· web viewen el apartado de resultados se presentan algunos aspectos de control relacionados con...

Dirección General de Auditoría Interna

San José, 24 de julio del 2012INF-DGAI-016-2012

SeñorEdgar AyalesMinistro

ASUNTO: Informe de Control Interno referente a la operatividad del sistema Tributación Digital

Estimado señor Ministro:

Nos permitimos presentarle el informe INF-DGAI-016-2012 sobre la operatividad del sistema de Tributación Digital.

En el apartado de resultados se presentan algunos aspectos de control relacionados con la documentación, aseguramiento de la calidad y gestión del sistema Tributación Digital, llevados a cabo por el personal de la Dirección de Tecnología de Información Tributaria; por lo que se giran las recomendaciones respectivas para que se incorporen como parte de la mejora continua que lleva a cabo la Dirección General de Tributación en el fortalecimiento de estos procesos.

Además, dado que en la comunicación oral de resultados se consideró por parte del Director General de Informática que estos elementos podrían ser retomados para aplicación institucional, debido a que constituyen buenas prácticas en la gestión y administración de los sistemas informáticos de la Institución, se estima la necesidad de hacer este informe del conocimiento del Director General de Informática para lo de su competencia.

Las recomendaciones propuestas están sujetas a lo dispuesto en el artículo 37 de la Ley Nº 8292 Ley General de Control Interno, que establece un plazo improrrogable de treinta días hábiles contados a partir de la fecha de recibo del informe, para ordenar la implantación de las recomendaciones.

Por lo anterior, le agradecemos comunicar a esta Dirección dentro del plazo señalado la decisión que se tome al respecto, así como ordenar se realice en un plazo razonable el plan de acción para el efectivo cumplimiento de lo recomendado.

Atentamente,

Olman Saborío AlfaroDirector General

C: ConsecutivoExpediente Estudio Nº 002-2012

Dirección: Avenida 2°, calle 1 y 3 San José • Tel 2284-5242 • www.hacienda.go.cr

INF-DGAI-016-2012

INFORME SOBRE LA OPERATIVIDAD DEL SISTEMA DE TRIBUTACIÓN DIGITAL

JULIO, 2012

“



TABLA DE CONTENIDO

Resumen Ejecutivo..................................................................................................................................................................................... i

1. Introducción ......................................................................................................................................................................................1

1.1 Origen..........................................................................................................................................................................................1

1.2 Objetivo del Estudio....................................................................................................................................................................1

1.3 Alcance........................................................................................................................................................................................1

1.4 Comunicación oral de resultados.................................................................................................................................................1

1.5 Normativa relacionada con Control Interno................................................................................................................................2

1.6. Generalidades...............................................................................................................................................................................2

2. Resultados ......................................................................................................................................................................................6

2.1 Necesidad de mejorar en la documentación soporte del sistema.................................................................................................6

2.1.1 Necesidad de guías para la formalización de políticas y procedimientos....................................................................................6

2.1.2 Necesidad de fortalecer los instrumentos administrativos acerca de la documentación del Sistema..........................................7

2.1.3 Aspectos a mejorar en la documentación técnica:.......................................................................................................................8

2.1.4 Sobre el almacenaje, custodia y control de la documentación.....................................................................................................9

2.2 Necesidad de mejoras sobre la calidad del sistema...................................................................................................................10

2.2.1 Sobre la metodología de revisión y aprobación de la calidad del software...............................................................................10

2.2.2 Sobre pruebas técnicas de los cambios funcionales...................................................................................................................11

2.2.3 Sobre el monitoreo de tendencias y causas de incidencias........................................................................................................15

2.2.4 Sobre la integridad de la información almacenada en el Sistema..............................................................................................16

2.3 Necesidad de mejoras en la gestión del sistema........................................................................................................................18

2.3.1 Sobre la asignación formal de roles y responsabilidades del personal a cargo.........................................................................18

2.3.2 Dependencia de Personal Clave.................................................................................................................................................19

2.3.3 Necesidad de políticas de clasificación de la información........................................................................................................19

2.3.4 Conveniencia de medir la calidad en la prestación de los servicios..........................................................................................20

2.3.5 Sobre el proceso de control de cambios del sistema..................................................................................................................21

2.3.5.1 Necesidad de procedimientos para ejecución del proceso de cambios......................................................................................21

2.3.5.2 Necesidad de seguimiento del proceso de cambios...................................................................................................................22

2.3.6 Sobre el proceso de control de versiones del sistema TD..........................................................................................................23

2.3.7 Conveniencia de un repositorio central de configuraciones......................................................................................................24

3. Conclusiones ....................................................................................................................................................................................24

4. Recomendaciones.............................................................................................................................................................................25

INF-DGAI-016-2012




RESUMEN EJECUTIVO

El estudio se origina de conformidad con el Plan de Trabajo Anual 2012 y comprende la revisión de los controles establecidos en el sistema de Tributación Digital (TD), en cuanto documentación, calidad y la gestión de dicho sistema, a fin de determinar si garantiza en forma razonable la salvaguarda de los recursos públicos, la operación eficiente y eficaz, el cumplimiento de la normativa vigente; así como la confiabilidad y oportunidad de la información para la toma de decisiones. El periodo comprende entre junio y diciembre del 2011, extendiéndose cuando se consideró necesario.

Este sistema es administrado por la Dirección de Tecnología de Información Tributaria D.T.I.T., de la Dirección General de Tributación, y si bien, se han realizado esfuerzos para lograr una mejora continua del sistema tributario costarricense, apoyándose en el uso de adecuadas herramientas informáticas; no obstante, en el estudio se determinaron algunos aspectos de control susceptibles de mejora en relación con el Sistema Tributación Digital, lo anterior de conformidad con la normativa vigente y las buenas prácticas en la utilización de esos recursos, a saber:

1. Sobre documentación. Como resultado del presente estudio, se logra determinar algunos instrumentos que permitirían fortalecer el proceso de documentación de la información técnica y de soporte del sistema, con el propósito de asegurar un mejor entendimiento y la adecuada transferencia del conocimiento acerca de dicho aplicativo, lo que contribuye a fomentar una agilización en el uso, administración y futuro mantenimiento del sistema en mención.

Entre esos instrumentos podemos citar: una guía formal para estandarizar la elaboración, revisión y aprobación de las Políticas y Procedimientos sobre el funcionamiento del sistema; un procedimiento para custodiar y controlar las versiones de la información soporte del sistema; un procedimiento que describa las actividades del proceso de elaboración y actualización de la documentación técnica; políticas o lineamientos que normen el proceso de actualización de la documentación técnica; diagramas entidad-relación que permitan representar las entidades relevantes del sistema; Catálogos de documentación técnica, y el manual de usuario que facilite la labor de documentación del sistema, así como contar con un sitio centralizado establecido para el almacenamiento de la información soporte y la documentación técnica de dicho sistema.

2 Sobre calidad. El establecer una metodología para asegurar la calidad del sistema, expresada en términos de: políticas y estándares; métricas para la valoración de dicha calidad; planes, programas y cronogramas referentes a la calidad del sistema; evaluación de la calidad y otros aspectos; un procedimiento para elaborar, revisar y aprobar el plan de pruebas dentro del proceso de ejecución de los cambios en la funcionalidad del sistema; la creación de políticas o lineamientos que regulen aspectos del proceso de documentación de la ejecución de las pruebas técnicas y los resultados obtenidos; implementar el proceso de monitoreo periódico de incidencias que permita definir las posibles causas y las tendencias que presentan, contemplando la elaboración de un procedimiento formal para realizar la labor y planes de acción para la corrección de problemas frecuentes dentro del sistema, y garantizar la confiabilidad, calidad, suficiencia, pertinencia y oportunidad de la información procesada, por medio del análisis técnico de las causas de los espacios en blanco y otras inconsistencias detalladas en el punto 2.2.4 del presente informe.

INF-DGAI-016-2012 pág. i



Lo antes citado, son instrumentos que le permiten a la administración fortalecer las iniciativas emprendidas por la DTIT para establecer un sistema de administración de calidad en el ámbito de tecnología de información, a través de la implementación de una forma sistemática de valoración de la calidad, basándose en un conjunto de reglas claramente definidas y el mejoramiento en la calidad del proceso de pruebas del software, lo que incide de forma positiva en la mejora continua de los servicios prestados por parte dicha Dirección y en especial, los servicios brindados a través del sistema Tributación Digital.

3. Sobre la gestión del sistema. La asignación formal de roles y responsabilidades a los funcionarios que brindan soporte y mantenimiento al sistema; mitigar la dependencia existente del personal clave a través de la elaboración de un plan de sucesión formal que evite la pérdida del conocimiento y experiencia organizacional; una política de clasificación de la información (pública, privada, confidencial, o de otra naturaleza), basada en la importancia y sensibilidad de la información procesada en apoyo de la labor de la DGT; la medición de la calidad en la prestación de los servicios brindados a través del sistema TD, por medio del uso de parámetros o métricas que faciliten dicha evaluación, que podrían ser expresados en términos de acuerdos de servicio u otros instrumentos; un procedimiento que defina las actividades que comprenden el proceso de control de cambios del sistema; el implementar una herramienta que permita un adecuado seguimiento de las actividades del proceso de control de cambios; herramientas de control, tales como políticas, procedimientos, estándares referentes al proceso de control de las versiones del sistema TD y la conveniencia de un repositorio de configuración centralizado para la administración de las configuraciones, de los equipos sensitivos y del software que soportan dicha plataforma.

Disponer de los aspectos precitados, contribuyen a mejorar y fortalecer la gestión del sistema TD por parte de la DTIT, y mejora la rendición de cuentas en relación a las labores designadas; el mejoramiento progresivo de la calidad del servicio ofrecido, su rentabilidad y la satisfacción de los clientes y usuarios; un manejo más adecuado de la seguridad y protección de los datos en razón de la importancia y sensibilidad para el Ministerio y aumentar con ello, la eficiencia y eficacia del personal a cargo de dicho sistema.

Las condiciones anteriores, según se comentó por parte del Director General de Informática en la comunicación oral de resultados realizada el día 17 de julio del 2012, podrían tratarse de aspectos que están afectando otros sistemas informáticos del Ministerio de Hacienda por lo que se considera conveniente hacer del conocimiento esta información a la Dirección General de Informática para lo de su competencia.

Se realizan las recomendaciones correspondientes, según los aspectos determinados y presentados en el apartado de resultados del informe, en aras de que a la brevedad posible se tomen las medidas correctivas que proceden.

Este informe está sujeto al artículo 37 de la Ley 8292 Ley General de Control Interno, que establece un plazo improrrogable de treinta días posterior al recibo del informe para ordenar la implantación de lo recomendado.

INF-DGAI-016-2012 pág. ii




1. INTRODUCCIÓN

1.1 Origen

El presente estudio se origina de conformidad con el Plan de Trabajo Anual del 2012.

1.2 Objetivo del Estudio

Evaluar el control interno en la operatividad del Sistema Tributación Digital, a fin de determinar si garantiza en forma razonable la salvaguarda de los recursos públicos, la operación eficiente y eficaz, el cumplimiento de la normativa vigente; así como la confiabilidad y oportunidad de la información para la toma de decisiones.

1.3 Alcance

Comprende la revisión de los controles establecidos en el sistema de Tributación Digital, el cual es administrado por la Dirección de Tecnología de Información Tributaria D.T.I.T. de la Dirección General de Tributación, con relación a los aspectos de documentación, calidad y la gestión; conforme con la normativa vigente y las mejores prácticas en el uso de las tecnologías de información, para el cumplimiento de sus objetivos. El período a evaluar comprende el Segundo Semestre del año 2011.

El desarrollo del estudio se realizó de acuerdo con la normativa aplicable al ejercicio de la Auditoría Interna del Sector Público; las Normas Técnicas para la gestión y el control de las Tecnologías de Información (N-2-2007-CO-DFOE), en las mismas se indica que la Contraloría y las instituciones y órganos sujetos a su fiscalización, contaban con dos años a partir del 31 de julio de 2007, para cumplir con los criterios básicos de gestión y control establecidos en dichas normas, también se aplicaron como mejores practicas la metodología de COBIT Versión 4.1 (Objetivos de Control para la Información y Tecnologías relacionadas) en la medida en que las circunstancias permitieron su aplicación y las disposiciones del Decreto N° 34573-H Reglamento de Organización y Funcionamiento de la Dirección General de Auditoría Interna del Ministerio de Hacienda.

