CONTRALORÍA GENERAL
DE LA REPÚBLICA
R-DC-17-2020.-Contraloría General de la República.-Despacho
Contralor.-San José, a las nueve horas del diecisiete de marzo del dos mil
veinte.
Considerando:
1º-Que los artículos 183 y 184 de la Constitución Política de la
República de Costa Rica establecen a la Contraloría General de la República
como institución auxiliar de la Asamblea Legislativa en la vigilancia de la
Hacienda Pública y que el artículo 12 de su Ley Orgánica, Ley N° 7428, la
designa como Órgano Rector del Sistema de Control y Fiscalización Superiores de
la Hacienda Pública.
2º-Que los artículos 12 y 24 de su Ley Orgánica le confieren a la
Contraloría General de la República facultades para emitir disposiciones,
normas, políticas, manuales técnicos y directrices de acatamiento obligatorio
para los sujetos pasivos de su fiscalización, lo anterior en su posición de
órgano rector del ordenamiento de control y fiscalización superiores de la
Hacienda Pública.
3º-Que de conformidad con la Ley General de Control Interno, Nº 8292, el
jerarca y los titulares subordinados son responsables de establecer, mantener,
perfeccionar y evaluar los sistemas de control interno; así como de contar con
sistemas de información que permitan a la administración activa tener una gestión
documental institucional, entendiendo esta como el conjunto de actividades realizadas
con el fin de controlar, almacenar y, posteriormente, recuperar de modo
adecuado la información producida o recibida en la organización, en el
desarrollo de sus actividades, con el fin de prevenir cualquier desvío en los
objetivos trazados.
4º-Que según lo dispone el artículo 16 de la Ley N° 8292, los entes u
órganos sujetos a la fiscalización de la Contraloría General de la República
tienen la obligación de contar con sistemas de información que permitan una
gestión documental en el desarrollo de sus actividades, que prevengan cualquier
desvío en los objetivos trazados y que estén relacionados con la gestión de la
información, en la que deberán contemplarse las bases de datos corporativas y las
demás aplicaciones informáticas, las cuales se constituyen en importantes
fuentes de la información registrada.
5º-Que mediante resolución R-CO-26-2007 de las diez horas del siete de
junio de 2007, la Contraloría General de la República emitió las Normas
técnicas para la gestión y el control de las tecnologías de información
(N-2-2007-CO-DFOE), en las cuales se establecen criterios básicos que deben ser
observados por los entes u órganos sujetos a su fiscalización, como parte de la
gestión y el control institucional de las tecnologías de información.
6º-Que mediante resolución R-CO-9-2009 de las nueve horas del veintiséis
de enero del 2009, la Contraloría General de la República emitió las Normas de
Control Interno para el Sector Público (N-2-2009-CO-DFOE), regulando en su
Capítulo V las normas aplicables al control de los sistemas de información. En
el ítem 5.9 de dichas Normas, sobre Tecnologías de Información, se establece
que "El jerarca y los titulares subordinados, según sus competencias, deben
propiciar el aprovechamiento de tecnologías de información que apoyen la
gestión institucional mediante el manejo apropiado de la información y la
implementación de soluciones ágiles y de amplio alcance. Para ello deben
observar la normativa relacionada con las tecnologías de información emitida
por la CGR e instaurar los mecanismos y procedimientos manuales que permitan
garantizar razonablemente la operación continua y correcta de los sistemas de
información" (refiriéndose a las Normas técnicas para la gestión y el control
de las tecnologías de información, N-2-2007-CO-DFOE).
7º-Que en la institucionalidad costarricense existen entidades con
competencia para regular materias relacionadas con la gestión de las
tecnologías de información y comunicación en el sector público, sea a nivel
nacional o sectorial, de acuerdo con sus competencias, como es el caso del
Ministerio de Ciencia, Tecnología y Telecomunicaciones (MICITT) y el Consejo
Nacional de Supervisión del Sistema Financiero (CONASSIF).
8°-Que el sector público costarricense presenta una pluralidad de
realidades en relación al desarrollo digital, donde incluso algunas instituciones
han emitido regulaciones propias en esta materia, por lo que se requiere una
respuesta articulada de las autoridades competentes en materia de Tecnología y
Telecomunicaciones para enrumbar a todo el sector público en la misma
dirección.
9°-Que existen marcos de gestión para las tecnologías de información
reconocidos a nivel mundial, los cuales contienen las mejores prácticas en la
materia, que pueden ser adaptados a la realidad de las diversas organizaciones
y son revisados periódicamente para mantenerlos actualizados con los constantes
cambios tecnológicos.
