971, que entró en vigor el 2 de enero de 1973, se denominó como

4

Informe de Auditoría TI-06-09 2 de junio de 2006 Unidad 5320 - Auditoría 12648

Departamento de Transportación y Obras Públicas y se le adscribió la Autoridad de Carreteras, la Autoridad de los Puertos de Puerto Rico y la Autoridad Metropolitana de Autobuses. Mediante la Ley Núm. 65 del 17 de agosto de 1989 se excluyó la Autoridad de los Puertos de Puerto Rico del Departamento. Mediante la Ley Núm. 1 del 6 de marzo de 1991 se denominó a la Autoridad de Carreteras como Autoridad de Carreteras y Transportación y se le facultó para ser el principal implantador del plan de transportación e implantar la política pública sobre la transportación colectiva establecida por el Secretario de Transportación y Obras Públicas. El propósito básico del Departamento es desarrollar un sistema de transportación integral funcionalmente eficiente y seguro para el tránsito vehicular y peatonal que propicie el desarrollo económico, esencial para el bienestar de la ciudadanía. Existen diferentes leyes que asignan funciones especiales al Departamento, tales como: reglamentar el uso de las carreteras, hacer compulsoria la inspección de vehículos de motor, reglamentar los depósitos de chatarra, regular el uso y la fijación de rótulos en las carreteras, realizar un inventario de todos los bienes patrimoniales del Estado Libre Asociado de Puerto Rico, y establecer el uso de tablones de expresión ciudadana. Además, el Departamento tiene la responsabilidad de conservar las carreteras, los puentes y demás estructuras accesorias a las vías públicas del sistema estatal, desarrollar el programa de embellecimiento y ornato en las carreteras, administrar la propiedad inmueble del Estado Libre Asociado de Puerto Rico, realizar estudios y diseños para el mejoramiento de las carreteras, desarrollar campañas educativas para la prevención de accidentes de tránsito, reglamentar el control de acceso a las carreteras estatales y realizar obras para corregir los daños ocasionados por fenómenos naturales en las carreteras. El Departamento está compuesto por las secretarias auxiliares de Planificación y de Administración, y por las directorías de Servicios al Conductor (DISCO), Obras Públicas, Urbanismo y Desarrollo Comunitario. La Directoría de Obras Públicas cuenta con siete oficinas regionales localizadas en Aguadilla, Guayama, Humacao, Manatí (Oficina Regional de Arecibo), Mayagüez, Ponce y San Juan. La DISCO cuenta con 14 centros de servicios al

Informe de Auditoría TI-06-09 2 de junio de 2006 Unidad 5320 - Auditoría 12648

5

conductor (CESCO) localizados en Aguadilla, Arecibo, Barranquitas, Bayamón, Caguas, Carolina, Fajardo, Guayama, Humacao, Manatí, Mayagüez, Ponce, Utuado y Vieques. Dentro de la Secretaría Auxiliar de Administración se encuentra la Oficina de Sistemas de Información (OSI), la cual estaba en proceso de creación desde hacía aproximadamente tres años porque sus puestos no habían sido aprobados por la Oficina Central de Asesoramiento Laboral y Administración de Recursos Humanos 1 . En la OSI se procesan las aplicaciones de nómina irregular, propiedad mueble y ITS Hand Punch (registro y validación de la asistencia de los empleados), entre otros. La Autoridad de Carreteras y Transportación (ACT) se encuentra dentro de la estructura organizacional del Departamento. Bajo la ACT está el Área de Administración y bajo ésta el Área de Tecnología de Información (ATI), quien se encarga de dar apoyo al Departamento y a la DISCO. Las transacciones relacionadas con los vehículos de motor como las multas, las licencias y los registro de vehículos, entre otras, se procesan mediante el Sistema DAVID. Este Sistema es administrado por el personal del ATI, quien se encarga de darle mantenimiento, realizar los cambios necesarios para atemperarlo con las nuevas leyes o los requerimientos de los usuarios y otorgar los códigos de acceso al Sistema. El usuario principal del Sistema es el personal de la DISCO, pero también es utilizado por el personal autorizado del ATI, la Oficina de Servicios al Ciudadano y la Comisión de Seguridad en el Tránsito. La red donde se procesan las transacciones del Sistema DAVID es independiente de la red de la ACT. Las transacciones del Sistema DAVID se procesan en un servidor marca Digital, modelo Alpha, ubicado en el ATI. El servidor utiliza el sistema operativo Virtual Memory System (VMS) y el sistema de seguridad de éste.

1

La Ley Núm. 184 del 3 de agosto de 2004, Ley para la Administración de los Recursos Humanos en el Servicio Público del Estado Libre Asociado de Puerto Rico, reforma el Sistema de Administración de los Recursos Humanos del Estado Libre Asociado de Puerto Rico, redefine las funciones y facultades de la Oficina Central de Asesoramiento Laboral y Administración de Recursos Humanos y la renombra como Oficina de Recursos Humanos del Estado Libre Asociado de Puerto Rico.

6

Informe de Auditoría TI-06-09 2 de junio de 2006 Unidad 5320 - Auditoría 12648

A la fecha de la auditoría, la ACT se encontraba en proceso de actualizar el Sistema DAVID. Para lograrlo desarrolló y estaba en proceso de implantar un nuevo sistema conocido como Sistema Integrado de Servicios al Conductor (SISCO) y estaba instalado en un servidor marca Unix. Éste consistía de una base de datos en DB2 (SQL), lenguaje Java 2 y en un ambiente a base de Web. El Departamento también cuenta con una página de Internet, la cual puede accederse mediante la siguiente dirección: http//www.dtop.gobierno.pr. Esta página provee información de la entidad y de los servicios que presta. Los presupuestos operacionales del Departamento para los años fiscales 2003-04, 2004-05 y 2005-06 ascendieron a $193,335,000, $172,468,000 y $190,307,000, respectivamente. RESPONSABILIDAD DE LA GERENCIA Con el propósito de lograr una administración eficaz, regida por principios de calidad, la gerencia de todo organismo gubernamental, entre otras cosas, es responsable de: 1. 2. 3. 4. 5. 6. 7. 8. Adoptar normas y procedimientos escritos que contengan controles internos de administración y de contabilidad eficaces, y observar que se cumpla con los mismos Mantener una oficina de auditoría interna competente Cumplir con los requisitos impuestos por las agencias reguladoras Adoptar un plan estratégico para las operaciones Mantener el control presupuestario Mantenerse al día con los avances tecnológicos Mantener sistemas adecuados de archivo y de control de documentos Cumplir con el Plan de Acción Correctiva de la Oficina del Contralor de Puerto Rico, y atender las recomendaciones de los auditores externos

Java es un lenguaje general de programa con un número de opciones que hacen de este lenguaje uno bien preparado para ser utilizado en el World Wide Web. El mismo es compatible con navegadores de Internet como Netscape y Microsoft Internet Explorer.