1.4 Comunicación oral de resultados

Los resultados y recomendaciones que contiene este informe fueron comunicados oralmente el día 17 de julio del 2012 al Dr. Álvaro Ramos Campos – Viceministro de Ingresos, Licda. Dulia Romero Jiménez – Asesora del Despacho del Viceministro de Ingresos, Lic. Carlos Vargas Durán – Director General de Tributación, Lic. Manuel E. Ramos Campos – Director General de Informática, Lic. Reinier Soto Cordero, Licda. Teresita Artavia Marín y Licda. Laura Badilla Castro – D.T.I.T.; quienes indicaron en términos generales, que están de acuerdo con la presentación de los resultados y las recomendaciones y asimismo, disculpan la ausencia de la Licda. Ana Patricia Hidalgo González – Directora de Tecnología de Información Tributaria, por estar atendiendo otras gestiones propias de su cargo.

El Lic. Carlos Vargas Durán, señaló que dada la relevancia del tema tratado en el informe era conveniente que el mismo fuera dirigido al señor Ministro de Hacienda.

Por su parte, el Lic. Manuel E. Ramos Campos, Director General de Informática, manifestó que todos los puntos tratados en el informe, eran elementos que podrían ser retomados para aplicación institucional, debido

INF-DGAI-016-2012 Página 1 de 28



a que constituyen buenas prácticas en la gestión y administración de los sistemas informáticos de la Institución. Agregó que dada la importancia de las recomendaciones, sería conveniente conformar un grupo interdisciplinario de colaboración para la implementación de las recomendaciones.

Además, indicaron que están anuentes a hacer las gestiones pertinentes con el fin de realizar las mejoras que se indican en las recomendaciones propuestas.

1.5 Normativa relacionada con Control Interno

A fin de prevenir efectos negativos por inobservancia de la legislación vigente, se transcriben los artículos de la Ley General de Control Interno Nº 8292 (LGCI), que regulan los deberes del jerarca y titulares subordinados en cuanto al sistema de control interno y la atención de informes.

“Artículo 10. Responsabilidad por el sistema de control interno. // Serán responsabilidad del jerarca y del titular subordinado establecer, mantener, perfeccionar y evaluar el sistema de control interno institucional. Asimismo, será responsabilidad de la administración activa realizar las acciones necesarias para garantizar su efectivo funcionamiento.”

“Artículo 12. Deberes del jerarca y de los titulares subordinados en el sistema de control interno . “…c) Analizar e implantar, de inmediato, las observaciones, recomendaciones y disposiciones formuladas por la auditoría interna, la Contraloría General de la República, la auditoría externa y las demás instituciones de control y fiscalización que corresponde…”

“Artículo 37.-Informes dirigidos al jerarca. // Cuando el informe de auditoría esté dirigido al jerarca, este deberá ordenar al titular subordinado que corresponda, en un plazo improrrogable de treinta días hábiles contados a partir de la fecha de recibido el informe, la implementación de las recomendaciones. Si discrepa de tales recomendaciones, dentro del plazo indicado deberá ordenar las soluciones alternas que motivadamente disponga; todo ello tendrá que comunicarlo debidamente a la auditoría interna y al titular subordinado correspondiente.”

Artículo 39.-Causales de responsabilidad administrativa. “El jerarca y los titulares subordinados incurrirán en responsabilidad administrativa y civil, cuando corresponda, si incumplen injustificadamente los deberes asignados en esta Ley, sin perjuicio de otras causales previstas en el régimen aplicable a la respectiva relación de servicios.[…] // Igualmente, cabrá responsabilidad administrativa contra los funcionarios públicos que injustificadamente incumplan los deberes y las funciones que en materia de control interno les asigne el jerarca o el titular subordinado, incluso las acciones para instaurar las recomendaciones emitidas por la auditoría interna, sin perjuicio de las responsabilidades que les puedan ser imputadas civil y penalmente. […]”

1.6. Generalidades

En setiembre del año 2007, la empresa Bearingpoint, inicia la ejecución del contrato MH-045-2007 que permitiría el desarrollo de la solución tecnológica propuesta para el proyecto Tributación Digital, cuyo objetivo principal era instituir un Nuevo Modelo Integral de Gestión Tributaria Digital y adquirir, customizar, parametrizar y desarrollar los componentes particulares para implantar la solución tecnológica que lo soporte, incorporando un enfoque de gobierno digital; lo anterior teniendo como base el Modelo Conceptual de Gestión Tributaria Digital propuesto por el grupo de expertos funcionales y técnicos de la Dirección General de Tributación; a través del cual, se mejore la efectividad y la eficiencia operacional, se facilite el

INF-DGAI-016-2012 Pág. 2 de 28



cumplimiento voluntario de las obligaciones, se logre la simplificación y estandarización de procedimientos y se incremente la recaudación. 1

El Contrato MH-045-2007 Desarrollo e Implementación del modelo integral de gestión tributaria digital y la solución tecnológica para la DGT, corresponde a la Licitación Pública Nº2006LN-0003-13402 por un monto de $ 20.241.103,17, el cual cuenta con una segunda adenda al contrato por un monto de $ 6.662.515,68, por concepto de adquisición de servicios para el desarrollo e implementación del modelo integral (licencias), de los cuales al momento de rescindir el contrato y inicio del litigio, se realizaron pagos a la empresa Bearingpoint por parte del Ministerio, por la suma de $ 17.795.298,00.

En febrero de 2010, la empresa contratada interpone formal reclamo administrativo ante el Ministerio de Hacienda, por el no pago de productos entregados por una suma aproximada de ocho millones de dólares, además de exposición de incumplimientos que impidieron la adecuada ejecución contractual. En ese mismo mes, mediante resolución N° 158-2010, Jenny Phillips, Ministra de Hacienda en ese momento, suspende el contrato y abre procedimiento administrativo para determinar la verdad real de los supuestos incumplimientos atribuibles a la empresa. En mayo del 2010, el Ministro de Hacienda dicta acto final del procedimiento con resolución N° 397-2010, donde dispone la resolución contractual, la ejecución de la garantía de cumplimiento y el establecimiento de una deuda contra la empresa a cargo del proyecto.

En agosto del 2010, el Ministerio de Hacienda con oficio DVMI-386-2010 de la Viceministra de Ingresos de ese entonces Licda. Jenny Phillips Aguilar, solicita autorización ante el Órgano Contralor para la contratación directa con la empresa SAP México S.A. para completar y consolidar la implementación del modelo integral de gestión tributaria y la solución tecnológica del Proyecto Tributación Digital hasta por un monto de$ 34.395.145,12. Esta contratación directa fue denegada.

La empresa Bearingpoint, interpone ante la Sala Constitucional un recurso de amparo contra resolución 397-2010 dictada por el Ministerio de Hacienda y el 26 de abril de 2011, la Sala Constitucional declara con lugar el recurso, a través de la resolución Nº 2011005211, indicando que se anula la resolución Nº 397-2010, así como las resoluciones dictadas posteriores a dicho pronunciamiento, restituyendo a la amparada en pleno goce de sus derechos y se condena al Estado al pago de costas, daños y perjuicios causados con los hechos que sirven de base a esa declaratoria.

En la actualidad, el Ministerio de Hacienda está en proceso de demanda Contenciosa Administrativa y Civil de Hacienda, en contra de las empresas Bearingpoint Inc. y Bearingpoint México S.R.L. de C.V., por incumplimientos contractuales 2, y en esa medida el expediente del desarrollo del Proyecto como tal ha sido limitado en su acceso según información brindada en su oportunidad por el Viceministro de Ingresos en ese entonces, señor Rowland Espinoza, en oficio DVMI-299-2011 del 13 de setiembre del 2011.

En razón de lo anterior, el sistema de Tributación Digital actual es un producto parcial de lo que constituyó el proyecto inicial, el cual en sus orígenes fue concebido como un modelo de gestión tributaria integral basado en estrategias de gobierno electrónico que les permitirá a los contribuyentes realizar sus trámites, presentar declaraciones, pagar sus impuestos, resolver consultas y cumplir con los demás deberes tributarios por medio de Internet.

Dicho sistema cuenta con dos enfoques, uno a nivel del contribuyente (Portal de servicios) y otro a nivel del funcionario (Procesos Internos), tal y como se muestra en la siguiente ilustración:

1 Informe RP, Estudio 008-2011 del 22 de setiembre de 2011 de la DGAI, sobre la evaluación del avance del proyecto Tributación Digital.2 Informe de Consideraciones Finales, Estudio 008-2011 del 22 de setiembre de 2011 de la DGAI, sobre la evaluación d el avance del proyecto Tributación Digital.




Fuente: Información suministrada por el Lic. Reinier Soto Cordero – Dirección de Tecnología de Información Tributaria-DGT,

Oficio DTIT-031-2012, 10 de febrero del 2012.

El Portal de Servicios corresponde a todos los servicios brindados al contribuyente a través del portal de Tributación Digital. Entre los cuales tenemos:

A. Trámites:♣ La presentación de las declaraciones autoliquidativas, a saber: Impuesto Bebidas Alcohólicas,

Impuesto Bebidas No Alcohólicas/Jabones, Combustibles y Energéticos, Impuesto Sobre la Renta, Retenciones en la Fuente Salarios, Impuesto sobre las Ventas, Retenciones de Venta, Impuesto Selectivo de Consumo, entre otros.

♣ El pago en línea de las diferentes obligaciones del contribuyente.♣ La modificación de los datos identificativos y/o la des-inscripción del contribuyente.

B. Solicitudes corresponden a requerimientos que el contribuyente puede gestionar por medio del portal de Tributación Digital:

♣ Solicitudes al Artículo 102 y 119, las cuales se realizan por medio de un formulario específico en donde el contribuyente ingresa los datos correspondientes a la gestión que desea realizar.

♣ Devoluciones, permite a los contribuyentes tener acción para reclamar la restitución de un saldo a favor por concepto de tributos, pagos a cuenta, sanciones e intereses, cuando el crédito corresponda a un período fiscal no prescrito.

♣ Facilidades de pago, como: Solicitud de Fraccionamiento y Solicitud de Eliminación o Disminución de Pagos parciales.

C. Consultas permite tramitar diferentes opciones de consulta tales como: Datos del contribuyente, Declaraciones, Pagos, Cuenta Corriente y Estado de trámites.

D. Buzón Electrónico contiene las comunicaciones de la Administración Tributaria en relación a los trámites realizados, tales como Avisos y Acuses de recibo.

Los Procesos Internos corresponden a las actividades y procesos automatizados que se realizan con los datos obtenidos del contribuyente y los cuales son utilizados por funcionarios de las áreas involucradas, tales como:




Procesamiento de Declaraciones: proceso automático del sistema que se ejecuta diariamente. Registro de Contribuyentes: proceso correspondiente a la actualización y validación de datos

identificativos del contribuyente. Detección de Omisos: proceso correspondiente a la detección de contribuyentes que no han

presentado la declaración en la fecha correspondiente. Procesamiento de Pagos: procesamiento y apunte de los pagos realizados por el contribuyente en su

cuenta corriente tributaria. Actualización de Cuenta Corriente: procesos de compensación, cálculo de intereses, conversión de

saldos, entre otros. Procesamiento de trámites y solicitudes: atención a las consultas enviadas por el contribuyente.

El equipo de trabajo encargado actualmente del soporte y mantenimiento del sistema, sigue siendo el personal de soporte, al cual se le habían establecido roles en dicha materia durante el desarrollo del proyecto de Tributación Digital, según se muestra enseguida.

Dirección de Tecnología de Información Tributaria – D.T.I.T.

Directora: Ana Patricia Hidalgo GonzálezÁrea – DTIT Funcionarios Rol o Función

Atención y Servicio al Usuario

Jefe: Reinier Soto Cordero

Reinier Soto Cordero Coordinador Equipo Técnico e Infraestructura

Noily Navarrete Gutiérrez

Administración de Portal

Rosibel Jiménez Sandi BASISIngeniería de Sistemas

Jefe: Teresita Artavia Marín

Mercedes Rapso Salas BRF, ABAPAna Margarita Soto Retana

Portal .Net

Michael Torres Ramírez ABAPArlingthon Marin Valdivia ABAPAdriana Jiménez Mata ABAP y BASISNoily Navarrete Gutiérrez

Administración de Portal

Rosibel Jiménez Sandi BASISFuente: Elaboración propia a partir de información suministrada por el Lic. Reinier Soto Cordero – D.T.I.T.,Oficio DTIT-031-2012, 10 de febrero del 2012.

Actualmente, se están realizando gestiones para implementar el “Proyecto de Organización de la Administración y sus Servicios (de ingresos) - PO@S (i), el cual se origina de un convenio de colaboración en materia tributaria con la Agencia Española, cuyo propósito consiste en integrar el Área de Ingresos del Ministerio de Hacienda a nivel tecnológico bajo una misma arquitectura constituida por servidores Unix, el motor de base de datos ORACLE y con el lenguaje de desarrollo JAVA. Se tiene planificado que dicha plataforma venga a sustituir al sistema T.D. para Diciembre del año 2013.

