C-098-2007

29 de marzo de 2007

 

Licenciado

Allan Flores Moya

Gerente General

Instituto Costarricense de Turismo

 

Estimado señor

Con la aprobación de la señora Procuradora General de la República me es grato referirme a su oficio n.° G-685-2007 del 21 de marzo del 2007, mediante el cual solicita el criterio de la Procuraduría General de la República sobre las facultades de las Auditorías Internas y la Administración para verificar la información de los equipos informáticos propiedad estatal y que usan los funcionarios públicos en su diaria labor.

I.-        ANTECEDENTES.

A.-       Criterio de la Asesoría Legal del ente consultante.

En el oficio n.° DL-1826-2006 del 1° de noviembre del 2006, suscrito por el Licenciado José Francisco Coto Meza, MSc, asesor legal del ICT, en lo que interesa, se indica que por cuanto la correcta fiscalización de la Hacienda Pública “(…) es competencia legal de la Auditoria General, resulta innecesaria autorización de la Gerencia General para que se proceda como el mismo Ordenamiento Jurídico ya establece”. Por su parte, en el oficio n.° AL-412-2007 del 13 de marzo del 2007, de ese mismo órgano, suscrito por el mismo funcionario y la Licenciada Loanna Quesada Arias, asesora legal del ICT, también en lo conducente, se expresa que, con base en los numerales 22 y 33 de la Ley General de Control Interno, la verificación de la información de los equipos es exclusiva de la Auditoria, y no de la Administración. 

B.-       Criterios de la Procuraduría General de la República.

Como usted bien lo indica, en el dictamen C-003-2003 de 14 de enero del 2003, concluimos lo siguiente:

“1-. Conforme los principios que rigen la ética de la función públicos, los servidores públicos deben usar los recursos públicos para el cumplimiento de sus fines, sin desviaciones que signifiquen traspaso de recursos públicos a fines particulares ajenos al servicio. Este uso está, además, relacionado con la eficacia y eficiencia en la prestación de las funciones y servicios públicos.

2-. Los medios tecnológicos que la Administración Pública pone a disposición del servidor público para efectos del cumplimiento de sus funciones constituyen fondos públicos.

3-. Dada esa naturaleza y en virtud de la definición de competencia de los órganos de control interno, se sigue que las Auditorías Internas pueden fiscalizar el uso que los servidores públicos hagan de esos medios tecnológicos.

4-. En ejercicio de ese control, las Auditorías pueden fiscalizar el acceso de los servidores a los distintos servicios que la red de INTERNET ofrece, así como a los archivos que el servidor almacene en el equipo de cómputo propiedad de la Entidad. Ese acceso debe estar determinado por el control de los fondos públicos y debe estar previsto en las políticas y normas que la Institución haya establecido sobre el manejo y uso adecuado de la informática.

5-. En razón de las prescripciones sobre el secreto de la correspondencia, los órganos de control interno están impedidos de captar el proceso de comunicación que realicen los funcionarios públicos y particularmente, imponerse del contenido de la comunicación electrónica, aun cuando esta correspondencia se transmita por medio de la infraestructura de la Institución.

6-. En ese sentido, la Auditoría Interna debe limitarse a conocer la presentación de los correos según los formatos usuales de éstos”.

 

II.-       SOBRE EL FONDO.

 

El tema central de la consulta no está referido a las potestades de fiscalización y verificación de las Auditorías Internas, pues este punto ya fue resuelto en el dictamen C-003-2003, si no, a si esas mismas potestades, las puede también ejercer la Administración. Dicho en otros términos, si las potestades que nos ocupan son exclusiva y excluyente de las Auditorías Internas o, por el contrario, estamos ante un fenómeno de potestades concurrentes.