2

Informe de Auditoría TI-06-09 2 de junio de 2006 Unidad 5320 - Auditoría 12648

7

9.

Mantener un sistema adecuado de administración de personal que incluya la evaluación del desempeño, y un programa de educación continua para todo el personal

10. Cumplir con la Ley de Ética Gubernamental, lo cual incluye divulgar sus disposiciones a todo el personal ALCANCE Y METODOLOGÍA La auditoría cubrió del 9 de julio de 2004 al 31 de octubre de 2005. En algunos aspectos se examinaron operaciones de fechas anteriores. El examen lo efectuamos de acuerdo con las normas de auditoría del Contralor de Puerto Rico en lo que concierne a los sistemas de información computadorizados. Realizamos las pruebas que consideramos necesarias, a base de muestras y de acuerdo con las circunstancias. Para efectuar la auditoría utilizamos la siguiente metodología: · · · · · · Entrevistas a funcionarios, a empleados y a particulares Inspecciones físicas Examen y análisis de informes y de documentos generados por la unidad auditada Análisis de información suministrada por fuentes externas Pruebas y análisis de información financiera, de procedimientos de control interno y de otros procesos Confirmaciones de otra información pertinente OPINIÓN Las pruebas efectuadas demostraron que las operaciones del Departamento en lo que concierne a los controles y los procedimientos establecidos para el procesamiento de los boletos de multas mediante el Sistema DAVID se realizaron sustancialmente conforme a las normas generales aceptadas en este campo, excepto por los hallazgos del 1 al 7, clasificados como principales, y el Hallazgo 8, clasificado como secundario. En la parte de este Informe titulada RELACIÓN DETALLADA DE HALLAZGOS se comentan los hallazgos mencionados.

8

Informe de Auditoría TI-06-09 2 de junio de 2006 Unidad 5320 - Auditoría 12648

RECOMENDACIONES AL SECRETARIO DE TRANSPORTACIÓN Y OBRAS PÚBLICAS 1. Ver que la Directora del ATI se asegure de que: a. En desarrollos futuros de programación se requieran los códigos fuentes y la documentación de los programas, que permitan realizar modificaciones a los mismos. [Hallazgos 1 y 7-a.2)] b. Se revise y actualice el Manual del Usuario del Sistema DAVID, conforme a los cambios ocurridos desde septiembre de 1997 y que el mismo se someta para la aprobación del Secretario. [Hallazgo 7-a.1)] c. Se redacte un procedimiento para realizar los cambios a la programación del Sistema. Este procedimiento debe incluir, entre otras cosas, lo siguiente: [Hallazgo 7-b.] 1) El uso de un formulario uniforme para solicitar los cambios a la programación que incluya, entre otras cosas: a) El nombre del solicitante. b) El departamento y número de teléfono. c) La razón del cambio. d) La lista de los programas o módulos a ser modificados. e) La firma del solicitante. f) El nombre y la firma del supervisor. 2) Las instrucciones para completar la solicitud de cambios. 3) El proceso de autorización de los cambios y la identificación de las personas responsables de autorizar los mismos.

Informe de Auditoría TI-06-09 2 de junio de 2006 Unidad 5320 - Auditoría 12648

9

4) El proceso de prueba de cambios. 5) El proceso de autorización de la incorporación al ambiente de producción de los cambios realizados. d. Se establezca un área de prueba para verificar los cambios realizados a los programas, antes de llevarlos a producción. [Hallazgo 7-c.] 2. Se establezca un procedimiento para el otorgamiento de los accesos al Sistema DAVID que incluya, entre otras cosas, las directrices para la utilización y el control de los formularios de accesos (DTOP-728), y para informar los cambios en las funciones de los usuarios de modo que los accesos al sistema se mantengan actualizados. [Hallazgo 2-a. y b.] 3. Se establezca una política de seguridad, según se indica en la Política Núm. TIG-003 de la Carta Circular Núm. 77-05 en la cual, entre otras cosas, se designe la persona encargada de autorizar los accesos al Sistema DAVID. [Hallazgo 2-c.] 4. Ver que el Director Ejecutivo de la DISCO se asegure de que: a. Se establezca un procedimiento que provea los controles necesarios para la detección y la corrección de errores durante el registro de los datos en el Sistema. [Hallazgo 3] b. Se realicen las gestiones pertinentes para evaluar el proceso de registro de boletos, de manera que no se repitan las situaciones comentadas en el Hallazgo 4. c. Se establezcan los procedimientos necesarios para el registro, la cancelación, la edición y la invalidación de los boletos de multa mediante el Sistema, de modo que estos procesos se realicen de manera uniforme, tanto en la DISCO como en los 14 CESCO establecidos. [Hallazgo 5] d. Se establezcan las normas o procedimientos necesarios para realizar y controlar de manera eficiente y uniforme los procesos de recibo, de custodia, de distribución y de archivo de los boletos de multas. Dichas normas o procedimientos deben establecer,

10

Informe de Auditoría TI-06-09 2 de junio de 2006 Unidad 5320 - Auditoría 12648

entre otras cosas, los modelos de los documentos que se utilizarán para el recibo y control de los boletos y quién será el responsable de su aprobación. [Hallazgo 6] e. Se evalúe el establecimiento de controles para la entrega de las libretas de boletos de multas y para uniformar el formato de la fecha, por parte del Área de Servicios Técnicos. [Hallazgo 8-a.1) y b.] f. Se establezcan los controles necesarios para la coordinación del diseño de los boletos de multa estatales y municipales. [Hallazgo 8-a.2)] 5. Ejercer una supervisión continua y eficaz sobre el Director Ejecutivo de la DISCO para asegurarse de que éste le solicite al ATI las modificaciones necesarias para atemperar la programación del Sistema con los cambios surgidos en la Ley de Vehículos de Motor, del 7 de enero de 2001, según enmendada, (Ley Núm. 22). [Hallazgo 4-a.3)] CARTAS A LA GERENCIA El borrador de los hallazgos de este Informe se sometió para comentarios al Secretario del Departamento, Hon. Gabriel Alcaraz Emmanuelli, y al ex Secretario, Dr. Fernando E. Fagundo Fagundo, en cartas del 27 de abril de 2006. COMENTARIOS DE LA GERENCIA En carta del 18 de mayo de 2006 el Secretario nos sometió sus comentarios al borrador de los hallazgos de este Informe. Sus observaciones fueron consideradas en la redacción final del informe. Algunas se incluyen en la parte de este Informe titulada RELACIÓN DETALLADA DE HALLAZGOS, bajo la sección HALLAZGOS EN LOS SISTEMAS DE INFORMACIÓN COMPUTADORIZADOS DEL DEPARTAMENTO DE TRANSPORTACIÓN Y OBRAS PÚBLICAS. El ex Secretario no contestó el borrador de los hallazgos de este Informe que le fuera sometido.