La Dirección de Tecnología de Información Tributaria cuenta con la siguiente organización:3

Estructura Organizacional D.T.I.T.

3 Plan Estratégico DTIT 2011-2014, Año 2011.




Fuente: Información suministrada por el Lic. Reinier Soto Cordero – Dirección de Tecnología de Información Tributaria-DGT,

Oficio DTIT-031-2012, 10 de febrero del 2012.

2. RESULTADOS

2.1 Necesidad de mejorar en la documentación soporte del sistema

Aunque el personal de la DTIT encargado de la plataforma del sistema TD, realiza esfuerzos para documentar la información relevante en referencia a dicho sistema, a través de la recopilación de la información descriptiva de las tablas y campos importantes, descripción de la configuración de la plataforma que soporta el sistema, elaboración de guías para la resolución de problemas comunes y otros; existen los siguientes aspectos de control los cuales se refieren a la documentación requerida de acuerdo a lo estipulado por las normas y mejores prácticas en materia de TI, que pueden ser mejorados, en pos de asegurar un mejor entendimiento del sistema y la respectiva trasmisión del conocimiento, a saber:

2.1.1 Necesidad de guías para la formalización de políticas y procedimientos

Con respecto al sistema Tributación Digital se han realizado esfuerzos para normar y emitir lineamientos generales por parte de la DTIT; sin embargo, no existe una guía clara y formal que estandarice la forma apropiada para llevar a cabo la elaboración, revisión y aprobación de las Políticas y Procedimientos sobre el funcionamiento del sistema; que provea a la administración una herramienta sistemática con las pautas a seguir o el flujo que se debe llevar a cabo para la implementación apropiada de dichas herramientas de control, que regulan el desarrollo e implementación coherente y apropiado de procesos, estándares, roles, actividades, infraestructura de TI, entre otros aspectos relacionados al ámbito de TI.

Al respecto, la Licda. Ana Patricia Hidalgo González, Directora de Tecnología de Información Tributaria, manifiesta: "Se tiene normado cómo deban realizarse y cómo se deben tramitar como líneas generales, por medio de una minuta que informa a la Subdirecciones el adecuado manejo de los formatos estándar y el flujo del trámite. El procedimiento como tal se está elaborando. " 4 Lo anterior, deja de manifiesto que si bien la DTIT se ha esforzado en dotar de formatos estándar para la elaboración de dichos documentos, aún no ha establecido una guía formal, que defina el proceso a realizar para ejecutar la respectiva elaboración, revisión y aprobación de procedimientos y políticas en materia de TI.

En esta línea, el apartado e. de la norma Nº 4.2 referente a los requisitos de las actividades de control de las Normas de Control Interno para el Sector Público, establece que “Las actividades de control deben documentarse mediante su incorporación en los manuales de procedimientos, en las descripciones de puestos y procesos, o en documentos de naturaleza similar.…”

4 Minuta Nº 3, del 29 de Marzo del 2012.



Dirección de Tecnología de Información

Tributaria (DTIT)

Subdirección de Ingeniería de Sistemas (SIS)

Subdirección de Aseguramiento de Servicio al Cliente

(SASU)

Subdirección de Gestión de la Plataforma Tecnológica

Subdirección de Control de

Servicios de TI


Lo expuesto, podría generar el riesgo de que en la elaboración de las políticas y procedimientos en materia de TI que rigen para el sistema Tributación Digital, no se cumplan las formalidades y contenidos requeridos para que estos instrumentos se realicen de manera estandarizada y brinden garantía razonable de que vayan orientados al mejoramiento continuo del sistema, a través de un adecuado mantenimiento y soporte al usuario, y en aras de que se disponga de un modelo de gestión tributaria integral basado en estrategias de gobierno electrónico, que les permita a los contribuyentes realizar sus trámites, presentar declaraciones, pagar sus impuestos, resolver consultas y cumplir con los demás deberes tributarios por medio de Internet, sin necesidad de salir de su casa u oficina.

2.1.2 Necesidad de fortalecer los instrumentos administrativos acerca de la documentación del Sistema

El sistema Tributación Digital, no cuenta con los siguientes instrumentos que permitan regular el proceso de elaboración, actualización, custodia y control de la documentación del sistema, información que contribuiría al conocimiento claro de los aspectos técnicos del sistema como tal y que a su vez, fomentaría la transmisión de información dentro del personal a cargo del sistema en cuestión:

a) Un procedimiento formal que regule el modo apropiado de llevar a cabo la custodia y control de las versiones de la información soporte del sistema TD, para el seguimiento adecuado de los cambios que se van realizando dentro de la configuración y arquitectura del sistema, lo que a su vez, permite agilizar el futuro mantenimiento y la transferencia del conocimiento sobre el aplicativo.

Sobre este tema, el Lic. Reinier Soto Cordero- Subdirector de Aseguramiento de Servicio al Cliente-DTIT, el cual fue la persona de contacto designada por la Lida. Hidalgo González, Directora de DTIT, para brindar información sobre el sistema TD, debido a su labor de encargado de Tributación Digital ejecutada desde el 10 de noviembre del 2010 hasta el 21 de octubre del 2011; manifiesta que un procedimiento escrito no hay, ya que el control de las versiones lo realiza propiamente el software, es decir SAP. No obstante, dicha afirmación se refiera más a las versiones propiamente del software del sistema y no, a la documentación que refleja o muestra la configuración a nivel de la plataforma que soporta el sistema TD.

b) Un procedimiento formal que describa los pasos y actividades necesarias para ejecutar el proceso de elaboración y actualización de la documentación técnica.

El Lic. Soto Cordero manifiesta al respecto: "Se maneja así como se definió durante el Proyecto, que era con el uso de la herramienta SOLMAN, pero actualmente no existe un procedimiento formal para ese aspecto en el sistema TD....". 5

De lo antes citado, se puede destacar que a pesar de que la documentación técnica se está recopilando a través del uso de la herramienta citada, no existe un documento o procedimiento que defina aspectos tales como: cuál es la información técnica que debe ser documentada, de qué forma se elaborará la documentación; quienes son los responsables de generarla, así como los responsables de revisarla y aprobarla; que formatos estándar se utilizarán, en qué lugar deberá ser almacenada, entre otros.

c) Una política o lineamiento que norme los aspectos relacionados al proceso de actualización de la documentación técnica.

De igual modo, al consultarle al Lic. Reinier Soto Cordero, sobre este aspecto indica que: “…en la actualidad no se cuenta con una política al respecto”. También agrega que: “Si se hace actualización





de documentación técnica cada vez que existe un cambio en el sistema TD. Sin embargo, no se realizan revisiones periódicas de la documentación ya existente para verificar su vigencia.” 6

Al no existir una política clara sobre las consideraciones a tomar en cuenta dentro del proceso de actualización de la documentación técnica del sistema TD, aspectos tales como: frecuencia con que se debe ejecutar dicha labor, las personas responsables de realizarla y la forma en que se llevará a cabo; quedan sin ser debidamente establecidos y normados estos aspectos, lo que provoca que el proceso en cuestión sea llevado a cabo de forma descoordinada o que del todo no se realice.

El apartado e. de la norma Nº 4.2 de las actividades de control de las Normas de Control Interno para el Sector Público, establece que “Las actividades de control deben documentarse mediante su incorporación en los manuales de procedimientos, en las descripciones de puestos y procesos, o en documentos de naturaleza similar. Esa documentación debe estar disponible, en forma ordenada conforme a criterios previamente establecidos, para su uso, consulta y evaluación.”

El contar con políticas y procedimientos claros, le facilitaría a la administración disponer de un instrumento que establezca el orden lógico que deben seguir las actividades comprendidas en la elaboración y actualización de la documentación técnica del sistema Tributación Digital, así como quién debe ejecutar dichas actividades y cuándo deben ser ejecutadas, también permitiría definir las guías necesarias en el proceso de toma de decisiones al poner en práctica o ejecutar un proceso tan relevante como lo es el levantamiento de la información técnica concerniente al sistema TD, procurando con ello el mejor entendimiento y uso del mismo.

2.1.3 Aspectos a mejorar en la documentación técnica:

El sistema TD no cuenta con los siguientes elementos o documentos, que permitan reflejar el diseño y la lógica del sistema como tal; documentos importantes para una adecuada conceptualización y entendimiento general del SI y cuyo propósito principal es el facilitar el uso, desarrollo, corrección y futuro mantenimiento de la aplicación, de una forma rápida y ágil, a saber:

a) Diagramas entidad-relación que permita representar las entidades relevantes del sistema TD, así como sus interrelaciones y propiedades; con lo cual se lograría poseer un mejor entendimiento de forma gráfica y fácil, de la lógica inmersa en cómo se manipulan e interrelacionan los datos administrados por dicho sistema.

El Lic. Soto Cordero - DTIT, manifestó que: "No existen como tal. Sin embargo, el personal a cargo ha ido recopilando información de las tablas principales, sus campos y relaciones entre ellas. "7 Lo anterior evidencia que actualmente, el personal de la DTIT que se encarga del mantenimiento y soporte al sistema TD, no ha documentado de forma clara y explícita el diseño y lógica de dicho sistema, por medio del uso de diagramas entidad-relación o algún otro instrumento que cumpla tal objetivo.

b) Catálogos de documentación técnica y del manual de usuario que permitan al personal a cargo del soporte y mantenimiento del sistema TD, o en su defecto a aquellas personas que por sus labores lo requieran; el conocer y consultar de forma ágil, qué documentación técnica existe y cuales procesos se han descrito dentro del manual de usuario del sistema mencionado. En el caso particular, del personal responsable de la administración del sistema TD, este instrumento es de suma utilidad dentro del proceso de generación y actualización de tal información, ya que permite determinar la necesidad de actualizar documentos existentes o crear nueva documentación, si es que está no existiera.

6 Minuta Nº 1, del 12 de Marzo del 2012.7 Minuta Nº 1, del 12 de Marzo del 2012.




Al respecto, el Lic. Soto Cordero señala que ellos no han elaborado un catálogo que muestre la documentación técnica que se ha generado en referencia al sistema TD. Además al consultarle sobre el catálogo del Manual de Usuario del sistema precitado, nos indica: “La DTIT no hace manuales de usuario...Esto es una responsabilidad que fue delegada a los funcionales” y termina diciendo “No existe un catálogo de dicho manual…”8

Lo expresado por el señor Soto, evidencia que el proceso de documentación de la información, tanto técnica como la que es destinada al usuario, se está efectuando de forma desordenada y sin planificar, en vista de que se desconoce con qué documentos se cuentan y cuales faltan por elaborar; lo que no permite conocer el grado de avance en el proceso de documentación de dicho sistema.

Entre las mejores prácticas la metodología COBIT 4.1., en su objetivo de control AI 4 que habla de Facilitar la Operación y el Uso de los SI estipula que: “El conocimiento sobre los nuevos sistemas debe estar disponible. Este proceso requiere la generación de documentación y manuales para usuarios y para TI, y proporciona entrenamiento para garantizar el uso y la operación correctos de las aplicaciones y la infraestructura.”

El no disponer de la documentación técnica expresada a través de diagramas entidad-relación y catálogos (Documentación Técnica y del Manual de Usuario) del sistema TD, incrementa la dificultad para conceptualizar la lógica y la relación entre los datos que comprende el sistema, hecho que podría afectar de modo negativo el desarrollo y mantenimiento a futuro del aplicativo. Asimismo, afecta la transmisión ágil y eficaz del conocimiento del sistema y su funcionamiento, a aquellos desarrolladores o programadores que no se encuentren muy familiarizados con el mismo.

Si la documentación del sistema es incompleta, el diseñador continuamente estará involucrado, provocando una inapropiada utilización del recurso humano, así como una dependencia del personal que ha adquirido el conocimiento del sistema, a través de la experiencia y la interactuación generada al desarrollar o darle mantenimiento.

2.1.4 Sobre el almacenaje, custodia y control de la documentación

Si bien, la DTIT hace uso del centro de datos: CODISA, el cual le provee condiciones físicas y de seguridad, que permiten garantizar de forma razonable, la continuidad de los servicios que dicha Dirección presta a sus usuarios, así como el resguardo físico de los equipos, en pos de garantizar la integridad y confiabilidad de la información; además posee una solución de almacenaje masivo, conocida como S.A.N. (de sus siglas en inglés: “Storage Area Network”) que permite almacenar todos los datos y la información referente al sistema TD; no obstante, se determinó que el sistema TD, a marzo del 2012 no cuenta con un sitio centralizado debidamente establecido para el almacenamiento de la información soporte y la documentación técnica del sistema, que permita y facilite una adecuada custodia y manejo de dicha información.