 

Para una correcta exégesis del ordenamiento jurídico, no podemos perder de vista lo que dispone el numeral 102 inciso b) de la Ley General de la Administración Pública, en el sentido de que corresponde al superior jerárquico la potestad de vigilar la acción de inferior para constatar la legalidad y la conveniencia, para lo cual puede utilizar todos los medios necesarios o útiles para ese fin que no estén jurídicamente prohibidos.  Por su parte, la Ley General de Control Interno, Ley n.° 8292 de 31 de julio del 2002, le impone, en numeral 12, a los jerarcas y a los titulares subordinados  los deberes de velar por el adecuado desarrollo de la actividad del entes o del órgano a su cargo y tomar de inmediato las medidas correctivas, ante cualquier evidencia de desviaciones o irregularidades; asimismo, el artículo 13 les asigna el deber de evaluar el funcionamiento de la estructura organizativa de la institución y tomar las medidas pertinentes para garantizar el cumplimiento de los fines institucionales, todo de conformidad con el ordenamiento jurídico y técnico aplicable; también, el artículo 15, señala como un deber de estos funcionarios la protección y conservación de todos los activos institucionales y ejercer los controles generales comunes a todos los sistemas de información computarizados y los controles de aplicación específicos para el procesamientos de datos con software de aplicación; por último, el numeral 17, en lo referente al seguimiento del sistema de control interno, tienen el deber de velar que los funcionarios responsabilizados realicen continuamente las acciones de control y prevención en el curso de las operaciones normales integradas a tales acciones.

 

Como es bien sabido, la Ley General de Control Interno adopta una nueva concepción en relación con las potestades y labores de vigilancia, control y fiscalización, pues, a diferencia de lo que ocurría en el pasado, parte de la idea central que la Administración activa debe auto controlarse asimismo, sin que ello sea óbice para que también ejerzan esas potestades las Auditorías Internas y la Contraloría General de la República, estando esta última más llamada a realizar una labor de dirección, de coordinación, de fijación de grandes lineamientos y a ejercer una labor de  control y fiscalización de “segundo piso”. Sobre el particular, en la opinión jurídica O.J.-121-2004 de 4 de octubre del 2004, indicamos lo siguiente:

 

“En nuestra Administración Pública tradicionalmente el concepto de control se ha asociado con la Contraloría General de la República y las auditorías internas, por una parte, y con el concepto de fondos públicos, por otra parte. Dentro de esa concepción ha sido normal estimar que dentro de la organización administrativa el control lo ejerce la auditoría y que ese control está dirigido a determinar si los fondos públicos se han utilizado y administrado conforme a la ley y a las prácticas contables. No se ha considerado a las autoridades administrativas como parte del control. Asimismo, no se ha estimado que el sistema de control tiene otro objetivo distinto de la protección del patrimonio público, incluido los fondos correspondientes.

 

     La aprobación de la Ley Orgánica de la Contraloría General de la República obliga a reconsiderar el contenido y alcance de la función de control. Este se concibe como un sistema, cuyos componentes fundamentales son la Contraloría General de la República como órgano rector y el control implantado  al interno de cada organización administrativa por el jerarca respectivo. Se establece un sistema de fiscalización que exige el funcionamiento armónico de sus componentes, a efecto de permitir el control de  los fondos públicos y de las actividades y fondos privados de origen público y evaluar el desempeño administrativo. No obstante, del control interno se regula sobre todo la auditoría.

 

     Al aprobarse la Ley de Administración Financiera y Presupuestos Públicos, Ley N° 8131 del 18 de setiembre del 2001, se refuerza la obligación de la administración pública de contar con un sistema de control interno (artículo 17), dirigido sobre todo a fiscalizar la adecuada utilización de los recursos financieros a cargo de la organización pública. Se dispone ya que el sistema de control interno es responsabilidad de la máxima autoridad de cada dependencia (artículo 18).

 

     La Ley General de Control Interno, N° 8292 de 31 de julio de 2002, refuerza el concepto de sistema, precisando de mejor manera los elementos integrantes de éste, sus objetivos y funciones.  La Ley pretende reforzar la responsabilidad de los órganos de control interno (administración activa y auditorías internas) en esta función. El control interno no depende de un órgano específico, la auditoría, sino de toda la organización y fundamentalmente de la jerarquía del ente. Se parte del principio de organización que señala que el control tiene como objeto preservar su propia existencia y contribuir con el logro de sus resultados. La administración activa se convierte, así, en un elemento esencial para el establecimiento del sistema de control interno y para su funcionamiento efectivo y eficiente, todo con el objeto de proteger los fondos públicos y garantizar la eficacia y eficiencia del aparato administrativo. Objetivos que no corresponden a una Administración Pública en concreto, sino que deberían ser propios de toda organización administrativa. Además, se produce una modificación en orden a los objetivos del sistema de control, ya que se da un énfasis en el concepto de evaluación de la gestión administrativa. En ese sentido, el control no puede ser identificado con el control contable.