Infonne de Auditoria TI-06-09 2 de junio de 2006 Unidad 5320 - Auditoria 12648

11

AGRADECIMIENTO

A los funcionarios y empleados del Departamento les agradecemos la cooperaci6n que nos prestaron durante nuestra auditoria.

12

Informe de Auditoría TI-06-09 2 de junio de 2006 Unidad 5320 - Auditoría 12648

RELACIÓN DETALLADA DE HALLAZGOS CLASIFICACIÓN Y CONTENIDO DE UN HALLAZGO En nuestros informes de auditoría se incluyen los hallazgos significativos determinados por las pruebas realizadas. Éstos se clasifican como principales o secundarios. Los principales incluyen desviaciones de disposiciones sobre las operaciones de la unidad auditada que tienen un efecto material, tanto en el aspecto cuantitativo como en el cualitativo. Los secundarios son los que consisten en faltas o errores que no han tenido consecuencias graves. Los hallazgos del informe se presentan según los atributos establecidos conforme a las normas de redacción de informes de nuestra Oficina. El propósito es facilitar al lector una mejor comprensión de la información ofrecida. Cada uno de ellos consta de las siguientes partes: Situación - Los hechos encontrados en la auditoría indicativos de que no se cumplió con uno o más criterios. Criterio - El marco de referencia para evaluar la situación. Es principalmente una ley, reglamento, carta circular, memorando, procedimiento, norma de control interno, norma de sana administración, principio de contabilidad generalmente aceptado, opinión de un experto o juicio del auditor. Efecto - Lo que significa, real o potencialmente, no cumplir con el criterio. Causa - La razón fundamental por la cual ocurrió la situación. Al final de cada hallazgo se hace referencia a las recomendaciones que se incluyen en el informe para que se tomen las medidas necesarias sobre los errores, irregularidades o actos ilegales señalados. En la sección sobre los COMENTARIOS DE LA GERENCIA se indica si el funcionario principal y los ex funcionarios de la unidad auditada efectuaron comentarios sobre los hallazgos incluidos en el borrador del informe que les envía nuestra Oficina. Dichos comentarios se consideran al revisar el borrador del informe y se incluyen al final del hallazgo correspondiente

Informe de Auditoría TI-06-09 2 de junio de 2006 Unidad 5320 - Auditoría 12648

13

en

la

sección

de

HALLAZGOS

EN

LOS

SISTEMAS

DE

INFORMACIÓN

COMPUTADORIZADOS DEL DEPARTAMENTO DE TRANSPORTACIÓN Y OBRAS PÚBLICAS, de forma objetiva y conforme a las normas de nuestra Oficina. Cuando la gerencia no provee evidencia competente, suficiente y relevante para refutar un hallazgo, éste prevalece y se añade al final del mismo la siguiente aseveración: Consideramos las alegaciones de la gerencia, pero determinamos que el hallazgo prevalece. HALLAZGOS EN LOS SISTEMAS DE INFORMACIÓN COMPUTADORIZADOS TRANSPORTACIÓN Y OBRAS PÚBLICAS

DEL

DEPARTAMENTO

DE

Los hallazgos del 1 al 7 se clasifican como principales y el Hallazgo 8 como secundario. Hallazgo 1 - Deficiencias en la validación de la información registrada en el Sistema DAVID a. En el Departamento las transacciones relacionadas con los vehículos de motor como las multas, las licencias y el registro de vehículos, entre otras, se procesaban en el Sistema DAVID. El personal del ATI de la ACT se encargaba de darle mantenimiento a la programación del Sistema, realizaba los cambios necesarios para atemperarlo con las nuevas leyes o los requeridos por los usuarios y otorgaba las cuentas de acceso al Sistema. El usuario principal del Sistema era el personal de la DISCO. El examen realizado del procesamiento de las multas reveló las siguientes deficiencias en el Sistema: 1) No permitía registrar los ocho dígitos del número de boleto de multa, ya que el campo del número de boleto solo tenía espacio para registrar siete caracteres. Para poder registrar el número del boleto de multa en el Sistema se obviaba el primer dígito y se registraban los últimos siete dígitos. 2) Permitía el registro de multas con el mismo número de boleto. 3) No proveía mecanismos para detectar errores durante el proceso de registro de la información de los boletos de multa y asegurar que la información de éstos se registrara

14

Informe de Auditoría TI-06-09 2 de junio de 2006 Unidad 5320 - Auditoría 12648

completa y correctamente. Tampoco producía informes de los boletos de multas registrados para verificar lo siguiente: · · · la corrección de la información registrada. las cancelaciones e invalidaciones realizadas a los boletos de multas. si todos los boletos fueron registrados en el Sistema.

4) No producía un informe mediante el cual se pudieran verificar los pagos registrados. En la Política Núm. TIG-011, Mejores Prácticas de Infraestructura Tecnológica de la Carta Circular Núm. 77-05, Normas sobre la Adquisición e Implantación de los Sistemas, Equipos y Programas de Información Tecnológica para los Organismos Gubernamentales, aprobada el 8 de diciembre de 2004 por la Directora de la Oficina de Gerencia y Presupuesto, se indica que se debe establecer una política del componente de datos e información mediante la cual las agencias mantengan uniformidad de los datos utilizados en sus sistemas. Los datos o información que las agencias mantienen son vitales para la toma de decisiones tanto para la agencia como para el desarrollo de estrategias que benefician los servicios ofrecidos por el Gobierno del Estado Libre Asociado de Puerto Rico. Las agencias deben establecer metodologías para asegurar la integridad y confiabilidad de los datos producidos y almacenados. Esta política se instrumenta, en parte, mediante el uso de un sistema computadorizado que asegure razonablemente la confiabilidad, la integridad y la disponibilidad de sus transacciones e información. Las situaciones comentadas no permiten mantener un control adecuado sobre la información registrada en el sistema, lo que propicia el uso indebido o pérdida de la misma y compromete su integridad y disponibilidad. Las situaciones comentadas se debían a que la compañía que desarrolló el Sistema DAVID no le proveyó al Departamento el código fuente ni la documentación de éste, por lo que el personal del ATI de la ACT no podía realizar los cambios necesarios a los programas para corregir las situaciones comentadas.