Sobre este tema el Lic. Soto indica que se cuenta con el sitio CODISA, el cual es el sitio encargado de almacenar dicha información. Más sin embargo, a través de la investigación, se logra determinar que el personal a cargo del mantenimiento de la plataforma del sistema TD, al elaborar documentación referente al sistema, por lo general la almacena en los equipos personales de cada funcionario y no son recopilados en un sitio centralizado establecido para dicho fin.

Entre las mejores prácticas COBIT 4.1., en su objetivo de control DS 9 que trata de Administrar la Configuración establece que: “Garantizar la integridad de las configuraciones de hardware y software requiere establecer y mantener un repositorio de configuraciones completo y preciso. Este proceso incluye la





recolección de información de la configuración inicial, el establecimiento de normas, la verificación y auditoría de la información de la configuración y la actualización del repositorio de configuración conforme se necesite. Una efectiva administración de la configuración facilita una mayor disponibilidad, minimiza los problemas de producción y resuelve los problemas más rápido”.

El no contar con un sitio o repositorio centralizado para la documentación del Sistema TD, está provocando que la misma se encuentre distribuida y almacenada en islas, en vista de que está siendo guardada en los equipos de cómputo personales de los funcionarios, condición que fomenta la dependencia del personal, ya que en ausencia de un funcionario, la información por él custodiada y almacenada en su equipo, no estará disponible para ser consultada por quien así lo requiriera, o en su defecto, se podría desconocer de su existencia, ya que solo el funcionario conocería que documentación posee y en qué carpeta se encuentra almacenada. Además, dicha situación podría incrementar el riesgo de la pérdida de información soporte y la documentación técnica acerca del sistema en mención, en el caso de que alguno de dichos equipos personales fallara y no se contará con un respaldo de la información contenida en él.

De igual forma, afecta el adecuado establecimiento de lineamientos para el acceso, custodia y almacenaje de dicha documentación, en función de que la administración actual de la misma se está llevando a cabo de forma desorganizada y descentralizada.

2.2 Necesidad de mejoras sobre la calidad del sistema

Al ser la DTIT la dependencia encargada de ejecutar y definir la política informática con el propósito de garantizar el apoyo a la gestión de las diferentes unidades y áreas de trabajo de la Dirección General de Tributación, por medio del procesamiento de datos, operación y mantenimiento de sistemas de información, ha orientado sus esfuerzos en el mejoramiento de la calidad en la ejecución de sus actividades o labores, así como en la prestación de servicios, lo cual se ve reflejado por medio de la creación de la Subdirección de Control de Servicios de TI, la cual busca mejorar la calidad de la documentación que se genera, la elaboración de procedimientos, la organización y lograr una adecuada estandarización de la información.

No obstante, se determinó que se presentan los siguientes aspectos que son susceptibles de mejora y que están relacionados propiamente con la calidad en el sistema TD, todo esto acorde a lo que dictan las buenas prácticas y la normativa vigente en materia de TI:

2.2.1 Sobre la metodología de revisión y aprobación de la calidad del software

El sistema de Tributación Digital no cuenta con una metodología que permita planificar de modo adecuado el proceso de revisión y aprobación de la calidad del software; lo que le imposibilita a la administración el contar con una manera sistemática de valorar la calidad de dicho sistema, basándose en un conjunto de reglas claramente definidas.

Al respecto la Licda. Patricia Hidalgo señala que:”No existe una metodología formal para la revisión y aprobación de la calidad del software desarrollado por la DTIT” y agrega que “solo se verifica a nivel de las pruebas técnicas y funcionales”.9 Por su parte el Lic. Soto Cordero, indicó que: “No existen herramientas para la Revisión de la calidad del software desarrollado en el sistema TD” y agrega: “No hay revisión y aprobación de la calidad del software desarrollado en el sistema TD”. 10

En nuestra opinión es conveniente que la Dirección de Tecnología de Información Tributaria dimensione la labor de organizar el aseguramiento de la calidad de los sistemas administrados, en forma particular en el

9 Minuta Nº 3, del 29 de Marzo del 2012.10 Minuta Nº 2, del 13 de Marzo del 2012.

INF-DGAI-016-2012 Pág. 10 de 28



sistema Tributación Digital, en términos de medición de la calidad de los datos que procesa y administra el mismo; en concordancia con los requisitos funcionales y no funcionales, así como los requisitos de rendimiento, del código fuente (software), de la accesibilidad a la información, del proceso que apoya o modela el SI, entre otros.

El objetivo de control AI2.8 referente al Aseguramiento de la Calidad del Software del COBIT41., establece lo siguiente: "Desarrollar, Implementar los recursos y ejecutar un plan de aseguramiento de calidad del software, para obtener la calidad que se especifica en la definición de los requerimientos y en las políticas y procedimientos de calidad de la organización”

La situación descrita, contribuyó a que la DTIT carezca de los siguientes aspectos, que le proporcionarían herramientas de control que faciliten la elaboración y mantenimiento de un sistema de administración de calidad en el ámbito de TI, específicamente en lo que respecta a los sistemas informáticos:

a) Políticas y estándares claros que apoyen la labor del aseguramiento de la calidad en el software.b) Métricas debidamente establecidas que permitan para valorar apropiadamente la calidad del software.c) Planificación para la evaluación de calidad de los SI: expresado en términos de planes, programas,

cronogramas y otros instrumentos que le permitan establecer metas referentes a la calidad de los sistemas de la DGT, así como elegir los medios requeridos y necesarios para alcanzarlas.

d) Seguimiento de la evaluación de la calidad de los SI: en procura de garantizar que el control de la calidad se aplica a los SI de la DGT y el resultado es un producto de calidad.

e) Procedimiento para la evaluación de la calidad de los SI: que permita obtener la mejor forma de llevar a cabo tal actividad, considerando los factores del tiempo, esfuerzo y dinero, en pos de obtener una mayor eficiencia laboral.

f) Plan de evaluación de los sistemas de información: para conseguir y/o mantener la calidad de los sistemas, en procura de garantizar razonablemente que las demandas y necesidades de los usuarios sean satisfechas.

De igual modo, la falta de evaluación de los sistemas de información, en especial en el sistema TD, limita la posibilidad a la DTIT de valorar la calidad del sistema desarrollado, en términos del grado de cumplimiento de los requerimientos funcionales que fueron planteados, así como la medición del rendimiento del sistema de acuerdo con los requerimientos previamente establecidos. Asimismo, se podría afectar la capacidad de la gerencia en TI, de evitar que sucedan discrepancias significativas técnicas o lógicas durante el desarrollo o mantenimiento de los sistemas de información, en especial del sistema TD, debido a que no son sometidos a una periódica revisión y evaluación de su calidad, a través del uso de una metodología estándar que posibilite dicho fin; hechos que repercuten de forma negativa en la generación de información útil para el trabajo, la toma de decisiones, y la mejora continua de la prestación de servicios por parte de la DTIT.

2.2.2 Sobre pruebas técnicas de los cambios funcionales

Como parte del proceso de realización de cambios en la funcionalidad del sistema Tributación Digital, cada desarrollador encargado procura elaborar la documentación de respaldo de dicha labor, tal como el plan de pruebas que debe ser aplicado al cambio solicitado y la documentación de los resultados obtenidos de la aplicación de las pruebas; no obstante, se determinaron los siguientes aspectos a ser fortalecidos:

a) Necesidad de mejoras en las normas referentes al proceso de pruebas

Si bien, los funcionarios encargados del sistema Tributación Digital, elaboran la documentación de respaldo de la labores de mantenimiento que ejecutan, en especial durante el proceso de prueba y puesta en producción de cambios en la funcionalidad del mismo, actualmente se carece de los siguientes instrumentos de índole

INF-DGAI-016-2012 Pág. 11 de 28



normativo, que le permitirían a la administración regular las actividades requeridas para el adecuado proceso de formulación del plan de pruebas, la recolección de información pertinente y esencial para el eficaz seguimiento de la aplicación, y los resultados de dichas pruebas, a saber:

No se dispone de un procedimiento formal que establezca de forma clara y concisa los pasos y/o actividades necesarias para elaborar, revisar y aprobar el Plan de Pruebas; el mismo debe contemplar la información mínima necesaria que debe ser contenida en dicho documento, la forma en que será presentada, así como los responsables de revisar y aprobar el plan propuesto. Dicha herramienta proveería a la administración, una manera sistemática de elaborar este tipo de plan, favoreciendo su análisis y seguimiento en pos de mejorar la calidad del proceso de pruebas del software.

No se dispone de políticas o lineamientos que norme aspectos relacionados con el proceso de documentación de la ejecución de las pruebas técnicas, así como los resultados obtenidos de ellas.

Al consultarle al Lic. Soto C., sobre este aspecto indica que: “No existe una directriz que establezca que cada desarrollador deba documentar la ejecución de sus pruebas técnicas.”También agrega: “Se viene realizando como buena práctica heredada del modo de trabajar durante el proyecto de Tributación Digital.” 11 De lo anterior, se evidencia que al no estar reglamentada la obligatoriedad por parte del desarrollador, de elaborar la documentación de respaldo en la ejecución de sus pruebas técnicas y los resultados obtenidos, deja a su criterio y libre albedrio la recolección o no de tal información; la cual resulta de gran importancia para el eficaz control y seguimiento del proceso de pruebas del software.

En las Normas de Control Interno para el Sector Público, específicamente en el apartado e. de la norma Nº 4.2 referente a los requisitos de las actividades de control, se establece que “Las actividades de control deben documentarse mediante su incorporación en los manuales de procedimientos, en las descripciones de puestos y procesos, o en documentos de naturaleza similar. Esa documentación debe estar disponible, en forma ordenada conforme a criterios previamente establecidos, para su uso, consulta y evaluación.”

Por su parte y como mejores prácticas, el objetivo de control PO 6.3 del COBIT 4.1.que trata el tema de la administración de políticas para TI, estipula lo siguiente: “Elaborar y dar mantenimiento a un conjunto de políticas que apoyen la estrategia de TI. Estas políticas deben incluir su intención, roles y responsabilidades, procesos de excepción, enfoque de cumplimiento y referencias a procedimientos, estándares y directrices. Su relevancia se debe confirmar y aprobar en forma regular.”

La falta de criterios estándar, con respecto a la elaboración del Plan de Pruebas para los cambios efectuados en el Sistema Tributación Digital, imposibilita a la DTIT el valorar el tipo de pruebas que se están aplicando para verificar la eficacia de los cambios, el poder definir qué tan exhaustivas o quizás apropiadas son las pruebas de software que se proponen en el plan; lo que incide en la calidad, confiabilidad, integridad y oportunidad de la información generada como resultado de dicho proceso, lo cual se convertirá en insumo para la toma de decisiones, en pos de fomentar el aseguramiento de la calidad en la labor de desarrollo del sistema.

Además, la falta de una adecuada documentación del resultado de las pruebas realizadas, incrementaría el riesgo que cambios desarrollados en el Sistema TD sean sometidos a pruebas que no sean consistentes con el cambio efectuado, que las pruebas ejecutadas sean insuficientes de acuerdo al impacto del cambio que se está llevando a cabo o en el peor de los casos, que estas modificaciones no sean del todo probadas antes del pase al ambiente de producción; lo que podría tener un impacto potencial en la integridad y confidencialidad de la información, y por ende en la disponibilidad del sistema y la continuidad de su operación.

b) Necesidad de mejoras en el plan de pruebas


INF-DGAI-016-2012 Pág. 12 de 28



Si bien, cada desarrollador elabora una lista de actividades o pasos a ejecutar con el fin de probar la nueva funcionalidad o cambio a ser aplicado al sistema productivo del sistema TD, labor que según nos indican fue adoptada como buena práctica a partir de la forma en que se trabajaba durante el proyecto de Tributación Digital; se logra determinar que dicho documento no contiene los elementos necesarios para ser considerado como un plan de pruebas estructurado y establecido; hecho que se ratifica a través de los siguientes aspectos encontrados, como producto de la revisión y análisis de los siguientes 10 ejemplos de listas de actividades para prueba de funcionalidad:“Como se corrige Brf ZBA”,“Pruebas cálculo de monto a compensar, transacción SE37 (ZMHCR_BAPI_CREDITOSFORMULARIOS)”,“prueba presentacion decla renta cuando hay disminuciondepagosparciales”,“PruebasModificaciónDobleConsulta”,“CheckList_Pruebas_Art119V2”,“CheckList_Pruebas_CuentaIntegral”,“CheckList_Pruebas_RUT”,“CheckList_Pruebas_Cobro_Administrativo”, “CheckList_Pruebas_Devoluciones” y “Pruebas calculo de intereses mock 18-10-2011”; los cuales fueron elaborados por diferentes funcionarios del equipo de trabajo en mención:

No existe uniformidad de criterios con respecto a la información que debe contener dicho documento, en vista de que:

5 documentos, lo cual representa un 50 % de la muestra examinada, contienen la siguiente información: objetivo de la prueba; cuadro descriptivo que presenta las actividades, resultado (Correcto o Incorrecto) y observaciones; una sección de visto bueno, que contempla la fecha de realización de la prueba, nombre del funcionario encargado y prueba.