 

     La Ley, en su artículo 7, obliga a disponer del sistema de control interno, sistema que debe corresponder a las competencias y atribuciones propias de la organización. Esa correspondencia se justifica por cuanto el sistema debe evaluar el desempeño institucional, pero al mismo tiempo debe dar seguridad en el cumplimiento de las atribuciones y competencias. En consecuencia, el sistema de control no puede ser abstraído de la competencia de la organización. No es algo que se superpone a ésta. El artículo 8 de la Ley define el control interno como:

 

‘la serie de acciones ejecutadas por la administración activa, diseñadas para proporcionar seguridad en la consecución de los siguientes objetivos:

 

a) Proteger y conservar el patrimonio público contra cualquier pérdida, despilfarro, uso indebido, irregularidad o acto ilegal.

 

b) Exigir confiabilidad y oportunidad de la información.

 

c) Garantizar eficiencia y eficacia de las operaciones.

 

d) Cumplir con el ordenamiento jurídico y técnico’.

 

Interesa recalcar que el sistema se define en orden a las responsabilidades de la administración activa y en razón de determinados objetivos. La definición legal responde a criterios técnicos. El estudio “Control Interno: Marco de Referencia Integrado” patrocinado por el American Institute of Certified Public Accountants, el American Accouting Association, el Financial Executives Institute, el Institute of Internal Auditors, Inc y el Institute of Management Accountans define el control interno como:

 

‘Un proceso, efectuado por la junta directiva de la entidad, gerencia y demás personal, diseñado para proporcionar seguridad razonable relacionada con el logro de objetivos en las siguientes categorías:

Confiabilidad en la presentación de informes financieros.

Efectividad y eficiencia en las operaciones.

Cumplimiento de las leyes y regulaciones aplicables’. ( citado por O. Ray  HITTINGTON-K, PANY: Auditoría. Un enfoque integral , McGRAW-HILL Interamericana S. A., Colombia, 2000, p. 172.

 

El ejercicio del control supone una planificación de la actividad administrativa, dirigida al establecimiento de los objetivos y metas del accionar institucional. En ese sentido, comprende el:

 

‘… conjunto de planes, métodos y procedimientos adoptados por una organización, con el fin de asegurar que los activos están debidamente protegidos, que los registros contables son fidedignos y que la actividad de la entidad se desarrolla eficazmente de acuerdo con las políticas trazadas por la gerencia, en atención a las metas y los objetivos previstos’.  G, CEPEDA: Auditoría y Control Interno, McGraw-Hill, 1997, p.  4

 

En esa medida, el control interno provee garantía del logro de los objetivos y de las metas de la organización. Ese control se expresa a través de las políticas institucionales, mediante elaboración y aplicación de técnicas de dirección, verificación y evaluación de regulaciones administrativas, la implantación de manuales de funciones y procedimientos, de sistemas de información. Su objetivo es garantizar la eficacia, eficiencia y economía en las operaciones de la administración, promoviendo y facilitando la correcta ejecución de las funciones y actividades establecidas; velando porque las actividades y recursos de la organización estén dirigidos al cumplimiento de los objetivos previstos; garantizando la correcta y oportuna evaluación y seguimiento de la gestión de la organización, asegurando la oportunidad, claridad y confiabilidad de la información y de los registros que respaldan la gestión de la organización; protegiendo los recursos de esta y procurando su adecuada administración; corrigiendo y previniendo riesgos; así como la verificación y evaluación del propio sistema de control interno.

 

     El sistema de control interno comprende los sistemas contables, financiero, de planeación, verificación, de información y de operaciones. Sistemas que son propios de la organización administrativa.

 

Conforme lo dispuesto en el artículo 10 de la Ley de Control Interno es responsabilidad del jerarca y del titular subordinado establecer, mantener y perfeccionar el sistema, procurando que se adecue a la naturaleza, estructura y finalidad de la organización.  Pero la responsabilidad de la Administración no se reduce a implantar el sistema. Por el contrario, le corresponde tomar las decisiones necesarias para que el sistema funcione correcta y eficazmente. La administración debe verificar que los objetivos y metas trazados para la organización se han cumplido. Dispone el artículo 10 de la Ley:

 

‘Responsabilidad por el sistema de control interno. Serán responsabilidad del jerarca y del titular subordinado establecer, mantener, perfeccionar y evaluar el sistema de control interno institucional. Asimismo, será responsabilidad de la administración activa realizar las acciones necesarias para garantizar su efectivo funcionamiento’.