Informe de Auditoría TI-06-09 2 de junio de 2006 Unidad 5320 - Auditoría 12648

15

El Secretario, en la carta que nos envió informó, entre otras cosas, lo siguiente: El sistema genera un número único conocido como Ticket Key que ayuda a diferenciar e identificar los boletos que están registrados en el Sistema. Esto permite que se pueda diferenciar cada boleto, aun cuando tengan el mismo número. [Apartado a.1) y 2)] El Área de Tecnología de Información que administra el Sistema, tiene la capacidad de realizar informes sobre multas canceladas o inválidas, así como la capacidad de detectar e interpretar mediante un historial investigativo electrónico, los errores cometidos durante el proceso de entrada de datos. [Apartado a.3)] El recibo de pago de las multas lo realiza el Departamento de Hacienda. Una vez el DTOP recibe el informe de Hacienda con dicha información, se registra la misma en el sistema DAVID. Una vez consolidada la información de Hacienda con la DTOP, el Sistema provee para generar un informe de los pagos registrados. [Apartado a.4)] Consideramos las alegaciones del Secretario, pero determinamos que el Hallazgo prevalece. Véase la Recomendación 1.a. Hallazgo 2 - Deficiencias relacionadas con el control de acceso al Sistema DAVID a. Al 15 de diciembre de 2004 no se habían eliminado del archivo de usuarios del Sistema DAVID las cuentas de acceso de seis ex empleados de los CESCO y de la DISCO que habían cesado sus funciones entre el 30 de junio del 2002 y el 30 de septiembre de 2004. b. La autorización para acceder al Sistema DAVID era otorgada mediante el Formulario de Solicitud, Activar o Cambio de Cuentas del Sistema DAVID (DTOP-728). El examen realizado sobre los formularios utilizados para proveerle acceso a 45 usuarios del Sistema reveló lo siguiente: 1) No se localizó el Formulario DTOP-728 para 4 (9 por ciento) de los 45 usuarios. Para éstos solamente se localizó un formulario preparado en el 2002, mediante el cual se indicaban los accesos que se le habían otorgado al usuario. 2) En 12 (27 por ciento) de los 45 formularios seleccionados determinamos discrepancias en cuanto al acceso que tenían asignados los usuarios según la Lista de Usuarios del Sistema DAVID y el acceso autorizado en el Formulario DTOP-728.

16

Informe de Auditoría TI-06-09 2 de junio de 2006 Unidad 5320 - Auditoría 12648

3) En 2 de los formularios (4 por ciento) no se especificaba el acceso solicitado. 4) En 3 de los formularios (7 por ciento) no se indicaba la aprobación del acceso. c. El examen realizado reveló que los accesos al Sistema no estaban controlados adecuadamente, de modo que se pudiese mantener una segregación adecuada de funciones o tareas. A continuación las situaciones encontradas: 1) Los operadores de entrada de datos podían acceder al Sistema para entrar, editar y cancelar multas. Estas tareas resultan conflictivas, desde el punto de vista de control de las operaciones, al ser realizadas por una misma persona. 2) En el CESCO de Guayama los operadores que tenían acceso para realizar pagos o pre-pagos podían realizar cambios a sus propias multas en el Sistema. 3) Una vez se otorgaba al usuario el acceso a un área de trabajo determinada en el Sistema (licencias, multas, vehículos, entre otros) no se le cancelaba el acceso al empleado a menos que hubiese ocurrido alguna situación irregular. 4) El acceso era autorizado por los directores de los CESCO, pero éstos no tenían un criterio específico para otorgarlos. En la Política Núm. TIG-003, Seguridad de los Sistemas de Información de la Carta Circular Núm. 77-05 se establece que la información y los programas de aplicación utilizados en las operaciones de la agencia deberán tener controles de acceso para su utilización, de tal manera que solamente el personal autorizado pueda ver los datos que necesita, o usar las aplicaciones (o la parte de las aplicaciones) que necesita utilizar. Esto para garantizar la confidencialidad, la integridad y la disponibilidad de la información que manejan. Además, se establece que los privilegios de acceso de los usuarios deberán ser reevaluados regularmente. En consonancia con esta política pública, la gerencia de todo sistema computadorizado es responsable de delinear las medidas de control interno que permitan proteger los datos almacenados en sus sistemas de información contra la modificación, divulgación, manipulación o destrucción no autorizada o accidental.

Informe de Auditoría TI-06-09 2 de junio de 2006 Unidad 5320 - Auditoría 12648

17

La situación que se comenta en el Apartado a. permite que el Sistema sea susceptible a que se realicen cambios a la información por personal no autorizado. La situación del Apartado b.1) impide mantener la evidencia requerida de las autorizaciones para otorgar o cancelar los accesos y privilegios a los usuarios. Esto puede dificultar el fijar responsabilidades por el uso indebido de los sistemas de información. Además, puede afectar la integridad de las transacciones registradas en éstos. La situación que se comenta en el Apartado b.2) propicia que los usuarios utilicen sus cuentas de acceso para realizar gestiones no relacionadas a su puesto. Las situaciones que se comentan en el Apartado b.3) y 4) propician que no se tenga la información suficiente requerida para determinar que los accesos fueron otorgados correctamente. Las situaciones del Apartado c. no permiten mantener un control adecuado sobre la información registrada en el Sistema, lo que propicia el uso indebido o pérdida de la misma y compromete su confidencialidad, integridad y disponibilidad. Entre otras cosas, se dificultaba el mantener el control de las cancelaciones e invalidaciones de boletos de multa, debido a los accesos que se le habían otorgado a los usuarios. Las situaciones de los apartados a. y b. se debían a que el Secretario del Departamento no había establecido un procedimiento para el otorgamiento de accesos al Sistema DAVID, que incluyera, entre otras cosas, las directrices para la utilización y el control de los formularios DTOP-728 y para informar los cambios en las funciones de los usuarios al ATI de la ACT, de modo que los accesos al Sistema se mantuvieran actualizados. Las situaciones del Apartado c. se debían a que el Departamento no había establecido una política de seguridad que le permitiera adoptar controles adecuados en sus sistemas electrónicos de información para garantizar la confidencialidad, la integridad y la disponibilidad de la información manejada en el Sistema DAVID.

18

Informe de Auditoría TI-06-09 2 de junio de 2006 Unidad 5320 - Auditoría 12648

El Secretario, en la carta que nos envió informó, entre otras cosas, lo siguiente: Se verificará la situación y se instruirá a la Directora del ATI para que tome las medidas necesarias para corregirla. [Apartados a. y b.] Los accesos son asignados por medio de correo electrónico donde el Director Ejecutivo de DISCO solicitó a todos los directores de las regiones no les permitieran a los operadores tener los tres privilegios. [Apartado c.1)] Se verificará esta situación y se impartirán instrucciones para que de existir la deficiencia se corrija la misma. [Apartado c.2)] Actualmente los accesos se otorgan o cancelan por medio de un formulario oficial el cual tiene que ser firmado por el Director del CESCO y el Director Ejecutivo de DISCO. [Apartado c.3) y 4)] Véanse las recomendaciones 2 y 3. Hallazgo 3 - Falta de controles adecuados para la detección y corrección de errores durante la entrada de datos a. El proceso de recibo de boletos de multas comenzaba cuando un Agente de la Policía entregaba los boletos junto con una lista de éstos en los CESCO del Departamento. Luego de verificarse los boletos contra la lista se clasificaban entre adjudicados a vehículos y a licencia de conductor y se verificaba que la información que contenían los boletos fuera completa, clara y precisa. Si esta información estaba incompleta o si existían discrepancias entre la descripción de la falta y la sección de la Ley que se violó, el boleto no se enviaba a registrar y se archivaba en el Archivo de Boletos como boleto con error. Para el proceso de registro de multas, la Supervisora del Área de Gravamen de Boletos, solicitaba al Área de Recibo de Boletos las cajas con los boletos para registrar. Las cajas estaban acompañadas por un documento que indicaba el número de cajas que se enviaron a registrar. El operador de entrada de datos recibía de la supervisora o buscaba directamente en la caja ubicada en el almacén del Área de Gravamen de Multas, el batch de boletos de multas que iba a registrar. Al finalizar la entrada de boletos en el Sistema, se colocaba el