4 documentos, lo que representa un 40 % de la muestra total, solo contienen breves títulos para cada uno de los screenshots incorporados en el mismo.

1 documento, que constituye el 10% contiene: el objetivo; el alcance; escenarios de las pruebas realizadas y screenshots de los resultados obtenidos en la aplicación de las pruebas.

No existe una estructura debidamente establecida para la elaboración del documento. Hecho que se evidencia en la variedad y la inclusión/omisión de secciones presentes en los distintos documentos analizados, tal y como se muestra en el punto anterior.

De conformidad con la naturaleza de la información que presentan dichos documentos, corresponden más a la documentación de los resultados de la ejecución de las pruebas del analista, que a un plan formal de pruebas técnicas.

No cumple con lo que indica las mejores prácticas para la elaboración de Plan de Pruebas.

Sobre el tema, el Lic. Soto Cordero señala: “Si existe un plan de pruebas tanto unitarias como integrales (que incorporan la totalidad del módulo modificado), tanto a nivel técnico y funcional. El funcional genera su propia documentación y el desarrollador la suya”. 12 Sin embargo, tal como lo muestra el apartado anterior, la documentación generada no contiene los elementos necesarios para ser considerado como un plan de pruebas válido, suficiente y pertinente.

El objetivo de control AI 7.2 del COBIT 4.1.como mejor práctica, en referencia al Plan de Prueba estipula: “Establecer un plan de pruebas basado en los estándares de la organización que define roles, responsabilidades, y criterios de entrada y salida. Asegurar que el plan está aprobado por las partes relevantes.”

De acuerdo con las mejores prácticas para la elaboración de un Plan de Pruebas, se debe considerar algunos elementos como los siguientes:

Identificador del plan: Preferiblemente de alguna forma mnemónica que permita relacionarlo con su alcance, por ej. TP-Global (plan global del proceso de pruebas), TP-Req-Seguridad1 (plan de verificación


INF-DGAI-016-2012 Pág. 13 de 28



del requerimiento 1 de seguridad), TP-Unit-Despachador. Iniciar (plan de prueba unitario para el método iniciar de la clase Despachador). Dicho identificador está sujeto a control de configuración, por lo que debe distinguirse adicionalmente la versión y fecha del plan.

Alcance: Indica el tipo de prueba y las propiedades/elementos del software a ser probado. Ítems a probar: Indica la configuración a probar y las condiciones mínimas que debe cumplir para

comenzar a aplicarle el plan. Estrategia: Describe la técnica, patrón y/o herramientas a utilizarse en el diseño de los casos de prueba.

Por ejemplo, en el caso de pruebas unitarias de un procedimiento, esta sección podría indicar: "Se aplicará la estrategia caja-negra de fronteras de la precondición" o "Ejercicio de los caminos ciclomáticos válidos". En lo posible la estrategia debe precisar el número mínimo de casos de prueba a diseñar, por ej. 100% de las fronteras, 60% de los caminos ciclomáticos.

Categorización de la configuración: Explicita las condiciones bajo las cuales, el plan debe ser: Suspendido, Repetido, Culminado. En algunas circunstancias (las cuales deben ser indicadas) el proceso de prueba debe suspenderse en vista de los defectos o fallas que se han detectado.

Tangibles: Explicita los documentos a entregarse al culminar el proceso previsto por el plan; por ej. subplanes, especificación de pruebas, casos de prueba, resumen gerencial del proceso y bitácora de pruebas.

Procedimientos especiales: Identifica el grafo de las tareas necesarias para preparar y ejecutar las pruebas, así como cualquier habilidad especial que se requiere.

Recursos: Especifica las propiedades necesarias y deseables del ambiente de prueba, incluyendo las características del hardware, el software de sistemas (p. ej. el sistema de operación), cualquier otro software necesario para llevar a cabo las pruebas, así como la colocación específica del software a probar (p. ej. qué módulos se colocan en qué máquinas de una red local) y la configuración del software de apoyo. La sección incluye un estimado de los recursos humanos necesarios para el proceso.

Calendario: Esta sección describe los hitos del proceso de prueba y el grafo de dependencia en el tiempo de las tareas a realizar.

Manejo de riesgos: Explicita los riesgos del plan, las acciones mitigantes y de contingencia. Responsables: Especifica quién es el responsable de cada una de las tareas previstas en el plan.

Las condiciones citadas estarían afectando la confiabilidad e integridad de la información recopilada a través de dicho instrumento, incidiendo de igual modo en la utilidad de la misma para el cumplimiento de los objetivos establecidos para tal herramienta de control, en términos de eficiencia y eficacia con que las labores de prueba de software están siendo ejecutadas y en qué grado están contribuyendo, en la mejora continua de los servicios prestados en relación al sistema TD por parte de la DTIT. Asimismo, puede afectar de forma negativa la ejecución eficiente de las labores conferidas a dicha Dirección, con respecto al apoyo a la gestión de las diferentes unidades y áreas de trabajo de la Dirección General de Tributación, en materia de TI.

2.2.3 Sobre el monitoreo de tendencias y causas de incidencias

El personal de la DTIT responsable del soporte de la plataforma del sistema TD, dedica tiempo y recursos en la labor de atención y respectiva resolución de incidentes relacionados al sistema, los cuales son reportados tanto por usuarios internos como externos, además, de orientar esfuerzos en la tarea de documentación del conocimiento, a través de la elaboración de guías para la resolución de problemas o incidentes de mayor frecuencia. Sin embargo, se logra determinar que el sistema Tributación Digital no cuenta con un proceso de monitoreo periódico de sus incidencias, con el propósito de definir las posibles causas y las tendencias que presentan las mismas, en procura de fomentar la mejora continua en la calidad de los servicios prestados por dicho Sistema.

INF-DGAI-016-2012 Pág. 14 de 28



El Lic. Soto Cordero, manifiesta que el personal se dedica a atender y resolver las incidencias en el sistema en mención; pero no se realiza monitoreo periódico de las mismas.13

La norma Nº 4.5 referente al manejo de incidentes de las Normas Técnicas para la gestión y el control de las TI, establece que: “La organización debe identificar, analizar y resolver de manera oportuna los problemas, errores e incidentes significativos que se susciten con las TI. Además, debe darles el seguimiento pertinente, minimizar el riesgo de recurrencia y procurar el aprendizaje necesario”

La metodología de COBIT 4.1 como mejor práctica, establece en su objetivo de control DS 8.4: “Establecer procedimientos para el monitoreo puntual de la resolución de consultas de los clientes …” y en el objetivo de control DS 8.5 relacionado al análisis de tendencias estipula: “Emitir reportes de la actividad de la mesa de servicios para permitir a la gerencia medir el desempeño del servicio y los tiempos de respuesta, así como para identificar tendencias de problemas recurrentes de forma que el servicio pueda mejorarse de forma continua.”

Esta condición, contribuyó a que la DTIT no disponga de los siguientes aspectos dentro del Sistema TD; que le proporcionen herramientas de control que garanticen razonablemente la respuesta oportuna y efectiva a las consultas y problemas de sus clientes:

a) Procedimiento formal para efectuar el proceso de monitoreo de las tendencias y causas de las incidencias: que permita formular la manera idónea para llevar a cabo tal actividad, tomando en consideración los factores del tiempo, esfuerzo, recursos y dinero, en pos de obtener una mayor eficiencia laboral.

b) Planes de Acción para la corrección de problemas frecuentes: que permitan la mejora de los servicios prestados por el Sistema TD, en busca de satisfacer las demandas de sus usuarios.

Asimismo, la condición descrita limita la posibilidad de poder determinar en qué grado las consultas y problemas de los clientes, están siendo atendidas de forma oportuna y efectiva, afectando la capacidad de la gerencia en TI, de medir el desempeño del servicio y los tiempos de respuesta en el proceso de atención y resolución de incidentes, así como para identificar tendencias de problemas recurrentes de forma que el servicio pueda mejorarse de forma continua, por medio del aprovechamiento y uso del conocimiento adquirido en la resolución de problemas repetitivos presentes en el sistema, con el objetivo de lograr el incremento de la productividad y disponibilidad del Sistema TD.

2.2.4 Sobre la integridad de la información almacenada en el Sistema

Para efectos del presente estudio se solicitó la información almacenada en algunas de las principales tablas del Sistema TD, para el periodo comprendido entre Julio y Diciembre del 2011. Entre las tablas que fueron objeto de nuestra revisión se citan las siguientes:

BUT050: Tabla de Relaciones (representantes legales, gestores) BUT051: Tabla de poder con que actúa (referente a las relaciones)TB038A: Tabla de Actividades Económicas.ZTBL_OBLIGACIONT: Tabla de Relación Actividad Económica vrs. Obligaciones. La información fue suministrada por la Licda. Ana Patricia Hidalgo González, Directora de la DTIT, de forma digital en el CD denominado “Información Tablas SAP-DTIT-190-2012” y mediante el Oficio DTIT-190-2012 del 29 de mayo del 2012.


INF-DGAI-016-2012 Pág. 15 de 28



Como resultado del análisis realizado, con relación a la integridad de los datos contenidos en los principales campos de las tablas precitadas, se obtuvo los siguientes resultados:

a) Referente a la tabla BUT050

Esta tabla describe las relaciones existentes (representantes legales, gestores) y contiene un total de 5833 registros para el periodo comprendido entre Julio y Diciembre del 2011, en donde se detectaron los siguientes elementos concernientes a la integridad de los datos almacenados en dicha tabla; cuyo detalle se describe a continuación:

52 registros, que representa un 0,89% del total de registros de la tabla, no contienen información sobre la característica de representación de la relación (campo RELKIND), es decir que no se indica el tipo de relación existente entre los representantes legales y gestores.

700 registros, que representa un 12.09% de la totalidad de registros, son las relaciones que presentan alguna modificación. En el 100% de dichos casos, los registros no contienen información sobre la fecha en que realizó la última modificación (campo CHUSR), el sistema solo registró el usuario que la realizó y la hora del evento, más no la fecha de realización.

Existen 4 campos que no están siendo utilizados por el sistema TD (XRF: carácter de 1 espacio; DFTVAL: carácter de 20 espacios; RLTYP: carácter de 6 espacios y XDFREL: carácter de 1 espacio), los cuales representan por registro, 28 espacios tipo carácter que no se utilizan (28 bytes por registro). Es decir que en la totalidad de los registros de esta tabla, hay 159 KB de espacio no utilizado.

b) Referente a la tabla BUT051

Dicha tabla provee información del tipo de poder con que actúa el contribuyente en el sistema TD. La tabla contiene un total de 5833 registros para el periodo establecido, en donde se encontraron los siguientes elementos concernientes a la integridad de los datos almacenados en dicha tabla; cuyo detalle se describe a continuación:

2770 registros, que representa un 47,44 % del total de registros de la tabla, no contienen información acerca del poder con que actúa el contribuyente (campo FNCTN).

El campo FNCTN que se refiere al poder con que actúa el contribuyente, no presenta términos estandarizados para denominar los tipos de poderes presentes en las relaciones.

Por ejemplo, para referirnos al poder correspondiente al apoderado generalísimo que no posee límite de suma; en el sistema TD se utilizan los siguientes términos: APD GRLISIMO SIN LIMITE DE SUMA; APOD GEENERLAISIMO S/LIMIT SUMA; APOD GEN SIN LIMITE DE SUMA; APOD GENER SIN LIMITE DE SUMA; APOD GENERAL; APOD GENERALISIMO SIN LIMITE DE SUMA; entre otros. Dicha variedad de términos dificulta la categorización de tal campo, porque aunque se refieren al mismo concepto, están registrados en el sistema TD de modo diferente.

c) Referente a la tabla TB038A

Esta tabla describe las posibles actividades económicas a las que se dedican los contribuyentes. Contiene un total de 1116 registros, en donde se encontraron los siguientes elementos relacionados a la integridad de los datos almacenados en dicha tabla, que se describen a continuación:

INF-DGAI-016-2012 Pág. 16 de 28



Existen 40 casos, los cuales representan un 3,58 % del total de registros de la tabla, donde existen 2 registros con el mismo código de la actividad económica (campo IND_SECTOR) y la misma denominación (campo TEXT); la única diferencia es que uno posee ramo predecesor (campo IND_SECTOR) y sistema sector industrial (campo ISTYPE) mientras que el otro registro no posee ningún valor en dichos campos. Entre los códigos que presentan dicha situación se pueden citar los siguientes: 331202, 523309, 523929, 524005, 524006, 602301-602304, 603001, 611001, 611002, 641201, 642001-642006, 659101, 659201-659204, 659901, 659902, 660301-660303, 671101, 671201, 671202, 671901, 711101-711105, 711201 y 711304.