 

Lo cual implica que la Administración debe establecer mecanismos de seguimiento de las normas, métodos, procedimientos adoptados así como la evaluación de los resultados. Ante lo cual cabría plantearse cuál es el papel de la auditoría dentro del sistema y particularmente, en la verificación del cumplimiento de las disposiciones adoptadas.

 

     Como parte del sistema, la auditoría ejerce funciones de control.  Le corresponde evaluar la eficiencia, efectividad, aplicabilidad y actualidad del sistema de control de la organización, así como hacer las recomendaciones necesarias para mejorar el sistema y el funcionamiento de la organización.

     Administración activa y auditoría son órganos de control con funciones específicas. Se sigue de lo expuesto que el control no se identifica con auditoría. La auditoría es una forma de control, no el control. Por consiguiente, determinadas formas de control escapan a la administración activa, así como otras no son propias de la auditoría.

 

B.- EL CONTROL DE LOS MEDIOS INFORMATICOS

 

De acuerdo con lo indicado por la Auditoría Interna se ha presentado un conflicto en orden al control permanente sobre el uso de correo electrónico e Internet propio de la Asamblea Legislativa. La consulta va dirigida a establecer si corresponde a la Administración el monitoreo periódico sobre el uso dado a estas herramientas, en tanto que a la Auditoría le correspondería como parte de su labor de fiscalización, incluir en el plan anual de trabajo y ejecutar un estudio sobre correo electrónico e Internet, evaluando la efectividad del control establecido por la Administración para comprobar ese uso, sin que la Auditoría deba asumir la función administrativa continúa de verificar de manera consistente el uso dado por los servidores a los referidos instrumentos.

 

En el dictamen N° C-003-2003 de 14 de enero de 2003, la Procuraduría se refirió al uso por parte de los funcionarios públicos del equipo de cómputo, sistemas, correos electrónicos, Internet y en general las aplicaciones electrónicas.  Se señaló al efecto que:

 

 Dado el objeto de la fiscalización y por el hecho mismo de que el equipo de cómputo, el software, los servicios que se desarrollan electrónicamente constituyen fondos públicos, se sigue como lógica consecuencia que los órganos de control interno deben ejercer fiscalización sobre el empleo de dichos fondos por parte de los distintos funcionarios públicos’.

 

Si bien se habla de una fiscalización sobre el empleo del equipo de cómputo y los servicios electrónicos a cargo de los órganos de control interno, lo que comprendería no sólo a la auditoría interna sino también a la Administración activa, es lo cierto que el dictamen desarrolla particularmente la posibilidad de control por parte de la primera. Ese hecho y la reiterada mención que se hace a la auditoría informática podría llevar a concluir que la verificación constante del respeto a las normas que se hayan emitido en relación con el uso de las herramientas informáticas y el equipo de cómputo es responsabilidad exclusiva del auditor interno.

 

Empero, dicho criterio no es correcto. La verificación del uso de los bienes públicos es también función de la Administración activa.  Ciertamente, es función primordial de la autoridad administrativa el establecimiento de los planes, métodos, normas y procedimientos de control y mantenerlos actualizados. Pero para que exista efectivamente un sistema de control no es suficiente con que la organización cuente con políticas, normas y procedimiento. Es necesario que éstas se cumplan y ese cumplimiento debe ser asegurado por la Administración activa, en sus diversas estructuras. Cabe recordar que el artículo 10 de la Ley de Control Interno expresamente señala que la Administración activa debe realizar las acciones necesarias para garantizar que los controles funcionen. Y ello implica que los controles se cumplan. Es deber de la Administración y en particular del jerarca y de los titulares subordinados velar por el “adecuado” desarrollo de la organización, tomando las medidas correctivas en caso de irregularidades. El correcto uso de los fondos públicos y la sujeción a la ética de la función pública es fundamental para el adecuado desarrollo de la organización. Por lo que esas autoridades deben tomar las medidas necesarias para garantizar ese uso, verificando que se está empleando para los fines públicos correspondientes. El control no solo debe ser establecido formalmente, sino que debe ser mantenido y el mantenimiento implica el verificar que se cumpla y que se adecue a los imperativos de la organización. Definir un sistema de control no es solo establecer la línea funcional de autoridad, las funciones y responsabilidades, el procedimiento a seguir para adoptar un acto; es también establecer el mecanismo de comprobación interna de las decisiones adoptadas. Parte de la competencia de control de la autoridad consiste en la definición de las funciones que dentro de ese control ejercerán diversas autoridades administrativas. Esta definición de deberes y funciones de los funcionarios subordinados puede comprender el verificar que los planes, procedimientos, normas de control se cumplan. Los procedimientos de control son establecidos por la jerarquía, pero deben ser cumplidos por funcionarios subordinados. Lo que implica una forma de control. No se trata de una asignación de trabajo al auditor, sino de funciones de control que deben ser realizadas por los funcionarios subordinados en los términos en que establezcan las normas internas y el jerarca. El artículo 17 de la Ley reafirma que funcionarios subordinados deben ejercer control en los términos determinados por las normas y procedimientos dispuestos por el jerarca. En orden al seguimiento del sistema de control interno se dispone como función del jerarca y del titular subordinado: 