Informe de Auditoría TI-06-09 2 de junio de 2006 Unidad 5320 - Auditoría 12648

19

batch de boletos en una caja identificada con el número de operador y se llevaba o enviaba 3 al Archivo de Boletos para ser archivados. El examen realizado, entre el 17 de marzo y el 18 de junio de 2005 reveló la falta de supervisión y de controles adecuados para la detección y la corrección de los errores ocurridos durante el registro de los boletos de multa, según se indica a continuación: 1) No se verificaba si los boletos registrados por los operadores eran los mismos boletos que se entregaron para registrarse. 2) No existía validación por parte del supervisor para la verificación de la cantidad de boletos que registraba el operador de entrada de datos. El supervisor no realizaba un conteo de los boletos una vez éstos eran registrados. 3) La corrección de errores en el proceso de registro de los boletos de multa dependía de que los operadores de entrada de datos se dieran cuenta de que habían cometido un error. Esto debido a que no se realizaba ningún tipo de verificación para determinar la corrección de los boletos registrados. Si el operador no se daba cuenta de que había cometido un error, el conductor era el responsable de reclamar el mismo. 4) No existía uniformidad en la cantidad total de los boletos que se agrupaban en cada batch para ser registrados. 5) No se mantenía un control adecuado sobre los boletos de multa registrados en el Sistema. No se verificaba si la cantidad de boletos registrados y entregados por los operadores era la misma cantidad de boletos indicados en la hoja que éstos preparaban. 6) En el CESCO de Arecibo los operadores de entrada de datos no tenía asignado un supervisor.

3

Antes del 2005 todos los CESCO enviaban los boletos registrados en el Sistema al Área de Archivo de Boletos del CESCO de Carolina. A partir del 2005 los boletos registrados permanecían en cada uno de los CESCO.

20

Informe de Auditoría TI-06-09 2 de junio de 2006 Unidad 5320 - Auditoría 12648

7) En el Área de Gravamen de Boletos del CESCO de Arecibo no se verificaba si la cantidad de boletos registrados y entregados por los operadores era la misma cantidad de boletos indicados en la hoja que los operadores preparaban. 8) En el Área de Gravamen de Boletos de los CESCO de Arecibo, de Caguas y de Carolina no existía una supervisión adecuada sobre la distribución de los boletos a los operadores de entrada de datos. Éstos recogían por si mismos los boletos para registrar la información al Sistema. Una vez registraban la información en el Sistema, los operadores ubicaban los boletos en el lugar donde los recogieron. 9) Los supervisores de los CESCO de Carolina y de Guayama mantenían la hoja Trabajo realizado: Grabación de Boletos en la que anotaban la cantidad de boletos que los operadores les indicaban que habían registrado por día y por operador. Sin embargo, los supervisores no validaban la cantidad de boletos registrados por el operador. 10) La supervisora en el Área de Gravamen de Boletos del CESCO de Carolina no tenía contraseña para acceder al sistema, al igual que a ninguna de sus pantallas. Por ello, no realizaba ningún tipo de tarea a través del Sistema DAVID. En la Política Núm. TIG-011 de la Carta Circular Núm. 77-05 se indica que se debe establecer una política del componente de datos e información mediante la cual las agencias mantengan uniformidad de los datos utilizados en sus sistemas. Los datos e información que las agencias mantienen son vitales para la toma de decisiones tanto para la agencia como para el desarrollo de estrategias que benefician los servicios ofrecidos por el Gobierno del Estado Libre Asociado de Puerto Rico. Las agencias deben establecer metodologías para asegurar la integridad y la confiabilidad de los datos producidos y almacenados. Esta política se instrumenta, en parte, mediante el uso de controles adecuados que permitan detectar los errores y realizar las correcciones necesarias durante la entrada de los datos. Las situaciones comentadas no permitían asegurar razonablemente que la información de los boletos de multas se registraran en forma completa y correcta. Además, propician la comisión de errores e irregularidades sin que estos puedan ser detectados oportunamente.

Informe de Auditoría TI-06-09 2 de junio de 2006 Unidad 5320 - Auditoría 12648

21

Esto a su vez, podría afectar la integridad y la confiabilidad de la información provista por el Sistema. Las situaciones comentadas se debían a que el Secretario del Departamento no había establecido procedimientos para el registro de los datos en el Sistema que proveyera, entre otras cosas, los controles necesarios para detectar y corregir los errores. El Secretario, en la carta que nos envió informó, entre otras cosas, las medidas que se proponen implantar para corregir las situaciones comentadas. Véase la Recomendación 4.a. Hallazgo 4 - Atrasos en el registro de boletos adjudicados a conductores y a vehículos a. Los boletos de multas emitidos a conductores y a vehículos eran registrados en el Sistema DAVID. Mediante entrevistas realizadas del 3 de mayo al 14 de junio de 2005 a los usuarios del Sistema encontramos que el proceso de registro de los boletos no se realizaba de forma efectiva, por lo que existía un atraso en éste, según se indica a continuación: 1) En la DISCO y en el CESCO de Carolina existían multas emitidas en el 2003 y 2002, respectivamente, que no se habían registrado en el Sistema. 2) En el CESCO de Caguas había multas sin registrar emitidas en el 2004. 3) En el CESCO de Arecibo no se registraban los boletos emitidos en el 2005 relacionados con las infracciones a la Ley Núm. 132 del 3 de junio de 2004, Ley de Vehículos de Motor 4 . En la Política Núm. TIG-011 de la Carta Circular Núm. 77-05 se indica que se debe establecer una política del componente de datos e información mediante la cual las agencias mantengan uniformidad de los datos utilizados en sus sistemas. Los datos e información que

4

Esta Ley enmendó la Ley Núm. 22 del 7 de enero de 2001, Ley de Vehículos de Motor.