Al respecto, se le consultó a la Licda. Mercedes Rapso Salas, del Equipo de trabajo que soporta la plataforma del sistema TD; la cual nos indica que dicha información duplicada son códigos que no funcionan, haciendo referencia a los códigos (registros) que no poseen ramo predecesor ni sistema sector industrial y agrega que, seguramente en algún momento al inicio del sistema, fueron incluidos quizás por los funcionales, pero que constituyen basura en dicha tabla.

La presencia de estos registros basura constituye un grave problema que induce a error, ya que el sistema TD, podría estar haciendo uso de información incorrecta o en su defecto, información desactualizada o incompleta, a la hora de referenciar o relacionar las actividades económicas con datos almacenados en otras tablas que utilizan como llave de búsqueda: el código de la actividad (campo IND_SECTOR).

Tal fue el caso que pudimos constatar en nuestro análisis, cuando se buscó determinar las obligaciones que debe pagar cada actividad económica. Con dicho fin, tuvimos que acceder la información contenida en las tablas TB038A (tabla que almacena el código y la descripción de la actividad, entre otros datos) y ZTBL_OBLIGACIONT (contiene los datos de los tipos de obligaciones (impuestos) que le corresponden a cada actividad económica) por medio del uso del código de actividad como llave de búsqueda; en donde obtuvimos asociaciones no correctas, ya que se realizaban con los precitados registros basura de actividades económicas presentes en la tabla TB038A.

Con relación a la tabla ZTBL_OBLIGACIONT no se detectaron en los campos analizados, inconsistencias que comprometan la integridad de la información y la validación de dichos campos.

Las Normas de Control Interno para el Sector Público, en su norma Nº 5.6 referente a la Calidad de la Información establecen que: “El jerarca y los titulares subordinados, según sus competencias, deben asegurar razonablemente que los sistemas de información contemplen los procesos requeridos para recopilar, procesar y generar información que responda a las necesidades de los distintos usuarios. Dichos procesos deben estar basados en un enfoque de efectividad y de mejoramiento continuo…”

Por su parte, la norma Nº 4.3 referente a la Administración de los datos de las Normas Técnicas para la gestión y el control de las TI, establece que: “La organización debe asegurarse de que los datos que son procesados mediante TI corresponden a transacciones válidas y debidamente autorizadas, que son procesados en forma completa, exacta y oportuna, y transmitidos, almacenados y desechados en forma íntegra y segura”

Las condiciones expuestas en este apartado relacionados a la integridad y la confiabilidad de los datos procesados por el sistema TD, podrían significar que se está omitiendo información relevante dentro del proceso de la presentación de las declaraciones, así como el pago de las obligaciones; hecho que podría significar que el Sistema TD no estaría cumpliendo a cabalidad, con uno de sus principales propósitos que es brindar información confiable, completa, oportuna y de calidad, que permita a la DGT la consecución efectiva de sus objetivos estratégicos en aras de facilitar al ciudadano el cumplimiento voluntario de sus obligaciones, mejorando la transparencia en la gestión tributaria.

INF-DGAI-016-2012 Pág. 17 de 28



Consecuentemente podría tenerse efectos en la información que se genera para la toma decisiones, el tiempo de ejecución de las transacciones, el espacio en disco, la eficiencia y eficacia de las operaciones; y eventualmente en la efectiva y eficaz recaudación de tributos.

2.3 Necesidad de mejoras en la gestión del sistema

La Dirección de Tecnología de Información Tributaria dedica recursos a satisfacer los requerimientos en soporte y asesoría de los usuarios de la Dirección General de Tributación y los clientes externos que hacen uso de los servicios facilitados a través del Sistema TD, a través de la ejecución de labores tales como: creación y desbloqueo de usuarios del sistema, atención y resolución de incidentes, mantenimiento de la plataforma y funcionalidad del Sistema, entre otras. No obstante, se determinaron algunos aspectos susceptibles de ser mejorados según se presentan enseguida:

2.3.1 Sobre la asignación formal de roles y responsabilidades del personal a cargo

No se dispone de un documento formal que establezca los roles y responsabilidades de los funcionarios que brindan soporte y mantenimiento al Sistema TD, que permita a la administración delimitar de forma clara la autoridad y la línea de jerarquía existente entre el personal de TI, así como la respectiva rendición de cuentas en relación a las labores designadas.

Al respecto, el Lic. Reinier Soto Cordero indica lo siguiente: “No existe un documento que defina los roles y responsabilidades del personal que soporta el sistema TD” y agregó “no existe backup para los puestos de Portal y .Net. Para Basis y ABAP si tiene backup porque son 2 personas…”pero”…No está por escrito”. 14

La metodología COBIT 4.1.como una mejor práctica, en su objetivo de control PO 4.11 atinente a la Segregación de Funciones estipula lo siguiente: "Implementar una división de roles y responsabilidades que reduzca la posibilidad de que un solo individuo afecte negativamente un proceso crítico. La gerencia también se asegura de que el personal realice sólo las tareas autorizadas, relevantes a sus puestos y posiciones respectivas.”

Esta condición, podría limitar el análisis y verificación por parte de la administración de si todos los esfuerzos ejecutados dentro del equipo de trabajo son coordinados e integrados en un objetivo común, en pos de lograr una prestación de servicios al contribuyente en forma rápida y eficiente; así como determinar de forma clara el grado de participación y responsabilidad que juega cada uno de los funcionarios con relación a la administración y mantenimiento del sistema TD, lo cual constituye un riesgo en la efectiva rendición de cuentas por el cumplimiento de las metas y objetivos propuestos en materia de TI.

2.3.2 Dependencia de Personal Clave

El Sistema TD presenta una gran dependencia del personal clave que administra y brinda soporte a la plataforma del mismo, como lo son los analistas desarrolladores, encargados del mantenimiento de la aplicación y los usuarios expertos, los cuales brindan soporte a los usuarios finales y se encargan de realizar las pruebas a las modificaciones realizadas al sistema. Esta situación se agrava si consideramos que para algunas de las funciones relacionadas con la administración del portal y la base de datos solo se cuenta con 2 funcionarios y en otros casos solo uno.

La dependencia que existe hacia ese equipo de trabajo, se debe a que son los únicos que tienen cierto grado de conocimiento sobre el sistema en mención, dada su participación en el proyecto de desarrollo del mismo.


INF-DGAI-016-2012 Pág. 18 de 28



Adicionalmente, se identificó que no se cuenta con un plan de sucesión formalmente documentado, que permita mitigar la pérdida del conocimiento y experiencia organizacional, es decir que la administración siga operando sin importar cuantas personas cambien en la misma. El plan de sucesión busca la permanencia, el crecimiento y la continuidad del negocio través del tiempo, previniendo alterar el equilibrio y la marcha habitual del mismo.

Sobre este tema, el objetivo de control PO 7.5 de COBIT 4.1.como mejor práctica y que se refiere a la Dependencia Sobre los Individuos establece: "Minimizar la exposición a dependencias críticas sobre individuos clave por medio de la captura del conocimiento (documentación), compartir el conocimiento, planeación de la sucesión y respaldos de personal.”

Esta condición constituye un riesgo de que en ausencia de este personal clave por diferentes razones como lo son vacaciones, incapacidad, permisos, traslados a otras instituciones y otros, no se puedan atender de una forma efectiva los requerimientos relacionados con el sistema, lo que podría afectar la eficiencia en la administración de la plataforma, pudiendo provocar errores de procesamiento, errores humanos, la no disponibilidad del sistema y la afectación en la continuidad de las operaciones.

2.3.3 Necesidad de políticas de clasificación de la información

El Sistema TD no cuenta con un análisis de clasificación de la información que es procesada por dicho sistema, con el fin de definir si la información es pública, privada, confidencial, u otra naturaleza según necesidades. Además, se observó que la DTIT no cuenta con una política documentada y aprobada para la clasificación de la información, que permita a la administración un manejo más adecuado de la seguridad y protección de los datos en razón de su importancia y sensibilidad.

La Licda. Hidalgo González, Directora de DTIT, al respecto indica que: "A nivel de la información confidencial nos regimos por el Código de Normas y Procedimientos Tributarios – Ley 4755. De hecho todos los datos administrados por los SI de Tributación son confidenciales, de acuerdo a dicho código (Artículos 94 al 97)” y agrega: “Un esquema formal de clasificación no tenemos…”.15 Lo anterior, deja de manifiesto que si bien la DTIT se rige por el Código citado, hasta el momento no ha elaborado un lineamiento o política, que defina claramente los criterios de clasificación que rigen la información administrada por los SI, en especial por el sistema TD.

El objetivo de control PO 2.3 referente al Esquema de Clasificación de Datos del COBIT 4.1.como mejor práctica, indica lo siguiente: "Establecer un esquema de clasificación que aplique a toda la empresa, basado en que tan crítica y sensible es la información (esto es, pública, confidencial, secreta) de la empresa. Este esquema incluye detalles acerca de la propiedad de datos, la definición de niveles apropiados de seguridad y de controles de protección, y una breve descripción de los requerimientos de retención y destrucción de datos, además de qué tan críticos y sensibles son. Se usa como base para aplicar controles como el control de acceso, archivo o cifrado”.

El hecho de no clasificar la información según su criticidad, incrementa el riesgo de que los controles implementados dentro del sistema TD, no sean los más adecuados para garantizar la protección de los datos sensitivos; lo a su vez podría ocasionar que se presenten lecturas o alteraciones no autorizadas a los datos o en su defecto, la pérdida de información al no contar con los procedimientos adecuados para la protección de la misma. Lo anterior, fundamentado en que la información posee diferentes grados de sensibilidad e importancia, por lo que algunos elementos pueden requerir un grado adicional de protección o manejo especial.


INF-DGAI-016-2012 Pág. 19 de 28



2.3.4 Conveniencia de medir la calidad en la prestación de los servicios

La DTIT ha realizado importantes esfuerzos, para garantizar la disponibilidad y la calidad de los servicios que provee tanto a sus usuarios internos como externos, tales como: el arrendamiento de equipos de alto rendimiento a un proveedor el cual garantiza mantenimiento y monitoreo continuo; arrendamiento de un Data Center que facilite condiciones de redundancia, reducción de riesgo sísmico, acceso restringido y controlado; así como la adquisición de enlaces de banda ancha y de fuentes de energía redundantes. No obstante, se logra determinar que el sistema TD no cuenta con parámetros o métricas debidamente establecidas, que permitan medir la calidad en la prestación de los servicios facilitados, expresados en términos de acuerdos de servicio u otros instrumentos, que permitan evaluar y analizar el grado de satisfacción que están obteniendo los usuarios en relación con el servicio brindado, en aras de fortalecer y mejorar la labor de apoyo en materia de TI que realiza la DTIT.

Es de nuestro conocimiento que entre la DTIT y la DGI existe el documento: “Acuerdos de Nivel de Servicio 001”, que consiste en un acuerdo suscrito entre la Dirección General de Informática, como el proveedor de servicios de Telecomunicaciones y Correo Electrónico y la Dirección General de Tributación como el cliente y cuyo objetivo es: “Fijar el nivel de calidad del servicio en Tecnologías de Comunicación y correo electrónico; que permita el logro de los objetivos y planes tributarios, manteniendo alineada la tecnología con los planes de la DGT”. 16

No obstante, no se encontró en dicho documento los acuerdos de nivel de servicio, a los cuales se compromete la DTIT en calidad de proveedor, con respecto a aquellas plataformas que ellos administran, tal es el caso del sistema Tributación Digital y que les facilitan cierta variedad de servicios a sus propios clientes de la Dirección General de Tributación.