10.-Que la Contraloría General de la República, en el ejercicio de sus
competencias, requiere un marco regulador para evaluar la actuación de los
entes u órganos sujetos a su fiscalización en materia de tecnologías de
información, el cual ha sido proveído en los últimos años por las Normas
técnicas para la gestión y el control de las tecnologías de información
(N-2-2007-CO-DFOE); sin embargo, el constante avance de las tecnologías de la
información y la heterogeneidad de los recursos disponibles en las
instituciones públicas, hacen necesario el establecimiento de medidas que permitan
la definición de un nuevo marco regulador, atendiendo las distintas realidades
institucionales.
11.-Que la gestión de las tecnologías de información y comunicación
(TIC) forma parte relevante de los sistemas de gestión institucionales de las
entidades y órganos del sector público costarricense, los cuales, a su vez, son
componentes orgánicos del sistema de control interno institucional. Por ende,
tanto la Contraloría General de la República como las Auditorías Internas del
sector público, mantienen su potestad de auditoría sobre dicha gestión de las TIC;
la primera, en función de lo establecido en el artículo 183 de la Constitución
Política y en el Capítulo II de su Ley Orgánica, N° 7428; y las segundas, en
función de los artículos 21, 22 y 33 de la Ley General de Control Interno, y el
ítem 1.1.4 sobre Servicios de la Auditoría Interna, de las Normas para el
ejercicio de la Auditoría Interna en el Sector Público, N° R-DC-064-2014 del 11
de agosto de 2014.
12.-Que en materia de la calidad y seguridad de la información, así como
los sistemas y tecnologías que la soportan, las Normas de Control Interno para
el Sector Público (N-22009-CO-DFOE) vigentes, establecen los requisitos
fundamentales sobre la confiabilidad, oportunidad, utilidad, canales y medios
de comunicación, seguridad, acceso y protección, cuando corresponda, de la
información.
13.-Que de conformidad con lo establecido en el artículo 361 de la Ley
General de Administración Pública, N° 6227, se concedió audiencia del anteproyecto
de la presente normativa a la ciudadanía en general, por resolución N°
R-DC-0123-2019 del 05 de diciembre de 2019, cuyas observaciones fueron
valoradas por el Órgano Contralor e incorporadas en lo pertinente. Por tanto,
RESUELVE:
Artículo 1º-Derogar las Normas Técnicas para la gestión y el control de
las tecnologías de Información (N-2-2007-CO-DFOE), resolución N° R-CO-26-2007
del 07 junio del 2007, a partir del 1° de enero del 2022.
Artículo 2º-Modificar las Normas de Control Interno para el Sector Público
(N-2-2009CO-DFOE), los ítems 5.9 y 5.10, para que se lean de la siguiente
manera:
5.9 Tecnologías de información
El jerarca y los titulares subordinados, según sus competencias, deben
propiciar el aprovechamiento de tecnologías de información que apoyen la
gestión institucional mediante el manejo apropiado de la información y la
implementación de soluciones ágiles y de amplio alcance. En todo caso, deben instaurarse
los mecanismos y procedimientos manuales que permitan garantizar razonablemente
la operación continua y correcta de los sistemas de información. En esa línea,
de conformidad con el perfil tecnológico de la institución, órgano o ente, en
función de su naturaleza, complejidad, tamaño, modelo de negocio, volumen de
operaciones, criticidad de sus procesos, riesgos y su dependencia tecnológica,
el jerarca deberá aprobar el marco de gestión de tecnologías de información y
establecer un proceso de implementación gradual de cada uno de sus componentes.
Para la determinación del perfil tecnológico institucional se podrán
considerar variables como las siguientes: marco de procesos para la gestión de
TI, mapeo de procesos y subprocesos de negocio, organigrama de la entidad, conformación
del Comité de TI, proveedores de TI, servicios de TI, inventario y criticidad
de tipos documentales, centros de procesamiento y almacenamiento de datos,
inventario de equipos y sistemas de información que soportan los servicios, software,
proyectos de TI, planes de adquisición sobre TI, canales electrónicos y riesgos
de TI.
5.10 Sistemas de información y tecnologías de información en
instituciones de menor tamaño.
El jerarca y los titulares subordinados de las instituciones de menor
tamaño, según sus competencias, deben establecer los procedimientos manuales,
automatizados o ambos, necesarios para obtener, procesar, controlar, almacenar
y comunicar la información sobre la gestión institucional y otra relevante para
la consecución de los objetivos institucionales. Dicha información debe ser de
fácil acceso y estar disponible en un archivo institucional que, de manera
ordenada y conforme a las regulaciones que en esa materia establece el Sistema
Nacional de Archivos, pueda ser consultado por usuarios internos o por parte de
instancias externas.
De igual forma, dichos sujetos, de acuerdo con sus competencias y su
perfil tecnológico, definido en función de su naturaleza, complejidad, tamaño,
modelo de negocio, volumen de operaciones, criticidad de sus procesos, riesgos y
su dependencia tecnológica, deberán aprobar su marco de gestión de tecnologías
de información y establecer un proceso de implementación gradual de cada uno de
sus componentes.
Ficha articulo