22

Informe de Auditoría TI-06-09 2 de junio de 2006 Unidad 5320 - Auditoría 12648

las agencias mantienen son vitales para la toma de decisiones tanto para la agencia como para el desarrollo de estrategias que benefician los servicios ofrecidos por el Gobierno del Estado Libre Asociado de Puerto Rico. Las agencias deben establecer metodologías para asegurar la integridad y confiabilidad de los datos producidos y almacenados. Esta política se instrumenta, en parte, mediante el registro a tiempo y oportuno de las transacciones que afectan al Sistema. El atraso en el registro de boletos de multa impedía que la información contenida en el Sistema DAVID estuviera actualizada y fuera confiable. Ejemplo de esto es el sistema de puntos, cuya información no estaba actualizada, lo que impedía mantener el control de las infracciones cometidas y suspender la licencia de aquellos conductores que habían excedido el límite de infracciones establecido por ley. Además, el atraso en el registro de boletos de multas a vehículos podría propiciar que las multas a vehículos expiraran antes de ser registradas y no se pudieran cobrar. Las situaciones indicadas en el Apartado a.1) y 2) se debían a que en el año de cambio de administración se enmendó la Ley Núm. 22 lo que causó que se dejara de registrar boletos por un año aproximadamente. La situación indicada en el Apartado a.3) se debía a que los cambios realizados a la Ley Núm. 22 no se habían programado y actualizado en el Sistema DAVID. Las actualizaciones y cambios en la programación debían ser aprobados por el Director de la DISCO y enviados al ATI de la ACT para que se realizaran. El Secretario, en la carta que nos envió informó, entre otras cosas, lo siguiente: Esta situación está siendo corregida. Al 31 de marzo de 2006, la DISCO ha grabado en el sistema 1,733,338 multas correspondientes al año fiscal 2002-03, 1,216,603 correspondientes al 2003-04, 2,244,067 correspondientes al 2004-05 y 1,588,614 correspondientes al 2005-06.

Informe de Auditoría TI-06-09 2 de junio de 2006 Unidad 5320 - Auditoría 12648

23

Con el nuevo sistema de boletos de multa digitalizados, esperamos que el registro se efectúe de manera más rápida y confiable para mantener nuestra base de datos lo más actualizada posible. Véanse las recomendaciones 4.b. y 5. Hallazgo 5 - Falta de procedimientos escritos para el registro, la cancelación, la corrección y la invalidación de los boletos de multas a. Los boletos de multa expedidos a los conductores o a los vehículos, eran entregados en la DISCO o en los 14 CESCO establecidos. Una vez recibidos, se comenzaba el proceso para registrar estos boletos en el Sistema DAVID. El examen realizado reveló que en el Departamento no se habían establecido procedimientos escritos para el registro, la cancelación, la corrección y la invalidación de los boletos de multa a través del Sistema. En la Ley Núm. 230 del 23 de julio de 1974, Ley de Contabilidad del Gobierno de Puerto Rico, según enmendada, se establece que cada dependencia o entidad corporativa deberá mantener un control previo de todas sus operaciones para que sirva de arma efectiva al jefe de la entidad en el desarrollo del programa o programas cuya dirección se le ha encomendado. Como parte de esto, y como norma de sana administración, es deber de las agencias del gobierno establecer las normas y los procedimientos necesarios para asegurarse de que los procesos de éstas se realicen de manera adecuada y uniforme. En la Política Núm. TIG-011 de la Carta Circular Núm. 77-05 se indica que se debe establecer una política del componente de datos e información mediante la cual las agencias mantengan uniformidad de los datos utilizados en sus sistemas. Los datos e información que las agencias mantienen son vitales para la toma de decisiones tanto para la agencia como para el desarrollo de estrategias que benefician los servicios ofrecidos por el Gobierno del Estado Libre Asociado de Puerto Rico. Las agencias deben establecer metodologías para asegurar la integridad y confiabilidad de los datos producidos y almacenados. Esta política se instrumenta, en parte, mediante el establecimiento y aprobación de los procedimientos necesarios para el procesamiento de los boletos de multa.

24

Informe de Auditoría TI-06-09 2 de junio de 2006 Unidad 5320 - Auditoría 12648

Como consecuencia de esta situación no existía uniformidad entre los procesos realizados en la DISCO y en los distintos CESCO, ya que en cada uno de éstos se utilizaban procedimientos distintos para realizar el procesamiento de los boletos de multa. Esto pudo propiciar la comisión de errores e irregularidades, sin que pudieran ser detectados a tiempo. Esta situación se debía a que el Secretario del Departamento y el Director Ejecutivo de la DISCO no habían considerado establecer normas y procedimientos para estos procesos. El Secretario, en la carta que nos envió informó, entre otras cosas, las medidas que se proponen implantar para corregir la situación comentada. Véase la Recomendación 4.c. Hallazgo 6 - Falta de controles para el recibo, la custodia, la distribución y el archivo de los boletos de multa y su documentación relacionada a. El examen realizado entre el 17 de marzo y el 18 de junio de 2005 sobre el recibo, la custodia, la distribución y el archivo de los documentos relacionados a las multas en los CESCO de Carolina, de Guayama, de Caguas, de Arecibo y la DISCO reveló las siguientes faltas: 1) En el CESCO de Arecibo no se verificaba si la cantidad de boletos incluidos en la lista preparada por la Policía era igual a los boletos físicos entregados. De igual manera no se comparaba el número de identificación de cada boleto con el provisto en la lista. 2) En el CESCO de Carolina la lista de boletos entregada por la Policía no contenía un espacio para colocar la firma del Oficial de la Policía que entregaba los boletos al CESCO. 3) En el CESCO de Caguas se encontró que la persona encargada de recibir los boletos de multas utilizaba su propio juicio para determinar si devolverle al policía los boletos que no se encontraban en la lista de boletos o reclamar los boletos que no se encontraban en la misma.

Informe de Auditoría TI-06-09 2 de junio de 2006 Unidad 5320 - Auditoría 12648

25

4) En el CESCO de Guayama se encontró que las dos copias de la lista de boletos no se firmaban como evidencia de que los boletos fueron recibidos, solamente se firmaba la lista original entregada al Oficial de la Policía. 5) El CESCO de Guayama ayudaba al CESCO de Caguas en la entrada de boletos de multas. Las cajas de boletos enviadas por el CESCO de Caguas no contenían la lista de boletos que entregaba el policía, por lo que no se verificaba si los boletos recibidos eran los que se encontraban en la lista. 6) En el CESCO de Carolina y en el de Caguas los boletos de multas sin registrar en el Sistema no se mantenían guardados en un lugar seguro, cuyo acceso estuviera restringido. Los mismos se mantenían en cajas ubicadas encima de un escritorio. 7) En el CESCO de Carolina el documento utilizado para el envío de cajas de boletos de multas a registrar no era el adecuado, ya que el mismo no indicaba el número de identificación de las cajas que contenían los boletos adjudicados a vehículos y a licencias de conductor, ni la cantidad de boletos que se incluían en cada caja. 8) En el CESCO de Guayama y en el de Arecibo los boletos de multas que fueron registrados en el Sistema no se mantenían guardados en un lugar seguro, cuyo acceso estuviera restringido. Los mismos se mantenían en cajas ubicadas encima de un escritorio. 9) En el CESCO de Carolina no se archivaban los documentos mediante los cuales se autorizaban las cancelaciones e invalidaciones de boletos de multas. 10) En el CESCO de Carolina y en el de Caguas no existía un control adecuado para restringir el acceso del personal al Área de Archivo. En la Política Núm. TIG-011 de la Carta Circular Núm. 77-05 se indica que se debe establecer una política del componente de datos e información mediante la cual las agencias mantengan uniformidad de los datos utilizados en sus sistemas. Los datos e información que las agencias mantienen son vitales para la toma de decisiones tanto para la agencia como