El Lic. Soto Cordero señala al respecto: “Actualmente no poseemos un documento que establezca SLAs a nivel interno del sistema TD”. 17 Lo expresado por el Lic. Soto, permite deducir que aunque la DTIT cuenta con una definición general de SLAs o acuerdos de servicio establecidos para los servicios que le provee la DGI, dichos criterios de desempeño no han sido definidos o ajustados a las necesidades propias de los servicios que comprende el adecuado funcionamiento del sistema TD, en particular. Por su parte, la Licda. Hidalgo González, manifiesta que: “Si se posee un documento de Acuerdos de Niveles de Servicios que comprende los compromisos de la DGI y los de nosotros”, más sin embargo “no hay ninguna guía o procedimiento que haga ese tipo de análisis para verificar el cumplimiento de los niveles de servicio. En el documento se indica pero no se hace”.18

De acuerdo con lo anterior, si bien, la DTIT ha establecido parámetros para la valoración y evaluación de la calidad en la prestación de los servicios proveídos por la DGI, expresados en términos de acuerdos de servicio; dichas herramientas no están siendo aprovechadas o utilizadas con tal finalidad, en razón de que acorde con lo expresado se evidencia que no existe un proceso de monitoreo continuo y periódico de los criterios de desempeño especificados para los servicios prestados, que permita verificar su cumplimiento, así como el análisis para identificar tendencias positivas y negativas en los mismos, en busca de establecer planes de acción que permitan la mejora continua de los servicios brindados.

La norma Nº 4.1 referente a la Definición y administración de acuerdos de servicio de las Normas Técnicas para la gestión y el control de las TI, establece que:” La organización debe tener claridad respecto de los servicios que requiere y sus atributos, y los prestados por la Función de TI según sus capacidades.//El jerarca y la Función de TI deben acordar los servicios requeridos,

16 Acuerdo de Nivel de Servicio 001 - DGT.17 Minuta Nº 1, del 12 de Marzo del 2012.18 Minuta Nº 3, del 29 de Marzo del 2012.

INF-DGAI-016-2012 Pág. 20 de 28



los ofrecidos y sus atributos, lo cual deben documentar y considerar como un criterio de evaluación del desempeño.”

El análisis o revisión en relación al cumplimiento de los SLAs permitiría medir el rendimiento y si fuera del caso tomar medidas, tales como la necesidad de capacitación del personal; determinar los problemas relacionados con el servicio TI y sus posibles causas; revisar si los acuerdos establecidos están basados más en deseos y expectativas del cliente que en servicios que la infraestructura TI puede ofrecer con un nivel de calidad suficiente y detectar “los eslabones más débiles de la cadena" para su respectiva atención y mejora; teniendo en consideración que todos los aspectos citados inciden en una mejora del servicio con la consecuente satisfacción de clientes y usuarios de dicho Sistema.

2.3.5 Sobre el proceso de control de cambios del sistema

2.3.5.1 Necesidad de procedimientos para ejecución del proceso de cambios

El proceso operativo que ejecutan los usuarios internos, para gestionar los cambios al sistema TD es llevado a cabo por medio del uso del formulario de solicitud de requerimiento, denominado: “Solicitud Transporte”; el cual les permite llevar un control escrito de los siguientes detalles de la solicitud:

Número y Fecha de solicitud. Datos del usuario funcional solicitante: nombre completo, cédula, teléfono, correo electrónico,

departamento al que pertenece y firma. Datos del Transporte: número de transporte, descripción, fuente, destino QA.MOCK(ambiente de

pruebas) y destino PRD (ambiente de producción). Estos son los datos técnicos del cambio. Datos de Aprobación: nombre completo, fecha, hora y firma del jefe que aprueba el cambio. Datos de Ejecución: nombre del responsable (Administrador del Sistema), fecha, hora, estado de

finalización y firma.

Asimismo, para el registro de las solicitudes originadas por los usuarios externos del sistema TD, las mismas son tramitadas por medio de la herramienta denominada: SAP Solution Manager (SOLMAN), la cual facilita el registro de los tiquetes de solicitud de cambios. Ambos instrumentos son esfuerzos que realiza el personal de la DTIT encargado del sistema TD, en pos mejorar e incrementar el control sobre las actividades del proceso de desarrollo del software del mismo.

No obstante lo anterior, se determinó que el sistema TD no cuenta con un procedimiento formal y escrito que defina claramente las actividades o tareas que deben realizarse en el proceso de control de cambios, para uniformar y controlar el cumplimiento de las rutinas de trabajo; así como aumentar la eficiencia y eficacia del personal a cargo de dicho sistema.

Referente a este tema el Lic. Soto Cordero, manifiesta:”Actualmente no existe un procedimiento formal y escrito de control de cambios en el sistema TD”. Además agrega: “La metodología usada es la que fue implementada y heredada del Proyecto de Tributación Digital… se han realizado ajustes en el formulario de Solicitud de Requerimientos.” 19

La norma Nº 1.4.6 referente a la Seguridad en la implementación y mantenimiento de software e infraestructura tecnológica de las Normas Técnicas para la gestión y el control de las TI, establece que:”La organización debe mantener la integridad de los procesos de implementación y mantenimiento de software e infraestructura tecnológica y evitar el acceso no autorizado, daño o pérdida de información. //Para ello debe:


INF-DGAI-016-2012 Pág. 21 de 28



// b. Contar con procedimientos claramente definidos para el mantenimiento y puesta en producción del software e infraestructura.”

La metodología del COBIT 4.1, en su objetivo de control AI 6.1 sobre los Estándares y Procedimientos para Cambios estipula que: “Establecer procedimientos de administración de cambio formales para manejar de manera estándar todas las solicitudes (incluyendo mantenimiento y parches) para cambios a aplicaciones, procedimientos, procesos, parámetros de sistema y servicio, y las plataformas fundamentales.”

El contar con el instrumento antes descrito, permitiría establecer formalmente el funcionamiento interno de dicho proceso, en lo que respecta a descripción de tareas, ubicación, requerimientos y a los puestos responsables de la ejecución de cada una de ellas; contribuye a determinar en forma más sencilla las responsabilidades por fallas o errores en la ejecución de tareas, facilita las labores de auditoría y evaluación del control interno, aspectos que vienen a fortalecer o mejorar la labor realizada por la DTIT.

2.3.5.2 Necesidad de seguimiento del proceso de cambios

En la labor de gestión del sistema TD, no se cuenta con un instrumento o herramienta que integre los controles requeridos, con el objeto de facilitar un adecuado seguimiento de las distintas actividades que comprenden el proceso de control de cambios en dicho sistema, lo cual le permitiría al nivel gerencial obtener información expedita para la toma de decisiones, sobre aspectos como: usuarios que más solicitan cambios, estado actual de la solicitud del cambio, módulos del sistema que más frecuentemente son modificados, estadísticas de cambios solicitados en un periodo de tiempo determinado, tiempo promedio de atención de las solicitudes de cambio y otros.

Al respecto el Lic. Soto Cordero, nos indica:”No hay una herramienta que permita controlar y dar seguimiento a los cambios solicitados en el sistema TD” y añade: “Los cambios se registran por medio de tiquetes generados en el SOLMAN”. 20 Lo manifestado nos permite inferir que, aunque se poseen algunos instrumentos, tales como el registro en la herramienta de documentación: SOLMAN y el uso de un formulario de solicitud de requerimientos; no hay una herramienta que facilite un adecuado seguimiento de los cambios solicitados en el sistema TD.

El objetivo de control AI6.4 referente al Seguimiento y Reporte del estatus de cambio del COBIT41.como buena práctica, estipula lo siguiente: "Establecer un sistema de seguimiento y reporte para mantener actualizados a los solicitantes de cambio y a los interesados relevantes, acerca del estatus del cambio a las aplicaciones, a los procedimientos, a los procesos, parámetros del sistema y del servicio y las plataformas fundamentales".

El adecuado seguimiento del proceso de atención de cambios y modificaciones en el sistema TD, le brinda a la administración información oportuna sobre el nivel de progreso hacia el logro de los resultados solicitados (productos); contribuye a justificar o respaldar la utilización de los recursos (humanos y tecnológicos), las decisiones y los resultados obtenidos, durante el ejercicio de las labores conferidas al equipo de trabajo responsable del sistema TD, promueve así una mejor rendición de cuentas, aspectos que aportan elementos de juicio al proceso de toma de decisiones, en relación con el rendimiento y eficiencia del personal en la atención y resolución de las solicitudes. También, le provee a la administración mecanismos de rastreo de porqué, cuando y quién realizó un cambio en el Sistema.

2.3.6 Sobre el proceso de control de versiones del sistema TD


INF-DGAI-016-2012 Pág. 22 de 28



La plataforma del sistema de Tributación Digital, de forma específica, el sistema SAP provee dentro de sus facilidades algún tipo de control de versiones del software, ya que permite un manejo y control de secuencia de las versiones, además de posibilitar que el objeto de software que está siendo modificado sea bloqueado, para efectos de evitar la modificación simultánea y por ende, la pérdida de datos generando la pérdida de integridad del sistema.

Sin embargo, el sistema TD como tal, no cuenta con herramientas de control, expresados en términos de políticas, procedimientos, estándares y otros; que le permitan al área gerencial disponer de forma oportuna y expedita, de información relevante para la toma de decisiones relacionadas con el proceso de control de las versiones generadas dentro del sistema TD. Cabe destacar, que los mismos conceptos del control de versiones son aplicables a otros ámbitos del sistema TD, tales como la documentación técnica y de soporte, lo cual permitiría gozar de los beneficios que dicha metodología brinda.

Sobre el tema, el Lic. Soto Cordero indica lo siguiente: “No existe como tal un procedimiento para llevar a cabo el control de versiones de los cambios realizados al sistema TD, debido a que el control de versionamiento está automatizado por medio del SAP. Se cuentan con historiales de los versionamientos de cada transporte, cada objeto, etc.” 21 De acuerdo con lo que comenta el Lic. Soto, se cuentan con historiales detallados de versiones, de los diferentes objetos del software a nivel de la plataforma SAP, sin embargo se evidencia, que no cuentan con algún instrumento que les provee información condensada y sintetizada, que constituya el insumo idóneo para el análisis y toma de decisiones relativas al manejo de las versiones del sistema T.D.

La norma Nº 3.2 que alude al tema de la Implementación de software, de las Normas Técnicas para la gestión y el control de las TI estipula que:”La organización debe implementar el software que satisfaga los requerimientos de sus usuarios y soporte efectivamente sus procesos, para lo cual debe: //f. Controlar las distintas versiones de los programas que se generen como parte de su mantenimiento.”

La situación antes descrita, incrementa el riesgo de que el área gerencial o los niveles responsables de la toma de decisiones, no dispongan de información relevante y sintetizada, que le sea de utilidad para guiar las acciones y orientar esfuerzos, con respecto a los aspectos relacionados con el control de versiones dentro del sistema TD (número de versiones liberadas, cambios introducidos entre las versiones, estado, fechas de liberación, entre otros), así como otros temas atinentes como métodos de desarrollo de software.

2.3.7 Conveniencia de un repositorio central de configuraciones

Se determina que el sistema T.D., no dispone de un repositorio de configuración centralizado para la administración de las configuraciones, de los equipos sensitivos y del software que soportan dicha plataforma, lo cual le permitiría al personal encargado de dicho sistema, contar con un solo sitio de búsqueda o referencia, a la hora de consultar toda la información relevante sobre los elementos de configuración del mismo, además de proveer un acceso más regulado a dicha información.

Al respecto, manifiesta el Lic. Soto Cordero que: “No se cuenta con un repositorio central de las configuraciones de las distintas versiones del sistema T.D.” Y además agregó: “Se ha elaborado un documento actual de la configuración en hardware y software.” 22 “Sin embargo, no se realizan revisiones periódicas de la documentación ya existente para verificar su vigencia.” 23

21 Minuta Nº 2, del 13 de Marzo del 2012.22 Minuta Nº 2, del 13 de Marzo del 2012.23 Minuta Nº 1, del 12 de Marzo del 2012.

INF-DGAI-016-2012 Pág. 23 de 28



El COBIT 4.1, en su objetivo de control DS 9 que refiera a administrar la configuración estipula que: “Garantizar la integridad de las configuraciones de hardware y software requiere establecer y mantener un repositorio de configuraciones completo y preciso. Este proceso incluye la recolección de información de la configuración inicial, el establecimiento de normas, la verificación y auditoría de la información de la configuración y la actualización del repositorio de configuración conforme se necesite. Una efectiva administración de la configuración facilita una mayor disponibilidad, minimiza los problemas de producción y resuelve los problemas más rápido.”

Al no contar con un repositorio centralizado de la configuración de los equipos y software sensitivo que soportan el Sistema TD, se incrementa el riesgo de que ante una contingencia, las configuraciones actuales de los equipos y software sensitivo no se tenga disponible, lo que podría afectar de forma negativa el tiempo requerido para restablecer los servicios proveídos por dicho sistema, ya que la configuración de dichos elementos (hardware y software) tendría que efectuarse desde cero. Además, repercute negativamente en la eficiencia de la administración de las versiones del software, más aún, cuando existen varias personas que están actualizando constantemente dicho software.