 

‘Artículo 17.—Seguimiento del sistema de control interno.

 

(…).

 

En cuanto al seguimiento del sistema de control interno, serán deberes del jerarca y los titulares subordinados, los siguientes:

 

a) Que los funcionarios responsabilizados realicen continuamente las acciones de control y prevención en el curso de las operaciones normales integradas a tales acciones.

 

(…)’.

 

Los funcionarios administrativos tienen funciones de control, que deben ser desempeñadas en forma continua y como parte de las operaciones normales integradas a tales acciones. El incumplimiento de esas tareas de control, por ende de verificación es causa de responsabilidad administrativa (artículo 39 de la Ley de Control Interno) para el funcionario subordinado.

 

Luego, está el concepto mismo de la función de auditoría. El artículo 21 de la Ley contiene un concepto “funcional” de auditoría interna, referido a la actividad en sí misma, a su objetivo y a su efecto sobre la organización y la sociedad. Esta se define como una actividad “asesora”, dirigida a proporcionar seguridad a la organización, “mediante la práctica de un enfoque sistémico y profesional para evaluar y mejorar la efectividad de la administración del riesgo, del control y de los procesos de dirección en las entidades y los órganos sujetos a esta Ley…’.

 

De esa definición interesa resaltar el carácter asesor de la función de auditoría y la evaluación del control y del proceso de dirección. El Instituto de Auditores Internos define la auditoría precisamente como:

 

‘una actividad de evaluación independiente, establecida dentro de una organización para examinar y evaluar sus actividades como un servicio para la organización’. Citado por R, WHITTINGTON-K, PANY, Ibid, p. 592.

 

A través de la evaluación, de la asesoría, de las recomendaciones la Auditoría interna participa en el control interno. Y lo hace por medio de la evaluación de la efectividad de otros controles. La auditoría representa una verificación posterior y selectiva de un ámbito de la actividad de la organización. Esa verificación y evaluación no es continúa o concomitante con las acciones administrativas u otras acciones de control. Es periódica. En relación con los fondos públicos se deben realizar auditorías o estudios especiales semestralmente. Dispone el artículo 22 de la Ley de Control Interno:

 

‘Artículo 22 .—Competencias. Compete a la auditoría interna, primordialmente lo siguiente:

 

a)    Realizar auditorías o estudios especiales semestralmente, en relación con los fondos públicos sujetos a su competencia institucional, incluidos fideicomisos, fondos especiales y otros de naturaleza similar. Asimismo, efectuar semestralmente auditorías o estudios especiales sobre fondos y actividades privadas, de acuerdo con los artículos 5 y 6 de la Ley Orgánica de la Contraloría General de la República, en el tanto estos se originen en transferencias efectuadas por componentes de su competencia institucional.

 

b)    Verificar el cumplimiento, la validez y la suficiencia del sistema de control interno de su competencia institucional, informar de ello y proponer las medidas correctivas que sean pertinentes.

 

c)    Verificar que la administración activa tome las medidas de control interno señaladas en esta Ley, en los casos de desconcentración de competencias, o bien la contratación de servicios de apoyo con terceros; asimismo, examinar regularmente la operación efectiva de los controles críticos, en esas unidades desconcentradas o en la prestación de tales servicios.