26

Informe de Auditoría TI-06-09 2 de junio de 2006 Unidad 5320 - Auditoría 12648

para el desarrollo de estrategias que benefician los servicios ofrecidos por el Gobierno del Estado Libre Asociado de Puerto Rico. Las agencias deben establecer metodologías para asegurar la integridad y confiabilidad de los datos producidos y almacenados. Esta política se instrumenta, en parte, mediante el uso de controles adecuados para los procesos realizados en la DISCO. Las situaciones comentadas en el Apartado a.1), 3) y 5) impedían la detección y corrección de errores e irregularidades durante el proceso de recibo de boletos. Las situaciones comentadas en el Apartado a.2) y 4) no permitían mantener evidencia adecuada sobre el proceso de recibo de boletos y a su vez podría dificultar el fijar responsabilidades por errores o irregularidades ocurridos durante el mismo. Las situaciones comentadas en el Apartado a.6), 8) y 10) propiciaban el que personal no autorizado tenga acceso a los boletos de multas y pueda cometer irregularidades, y ocasionar daños a los mismos. La situación comentada en el Apartado a.7) impedía el manejo adecuado de los boletos de multa enviados a registrar y propiciaba la comisión de irregularidades sin que éstas pudieran detectarse, ni se pudiera fijar responsabilidades por las mismas. La situación comentada en el Apartado a.9) privaba al Departamento y a los auditores de documentación importante que constituía la única evidencia de que estas transacciones habían sido aprobadas por el personal autorizado. Las situaciones comentadas se debían a que el Secretario del Departamento no había establecido normas o procedimientos para controlar adecuadamente los procesos de recibo, de custodia, de distribución y de archivo de los boletos de multas y la documentación relacionada con los mismos. A falta de esto, los directores de las oficinas regionales y de la DISCO utilizaban sus propios criterios para el procesamiento y control de los boletos de multas.

Informe de Auditoría TI-06-09 2 de junio de 2006 Unidad 5320 - Auditoría 12648

27

El Secretario, en la carta que nos envió informó, entre otras cosas, las medidas que se proponen implantar para corregir las situaciones comentadas. Véase la Recomendación 4.d. Hallazgo 7 - Falta de actualización del Manual del Usuario y otras deficiencias en la documentación del Sistema DAVID a. El examen relacionado con la documentación del Sistema DAVID reveló lo siguiente: 1) El Manual del Usuario Sistema DAVID no había sido revisado ni actualizado conforme a los cambios ocurridos desde septiembre de 1997. En el Apéndice K - Políticas y procedimientos para revisiones del manual, del Manual del Usuario Sistema DAVID, se establece que será responsabilidad del Área de Tecnología de Información realizar una evaluación trimestral del contenido del manual para mantenerlo actualizado según la evolución del Sistema DAVID. La falta de revisión y actualización de las transacciones y los procedimientos básicos a seguir durante el manejo del Sistema DAVID podría causar que los mecanismos de control y las operaciones del sistema no se realizaran de manera uniforme. La situación comentada se debía a que los directores del ATI de la ACT no habían velado porque se hiciera una revisión y actualización del Manual. 2) La documentación del Sistema estaba incompleta, por lo siguiente: a) El Manual del Usuario Sistema DAVID no incluía una descripción de los documentos fuentes a utilizarse ni las instrucciones sobre cómo preparar los mismos. Además, no incluía un procedimiento de control que indicara cómo se establecería una segregación de deberes, supervisión y autorización adecuada de las transacciones. b) No existía un Manual de Operaciones.

28

Informe de Auditoría TI-06-09 2 de junio de 2006 Unidad 5320 - Auditoría 12648

c) No existía un Manual de Programación. b. El examen de la documentación de 26 cambios, realizados entre los años 2000 y 2004 a la programación del Sistema, reveló lo siguiente: 1) No existía un formulario uniforme para solicitar los cambios al Sistema. En los únicos tres casos en los que se encontró evidencia de la solicitud de cambio encontramos que la misma se hizo a través de un memorando. 2) Para 23 cambios no se encontró evidencia de la solicitud del mismo por parte del Director de la DISCO. 3) Para ninguno de los cambios se encontró evidencia de la autorización para incorporar al ambiente de producción los cambios realizados a la programación del Sistema. c. No se mantenía un ambiente de prueba para realizar los cambios a la programación del Sistema DAVID. Los mismos eran realizados directamente en el ambiente de producción. En la Política Núm. TIG-011 de la Carta Circular Núm. 77-05 se indica que se debe establecer una política del componente de datos e información mediante la cual las agencias mantengan uniformidad de los datos utilizados en sus sistemas. Los datos e información que las agencias mantienen son vitales para la toma de decisiones tanto para la agencia como para el desarrollo de estrategias que benefician los servicios ofrecidos por el Gobierno del Estado Libre Asociado de Puerto Rico. Las agencias deben establecer metodologías para asegurar la integridad y confiabilidad de los datos producidos y almacenados. Además, se indica que toda aplicación comercial o personalizada implementada debe ser documentada utilizando metodologías de desarrollo y documentación estándares o de uso común. Esta política se instrumenta, en parte, mediante el desarrollo y la actualización de la documentación de los sistemas y el establecimiento de un proceso uniforme para realizar y documentar los cambios a los sistemas. Este proceso debe incluir los pasos para asegurar de que los cambios al sistema estén de acuerdo con las necesidades de la organización, debidamente autorizados, documentados, probados y aprobados por la gerencia.

Informe de Auditoría TI-06-09 2 de junio de 2006 Unidad 5320 - Auditoría 12648

29

Las situaciones del Apartado a.2) dificultan el entendimiento y el funcionamiento de los controles de los sistemas, y la reconstrucción de los datos en caso de emergencia. Las situaciones de los apartados b. y c. no permitían mantener un control adecuado de los cambios efectuados a la programación del Sistema. Además, afectan la confiabilidad de la información procesada, pueden propiciar la comisión de irregularidades y dificultan fijar responsabilidades. Las situaciones del Apartado a.2) se debían a que la ACT no le requirió la documentación del Sistema DAVID a la persona que realizó la programación. La documentación existente fue preparada por un consultor que se contrató posteriormente, quien estuvo limitado en su trabajo por no tener el código fuente del Sistema. Las situaciones del Apartado b. se debían a que la Directora del ATI no había establecido un procedimiento para realizar los cambios a la programación del Sistema. La situación del Apartado c. se debía a que el personal de programación del ATI no había considerado establecer un área de prueba para verificar los cambios, antes de llevarlos a producción. El Secretario, en la carta que nos envió informó, entre otras cosas, las medidas que se proponen implantar para corregir las situaciones comentadas. Véase la Recomendación 1. Hallazgo 8 - Falta de controles en el proceso de adquisición y recibo de las libretas de boletos de multas y deficiencia en el formato de fecha establecido a. El proceso de adquisición de las libretas de boletos de multa era realizado por el Departamento, a solicitud de la Policía de Puerto Rico. Una vez se completaba el proceso y se seleccionaba al proveedor, este último entregaba las libretas al Encargado de la Propiedad de la Policía de Puerto Rico. Como evidencia del recibo y entrega de las libretas se utilizaba el formulario SC-744, Informe de Recibo e Inspección, el cual se enviaba a la División Administrativa de la DISCO para procesar el pago al proveedor.