3. CONCLUSIONES

El personal de la Dirección de Tecnología de Información Tributaria, encargado de la plataforma del sistema Tributación Digital ha venido realizando mejoras en los controles de los procesos a cargo, respecto a la administración y soporte de dicho sistema, con el objetivo de apoyar la gestión de las distintas unidades operativas que conforman la Dirección General de Tributación; sin embargo, existen algunos aspectos de control que son susceptibles de ser fortalecidos de conformidad con la normativa vigente y las buenas prácticas en la utilización de esos recursos, propiamente en cuanto a la documentación, aseguramiento de la calidad, y gestión, a saber:

Existe necesidad de que se desarrollen algunos instrumentos que permitan fortalecer el proceso de documentación de la información técnica y de soporte del sistema, a fin de asegurar un mejor entendimiento, fomentar una agilización en el uso, administración y mantenimiento del sistema, así como la adecuada transferencia del conocimiento, como lo son: una guía formal para estandarizar la forma de elaborar, revisar y aprobar las Políticas y Procedimientos; un procedimiento para custodiar y controlar las versiones de la información soporte del sistema; procedimientos, políticas, o lineamientos para la elaboración y actualización de la documentación técnica; diagramas entidad-relación; Catálogos de documentación técnica y el manual de usuario; así como disponer de un sitio centralizado para el almacenamiento de la información soporte y la documentación técnica, según se presenta en el punto 2.1 de este informe.

También, sobre la necesidad de establecer una metodología para el aseguramiento de la calidad del sistema, expresada en términos de: políticas y estándares; métricas para su valoración; planes, programas y cronogramas referentes a la calidad del sistema; un procedimiento para elaborar, revisar y aprobar el Plan de Pruebas dentro del proceso de ejecución de los cambios en la funcionalidad del sistema; políticas o lineamientos sobre la documentación de la ejecución de las pruebas técnicas y los resultados obtenidos ; estructura estándar para elaborar el plan de pruebas de ejecución de los cambios en la funcionalidad del Sistema; proceso de monitoreo periódico de incidencias para definir las posibles causas y tendencias que presentan las mismas, procedimiento formal para realizar la labor y planes de acción para la corrección de problemas frecuentes dentro del sistema; y garantizar la confiabilidad, calidad, suficiencia, pertinencia y oportunidad de la información procesada, por medio del análisis técnico de las causas de los espacios en blanco y otras inconsistencias detalladas, según los resultados contenidos en el punto 2.2 de este informe.

Así como, disponer de otros elementos de control para mejorar y fortalecer la gestión del sistema por parte de la DTIT, como lo son: la asignación formal de roles y responsabilidades a los funcionarios que brindan

INF-DGAI-016-2012 Pág. 24 de 28



soporte y mantenimiento al sistema, mitigar la dependencia existente del personal clave, la clasificación de la información (pública, privada, confidencial, o de otra naturaleza), la medición de la calidad en la prestación de los servicios, un procedimiento para el proceso de control de cambios del sistema, proceso de seguimiento de los cambios del sistema, políticas, procedimientos, estándares para el control de las versiones, y la conveniencia de un repositorio de configuración centralizado para la administración de las configuraciones, de los equipos sensitivos y del software que soportan dicha plataforma, según se presenta en el apartado 2.3. de este informe.

Las condiciones anteriores, según se comentó por parte del Director General de Informática en la comunicación oral de resultados realizada el día 17 de julio del 2012, son elementos que podrían ser retomados para aplicación general, debido a que constituyen buenas prácticas en la gestión y administración de los sistemas informáticos de la Institución, por lo que se considera conveniente hacer este informe del conocimiento del Director General de Informática para lo de su competencia.

4. RECOMENDACIONES

Al señor Ministro

4.1 Ordenar al Director General de Tributación lo correspondiente para que la Dirección de Tecnología de Información Tributaria realice las siguientes acciones referidas al sistema Tributación Digital, en coordinación con la Dirección General de Informática en lo de su competencia:

Sobre el proceso de documentación del sistema en los siguientes aspectos:

4.1.1. Desarrollar una guía formal que estandarice la forma apropiada para elaborar, revisar y aprobar Políticas y Procedimientos sobre el funcionamiento del sistema, que provea a la administración una herramienta sistemática con las pautas a seguir o el flujo que se debe llevar a cabo para la implementación apropiada de dichas herramientas de control.

4.1.2. Disponer de un procedimiento formal que regule el modo apropiado de llevar a cabo la custodia y control de las versiones de la información soporte del sistema.

4.1.3. Formalizar un procedimiento con las actividades necesarias para elaborar y actualizar la documentación técnica, considerando aspectos como: cuál es la información técnica que debe ser documentada, de qué forma se elaborará; quienes son los responsables de generarla, revisarla y aprobarla; que formatos estándar se utilizará, y en qué lugar deberá ser almacenada, entre otros.

4.1.4. Establecer una política o lineamiento que norme los aspectos relacionados con el proceso de actualización de la documentación técnica, contemplando aspectos como: frecuencia con que se debe ejecutar dicha labor, las personas responsables de realizarla y la forma en que se llevará a cabo, entre otros.

4.1.5. Disponer de los diagramas entidad-relación que representan las entidades relevantes del sistema, así como sus interrelaciones y propiedades; para poseer un mejor entendimiento de la lógica inmersa en cómo se manipulan e interrelacionan los datos administrados por dicho sistema.

4.1.6. Disponer de los Catálogos de documentación técnica y del manual de usuario que permitan al personal a cargo o a aquellas personas que por sus labores lo requieran; el conocer y consultar ágilmente qué documentación técnica existe y cuáles procesos se han descrito dentro del manual de usuario de dicho sistema.

INF-DGAI-016-2012 Pág. 25 de 28



4.1.7. Establecer un sitio centralizado para almacenar la información soporte y la documentación técnica del sistema, que permita y facilite una adecuada custodia y manejo de dicha información.

Ver punto 2.1 del presente informe.

Sobre los siguientes aspectos para asegurar la calidad del sistema:

4.1.8. Establecer una metodología para la revisión y aprobación de la calidad del software, la cual debe ser expresada en términos de: políticas y estándares para asegurar la calidad; métricas para valoración de la calidad; planes, programas y cronogramas referentes a la calidad; procedimiento para el proceso de evaluación de la calidad, entre otros.

4.1.9. Elaborar un procedimiento formal que establezca de forma clara y concisa las actividades necesarias para elaborar, revisar y aprobar el Plan de Pruebas dentro del proceso de ejecución de los cambios en la funcionalidad del sistema; el cual establezca aspectos como: la información mínima necesaria que debe ser contenida en dicho documento, la forma en que será presentada dicha información, así como los responsables de revisar y aprobar el plan propuesto.

4.1.10 Establecer políticas o lineamientos que normen aspectos relacionados con la documentación de la ejecución de las pruebas técnicas, así como de los resultados obtenidos de ellas, dentro del proceso de ejecución de cambios en la funcionalidad del sistema.

4.1.11. Elaborar un plan de pruebas estructurado que defina roles, responsabilidades y criterios de éxito para cada uno de los cambios desarrollados en el sistema, considerando aspectos tales como: la preparación de pruebas, requerimientos de entrenamiento, instalación o actualización de un ambiente de pruebas definido, planear / ejecutar / documentar / retener casos de prueba, manejo y corrección de errores y aprobación formal del cambio.

4.1.12. Establecer un proceso de monitoreo periódico de las incidencias, el cual contemple el uso de herramientas de control como: un procedimiento formal para realizar dicha labor y planes de acción para la corrección de problemas frecuentes en el sistema; con el propósito de identificar causas y tendencias que presentan las mismas, en procura de fomentar la mejora continua en la calidad de los servicios prestados por el sistema en cuestión.

4.1.13. Revisar lo señalado en el punto 2.2.4 de este informe, sobre la integridad de la información de las tablas del Sistema y realizar un análisis técnico para determinar las causas de los espacios en blanco y otras inconsistencias detectadas en los campos analizados; se proceda con los ajustes correspondientes y se establezcan los controles necesarios en el sistema conforme a la propia naturaleza del proceso y la normativa tributaria vigente.


Sobre la gestión del sistema en los siguientes aspectos:

4.1.14. Elaborar un documento formal que establezca los roles, responsabilidades y el personal de respaldo que brindan soporte y mantenimiento al sistema, que permita a la administración delimitar la autoridad y la línea de jerarquía existente entre el personal de tecnología de información, así como la respectiva rendición de cuentas en relación con las labores designadas.

INF-DGAI-016-2012 Pág. 26 de 28



4.1.15. Elaborar un plan de sucesión del personal clave del sistema formalmente documentado que sea diseñado bajo los requerimientos propios del negocio. Dicho plan debe tomar en consideración, al menos los siguientes aspectos: documentación de roles y responsabilidades de cada puesto, definición del titular de cada puesto y su “backup”, documentación de los procedimientos referentes a cada puesto, programa detallado de actividades que deben realizar los funcionarios identificados como sucesores de dichos puestos claves.

4.1.16 Realizar las gestiones requeridas para que se disponga de una política para la clasificación de la información (pública, privada, confidencial, otra) basado en que tan crítica y sensible es la información que es procesada en el sistema y que apoyan la labor de las unidades organizacionales de la Dirección General de Tributación. Este esquema debe incluir detalles acerca de la propiedad de datos, la definición de niveles apropiados de seguridad, controles de protección, manejo y destrucción de datos, entre otros.

4.1.17. Implementar parámetros o métricas que permitan la medición de la calidad en la prestación de los servicios proveídos a través del sistema, expresados en términos de acuerdos de servicio u otros instrumentos; que faciliten a la Administración evaluar y analizar el grado de satisfacción que están obteniendo los usuarios en relación con el servicio brindado, en aras de fortalecer y mejorar la labor de apoyo en materia de tecnología de información que realiza la DTIT.

4.1.18. Formalizar un procedimiento que defina claramente las actividades o tareas que deben ser realizadas dentro del proceso de control de cambios del sistema, para uniformar y controlar el cumplimiento de las rutinas de trabajo; así como aumentar la eficiencia y eficacia del personal a cargo de ese proceso.

4.1.19. Implementar un instrumento o herramienta que integre los controles requeridos para facilitar un adecuado seguimiento al proceso de control de cambios del sistema y permita al nivel gerencial obtener información expedita para la toma de decisiones, sobre aspectos como: usuarios que más solicitan cambios, estado actual de la solicitud del cambio, módulos del sistema que más frecuentemente son modificados, estadísticas de cambios solicitados en un periodo de tiempo determinado, tiempo promedio de atención de las solicitudes de cambio y otros. En relación a este punto, es conveniente analizar la factibilidad de disponer de un sistema que permita automatizar y controlar de forma eficaz este proceso.

4.1.20. Contar con herramientas de control, expresados en términos de políticas, procedimientos, estándares; que permitan al área gerencial disponer de información relevante para la toma de decisiones relacionadas con el proceso de control de las versiones generadas dentro del sistema, considerando aspectos tales como: número de versiones liberadas, cambios introducidos entre las versiones, estado, fechas de liberación, entre otros.

4.1.21. Disponer de un repositorio de configuración centralizado para la administración de las configuraciones, de los equipos sensitivos y del software que soporta dicha plataforma, tomando en consideración aspectos como: línea base de los elementos de configuración del software y equipos sensitivos de la misma; procedimientos de configuración para soportar la gestión y rastro de los cambios al repositorio de configuración; revisión periódica de los datos de configuración para verificar la integridad de la configuración actual e histórica, entre otros.


4.2. Hacer del conocimiento del Director General de Informática el presente informe para que conforme sus competencias, valore si dichos elementos puedan ser retomados para aplicación general, debido a

INF-DGAI-016-2012 Pág. 27 de 28



que constituyen buenas prácticas en la gestión y administración de los sistemas informáticos de la Institución.

Con base en lo anterior, se le solicita respetuosamente, proceder en lo que corresponda, conforme con el artículo 37 de la Ley 8292 Ley General de Control Interno, y la aplicación del Manual para la atención de informes de la Contraloría General de la República y de la Dirección General de Auditoría Interna, y comunicar a esta Dirección la decisión que se tome al respecto dentro del plazo de 30 días hábiles establecido en el citado artículo, y se ordene al Director General de Tributación presentar en un plazo razonable el plan de acción que se defina para la implementación efectiva de lo recomendado.

Tatiana Camacho Sánchez Oldemar Murillo Arce Profesional de Informática Coordinador de Unidad

Estudio Nº 002-2012

INF-DGAI-016-2012 Pág. 28 de 28


· web viewen el apartado de resultados se presentan algunos aspectos de control relacionados con...

Documents