 

d)    Asesorar, en materia de su competencia, al jerarca del cual depende; además, advertir a los órganos pasivos que fiscaliza sobre las posibles consecuencias de determinadas conductas o decisiones, cuando sean de su conocimiento.

 

e)    Autorizar, mediante razón de apertura, los libros de contabilidad y de actas que deban llevar los órganos sujetos a su competencia institucional y otros libros que, a criterio del auditor interno, sean necesarios para el fortalecimiento del sistema de control interno.

 

f)     Preparar los planes de trabajo, por lo menos de conformidad con los lineamientos que establece la Contraloría General de la República.

 

g)    Elaborar un informe anual de la ejecución del plan de trabajo y del estado de las recomendaciones de la auditoría interna, de la Contraloría General de la República y de los despachos de contadores públicos; en los últimos dos casos, cuando sean de su conocimiento, sin perjuicio de que se elaboren informes y se presenten al jerarca cuando las circunstancias lo ameriten.

 

h)    Mantener debidamente actualizado el reglamento de organización y funcionamiento de la auditoría interna.

 

i)     Las demás competencias que contemplen la normativa legal, reglamentaria y técnica aplicable, con las limitaciones que establece el artículo 34 de esta Ley’.

        

Para alguna de las labores de auditoría la Ley impone la frecuencia con que deben ser realizadas. Así, las auditorías o informes sobre fondos públicos o en su caso fondos privados de origen público deben ser realizadas semestralmente; el informe sobre la ejecución del plan de trabajo y el estado de las recomendaciones impartidas es anual. Respecto de otras facultades la ley no  dispone su frecuencia. Empero, de la redacción de la norma se desprende que esas labores no se ejercen concomitantemente y ante todo que la auditoría lo que verifica es el funcionamiento de los mecanismos de control que ejercen otros. Es función de la auditoría verificar que se cumpla y que sea adecuado el sistema de control interno.

 

El control puntual lo ejerce la administración activa. La Auditoría ejerce una verificación posterior y selectiva, que permitirá en su momento fortalecer los controles internos existentes, sugerir nuevos controles o promover la eficiencia de los existentes. Para ello, una de las tareas del auditor es verificar que el control sea ejercido por los funcionarios administrativos, como parte del ejercicio de su competencia.

 

Al analizar la posibilidad de controlar el uso de las herramientas informáticas por parte de los funcionarios públicos, la Procuraduría hizo referencia a la realización de auditorías informáticas. En efecto, en el dictamen C-003-2003 se señaló:

 

‘Como el equipo debe ser utilizado para el desarrollo de la función pública y dada las competencias que tiene la Auditoría para fiscalizar el uso que se haga de los equipos y, por ende, garantizar el correcto manejo de los fondos públicos, se sigue que puede realizar Auditorías informáticas que permitan determinar que se ha hecho un correcto uso de los bienes públicos, aún cuando para ello tenga que accesar la información almacenada y resulte que ésta pueda ser considerada privada. El artículo 33 de mérito fundamenta ese acceso. Si un funcionario estima que el acceso violenta sus derechos fundamentales, porque parte de la información almacenada es de interés privado, configurando documentos privados, tendría que darlo a conocer formalmente a los organismos de control. Es claro que si la persona no hace referencia a que tiene dicha documentación privada, el auditor no podrá determinar de antemano que esa documentación es privada y no tendría motivo para abstenerse de revisarla, siendo que se encuentra en un equipo de cómputo público donde sólo debe constar información pública y dadas las amplias potestades de revisión que el artículo 33 le atribuye’.

 

De esa forma se respondió a la consulta en orden a las facultades de la auditoría interna. No se analizó la competencia de la administración activa porque este tema no fue objeto de consulta. Empero, al señalarse los límites al control de esos bienes, expresamente se hizo referencia tanto a la auditoría interna como a la administración activa. Es a ésta a quien corresponde efectuar regularmente el control del uso de los instrumentos informáticos por parte de los funcionarios de la organización respectiva. Controles que deben existir efectivamente y que podrán ser objeto de una auditoría informática. Esta es:

 

‘.. la revisión y evaluación de los controles, sistemas y procedimientos de informática, así como de los equipos de cómputo, su utilización, eficiencia y seguridad. También de la organización que participa en el procesamiento de la información, con el fin de que por medio del señalamiento de cursos alternativos se logre una utilización más eficiente y segura de la información, que servirá para una adecuada toma de decisiones’, G, CEPEDA, ibid. p. 203.