30

Informe de Auditoría TI-06-09 2 de junio de 2006 Unidad 5320 - Auditoría 12648

El modelo del boleto de multa era preparado por la División de Servicios Técnicos de la DISCO en conjunto con el ATI de la ACT y el Área de Tecnología de Información de la Policía de Puerto Rico. Luego de preparar el diseño del boleto de multa, el mismo se enviaba a la División de Servicios Técnicos de la DISCO para revisar si cumplía con las especificaciones. El examen realizado sobre el control de estas libretas reveló lo siguiente: 1) El Departamento no tenía el control de las libretas de boletos de multas ni verificaba si las mismas eran las solicitadas, ya que el proveedor las entregaba directamente a la Policía de Puerto Rico sin ser revisadas por el Departamento. 2) No existía coordinación para el diseño de los boletos de multas estatales y los municipales. La preparación de los boletos estatales era responsabilidad de la DISCO mientras que los municipales eran responsabilidad de los Municipios. Es norma de control interno mantener controles adecuados sobre los documentos fuentes que originan las transacciones en los sistemas de información computadorizados. Estos controles deben estar dirigidos a prevenir errores que afecten la integridad y la confiabilidad de la información registrada en el sistema. b. El boleto de multa no tenía un formato adecuado para la fecha que permitiera el registro uniforme de ésta. El boleto no identificaba el orden en que se debía escribir el día, mes y año. En la Política Núm. TIG-011 de la Carta Circular Núm. 77-05 se indica que se debe establecer una política del componente de datos e información mediante la cual las agencias mantengan uniformidad de los datos utilizados en sus sistemas. Los datos e información que las agencias mantienen son vitales para la toma de decisiones tanto para la agencia como para el desarrollo de estrategias que benefician los servicios ofrecidos por el Gobierno del Estado Libre Asociado de Puerto Rico. Las agencias deben establecer metodologías para asegurar la integridad y confiabilidad de los datos producidos y almacenados. Esta política

Informe de Auditoría TI-06-09 2 de junio de 2006 Unidad 5320 - Auditoría 12648

31

se instrumenta, en parte, mediante el control adecuado de los documentos fuentes de un sistema. Las situaciones comentadas en el Apartado a. no le permitían al Departamento mantener un control sobre la numeración de las libretas por lo que el número de identificación de los boletos de multas podía repetirse. Esto unido a la falta de control existente en el Sistema DAVID [Véase el Hallazgo 1-a.2)] permitía el registro de multas con el mismo número de boleto y podía propiciar que el operador de entrada de datos adjudicara un pago, pre-pago, cancelación o invalidación al boleto equivocado. La situación comentada en el Apartado b. podía ocasionar confusión al momento de cobrar el boleto y de determinar correctamente los recargos generados por no pagarlo durante los primeros 30 días de su emisión. Estas situaciones se debían a que el Secretario del Departamento y el Director de la DISCO no habían considerado la importancia de mantener controles adecuados sobre las libretas de los boletos de multas. El Secretario, en la carta que nos envió informó, entre otras cosas, las medidas que se proponen implantar para corregir las situaciones comentadas. Véase la Recomendación 4.e. y f.

32

Informe de Auditoría TI-06-09 2 de junio de 2006 Unidad 5320 - Auditoría 12648

ANEJO 1 DEPARTAMENTO DE TRANSPORTACIÓN Y OBRAS PÚBLICAS SISTEMAS DE INFORMACIÓN COMPUTADORIZADOS FUNCIONARIOS PRINCIPALES DEL NIVEL EJECUTIVO QUE ACTUARON DURANTE EL PERÍODO AUDITADO

PERÍODO NOMBRE Hon. Gabriel Alcaraz Emmanuelli

5

CARGO O PUESTO Secretario de Transportación y Obras Públicas " Subsecretario 6 " Directora de la Oficina de Sistemas de Información Director de la Oficina de Sistemas de Información Interino Director Oficina de Sistemas de Información Auditora Principal de la Oficina de Auditoría Interna Auditor Principal de la Oficina de Auditoría Interna Interino Auditor Principal de la Oficina de Auditoría Interna Director Ejecutivo de la Directoría de Servicios al Conductor Directora Ejecutiva de la Directoría de Servicios al Conductor Interina

DESDE 4 ene. 05 9 jul. 04 1 ago. 05 9 jul. 04 20 jul. 05 4 ene. 05 9 jul. 04 1 jul. 05 1 ene. 05 1 ago. 04 14 feb. 05 1 ene. 05

HASTA 31 oct. 05 31 dic. 04 31 oct. 05 2 feb. 05 31 oct. 05 19 jul. 05 31 dic. 04 31 oct. 05 30 jun. 05 31 dic. 04 31 oct. 05 13 feb. 05

Dr. Fernando E. Fagundo Fagundo Ing. Fernando I. Pont Marchese Sr. José M. Cruz Medina Srta. Natasha Gitany Alonso Sr. Roberto Ramírez Rodríguez " Srta. Ana E. Rodríguez Granel Sr. William Berríos Rivera " Sr. Samuel Ayala Sáez Sra. Lourdes Díaz Miranda

5

Fungió como Director Ejecutivo de la Autoridad de Carreteras y Transportación del 14 de mayo al 31 de octubre de 2005. Puesto vacante del 3 de febrero al 31 de julio de 2005.

6

Informe de Auditoría TI-06-09 2 de junio de 2006 Unidad 5320 - Auditoría 12648

33

Continuación ANEJO 1

PERÍODO NOMBRE Sr. Miguel A. Torres Vega Dr. Jack T. Allison Fincher Srta. Natasha Gitany Alonso Sr. Kenneth Maldonado Irizarry CARGO O PUESTO Director Ejecutivo de la Directoría de Servicios al Conductor Director Ejecutivo de la ACT

7

DESDE 9 jul. 04 9 jul. 04 19 abr. 05 9 jul. 04

HASTA 31 dic. 04 13 may. 05 31 oct. 05 25 mar. 05

Directora del Área de Tecnología de Información de la ACT Director del Área de Tecnología de Información de la ACT

7

Véase la nota al calce 5 en la página 32.

Information

Ti-06-09

35 pages

Report File (DMCA)

Our content is added by our users. We aim to remove reported files within 1 working day. Please use this link to notify us:

Report this file as copyright or inappropriate

245457