 

La  auditoría   informática  verifica   el  cumplimiento   de  la   normativa  de   la organización  en  orden  a los  sistemas   informáticos  y   la  gestión   de  los   recursos materiales y humanos informáticos ( cf. http://www.monografias.com/trabajos/auditoinfo/auditoinfo.shtml#top). En ese sentido, verifica el correcto uso de los recursos que integran el sistema informático. Pero en el ejercicio de esa fiscalización no se sustituye a la administración activa en la aplicación de las políticas, procedimientos, normas referidas al uso de esos bienes y que son parte del control de la organización.

 

 

CONCLUSION:

 

Conforme lo expuesto, es criterio no vinculante de la Procuraduría General de la República, que:

1.    El sistema de control interno asigna formas de control específicas a los órganos que lo integran: la Administración activa y la auditoría interna. La auditoría interna solo puede ejercer el control que se enmarque en el concepto de auditoría. La necesidad de garantizar su independencia funcional implica una prohibición de ejercer las funciones administrativas y de control propias de la administración activa.

2.    El establecimiento de un sistema de control interno por parte de la Administración activa implica también la definición de responsabilidades en orden a su aplicación.

3.    La comprobación regular y continua del cumplimiento de las políticas, procedimientos o normas de control interno es responsabilidad de la Administración activa.

4.    El correcto uso de los fondos públicos y la sujeción a la ética de la función pública, fundamental para el adecuado desarrollo de la organización, debe ser objeto de control por parte de la Administración activa.

5.    En ese sentido, corresponde a la Administración verificar el cumplimiento efectivo de las políticas, procedimientos y normas adoptados en orden al uso de los servicios de correo electrónico e Internet.

6.    La auditoría informática verifica el cumplimiento de las políticas, procedimientos y normas de la organización en orden a los sistemas informáticos y la gestión de los recursos materiales y humanos informáticos.

7.    La Auditoría puede realizar auditorías sobre el uso de esos bienes públicos y a efecto de evaluar la pertinencia y eficacia de los controles establecidos por la Administración interna”. (Las negritas no corresponden al original).

 

Como puede desprenderse de lo que llevamos dicho, la Administración tiene competencia legal para la verificación de la información de los equipos informáticos de propiedad estatal y que usan los funcionarios en su diaria labor. Así, pues, estamos en presencia de una competencia concurrente, y no de una exclusiva y excluyente de las Auditorías Internas.

 

A mayor abundamiento, en el dictamen C-073-2003 de 14 de marzo del 2003, señalamos también lo siguiente: 

 

“En este mismo orden de ideas, resulta aplicable al CONICIT la Ley de Administración Financiera y Presupuestos Públicos, Ley N° 8131 del 18 de setiembre del 2001, en la que también se indica que para fiscalizar la adecuada utilización de los recursos financieros del sector público se contará con sistemas de control interno y externo (artículo 17). Esta Ley dispone que el sistema de control interno es responsabilidad de la máxima autoridad de cada dependencia (artículo 18), responsabilidad que en todo caso se extiende a los titulares subordinados del sistema de control interno de conformidad con lo dispuesto por la Ley General de Control Interno. Es de advertir que, conforme este último numeral, la circunstancia de que diversos repartos administrativos participen en una determinada operación no exime de responsabilidad a ninguno de ellos. Dispone esa norma en lo que aquí interesa:

 

‘ARTÍCULO 18.-

Responsabilidades de control

 

       El control interno será responsabilidad de la máxima autoridad de cada dependencia. En los procesos donde participen dependencias diferentes, cada una será responsable de los subprocesos o actividades que le correspondan’. La cursiva no es del original.

    Esta disposición determina que en el tanto en que el Fondo de Incentivos esté a cargo del CONICIT, éste asume responsabilidad por el financiamiento de los incentivos, aún cuando el otorgamiento de éstos y la selección de los beneficiarios sean determinado por otras instancias”.

 

 

III.-     CONCLUSIÓN.

 

La Administración, al igual que la Auditoria Interna, tiene la competencia legal para fiscalizar la información de los equipos informáticos propiedad estatal y que usan los funcionarios en su diaria labor.

 

De usted, con toda consideración y estima,

 

 

Dr. Fernando Castillo Víquez

Procurador Constitucional

FCV/mvc