Falta de controles de validación del Sicop permitió errores de digitación por ¢6 billones
La cifra equivale a casi un 15% del PIB
Una auditoría halló una serie de debilidades en la calidad de la información relacionadas con todas las etapas de la gestión de datos en el sistema de compas públicas.
Así se desprende del Informe de Auditoría sobre la Calidad y Seguridad de la Información del Sistema Integrado de Compras Públicas (Sicop) elaborado por la Contraloría General de la República (CGR).
Uno de los datos más alarmantes es que la falta de controles de validación del Sicop permitió errores de digitación que representan un 14,8% del Producto Interno Bruto (PIB), lo que equivale a 6 billones de colones (¢6.000.000.000.000).
Fuente: Informe n.° DFOE-FIP-IAD-00003-2024
La auditoría tuvo como objetivo determinar si la gestión de la calidad y seguridad de la información del Sicop del Ministerio de Hacienda cumple razonablemente con el marco regulatorio aplicable. El período auditado comprendió del 1 de enero de 2023 a agosto de 2024.
"La gestión de la calidad y seguridad de la información del Sistema Integrado de Compras Públicas del Ministerio de Hacienda cumple parcialmente con los aspectos significativos del marco normativo y técnico aplicable. El Ministerio de Hacienda dispone de un lineamiento de seguridad, resguardo y monitoreo, para el uso del sistema.
También la plataforma cuenta con controles de seguridad implementados, que permiten verificar disponibilidad, seguridad y desempeño. Sin embargo, se identificaron áreas críticas que requieren mejoras para garantizar la calidad y seguridad de la información de contratación pública", señala el Informe N.° DFOE-FIP-IAD-00003-2024.
En cuanto a la calidad de la información, se determinaron debilidades relacionadas con todas las etapas de la gestión de datos.
"Al respecto, la falta de controles de validación del Sicop permitió errores de digitación que representan un 14,8% del PIB y que en las subpartidas presupuestarias no se hayan introducido datos en 50.128 líneas.
Además, limitaciones funcionales del Sicop han incidido en que a la fecha no se hayan corregido dichos errores", indica el reporte.
Más hallazgos
El documento indica que también existen 4.711 solicitudes de aclaraciones al cartel por parte de los oferentes que no se tramitaron.
De igual manera, menciona que la Dirección de Contratación Pública (DCoP) no ha definido qué datos de los que se ingresan en el Sicop deben ser de carácter obligatorio, por lo que las instituciones tienen la posibilidad de no digitar datos esenciales para el proceso de contratación.
Tampoco se han definido aspectos relacionados con la emisión de certificaciones de datos del expediente; así como criterios que guíen de manera estandarizada a las administraciones en el resguardo de la información confidencial; el tratamiento de los datos sensibles y la obtención del consentimiento informado que indica la Ley de protección de datos; y pautas relativas al resguardo, custodia e integridad de la información que eventualmente se tenga que retirar del sistema.
La auditoría determinó que el sistema tiene también limitaciones para el acceso fácil a la información y descarga del expediente.
Con relación a la continuidad del proceso de Gestión del Sistema Digital Unificado, se halló que no se cuenta con un plan de continuidad.
"Si bien el Ministerio de Hacienda cataloga la "Gestión de Contratación Pública" como un producto final clave, el Sicop que soporta este proceso no cuenta con estrategias definidas que le permitan mantener la continuidad del proceso en caso de una interrupción grave.
Además, el Ministerio no verifica la existencia de planes y pruebas como, de recuperación ante desastres, de continuidad de negocio y pruebas de restauración de datos por parte del proveedor del Sicop, que valide que estos cumplen con el criterio de disponibilidad del servicio y de los datos", sentencia la investigación.
También existen limitaciones en la ejecución de actividades de control de funciones críticas propias de la administración del Sicop, o bien la ausencia de estas, necesarias para garantizar la seguridad, monitoreo y seguimiento del sistema. Entre ellas verificar el cumplimiento de especificaciones técnicas contractuales del proveedor del servicio.
En tanto, las solicitudes de servicio internas y externas, que le corresponden al Ministerio gestionar, no son documentadas en aplicaciones oficiales lo que genera pérdida de trazabilidad de los servicios prestados. Tampoco se realizan revisiones sobre la existencia e integridad de los respaldos de la información, ni hay documentado un acuerdo de custodia de datos con el proveedor del Sicop.
Por otro lado, el trabajo del ente contralor encontró que no se asignó una contraparte del equipo de seguridad para la atención del Sicop, no se han realizado evaluaciones de riesgos de seguridad para identificar vulnerabilidades, ni pruebas de seguridad que garanticen la confidencialidad, integridad y disponibilidad de los datos.
"La Dirección de Tecnologías de Información y Comunicación (DTIC) no realiza un control de monitoreo de la disponibilidad del Sicop, ni revisa en lo que le compete las solicitudes de cambios o ajustes de funcionalidades del sistema. Finalmente, en la gestión de usuarios, no se tienen documentados formalmente los perfiles y roles, ni tampoco la delimitación de roles incompatibles.
Hay 355 usuarios activos en el Sicop de personas difuntas. Adicionalmente, se encontraron 4453 usuarios activos que no tienen registrado ningún acceso y 30.423 usuarios activos cuyo último acceso fue anterior al 2022. Esto es un indicativo de que el registro de usuario no se ha actualizado, para reflejar el estado actual", concluye la auditoría.
¿Qué sigue?
La CGR manifestó que con fundamento en los resultados obtenidos y con el propósito de fortalecer la calidad y seguridad de la información del Sistema Integrado de Compras Públicas, se giraron disposiciones al Ministerio de Hacienda, a la Dirección de Contratación Pública y a la Dirección de Tecnologías de Información y Comunicación de forma que se atiendan y resuelvan las situaciones identificadas en el informe de auditoría.
Consultado al respecto, la cartera hacendaria respondió que este informe incluye recomendaciones relacionadas con la gestión de la calidad de la información del Sicop, la continuidad del proceso del Sistema Digital Unificado en caso de interrupciones, la seguridad, monitoreo y seguimiento y la gestión de usuarios en el sistema, todas las cuales se trabajarán en coordinación con el proveedor del servicio: Radiográfica Costarricense (Racsa).
"Con respecto a la calidad de la información que se encuentra dentro de los expedientes de Sicop, la DCoP ha identificado inconsistencias en datos ingresados por los usuarios y ha gestionado solicitudes de corrección que deben ser realizadas por ellos en su condición de dueños y responsables de la información ingresada.
En línea con lo anterior, se está gestionando una mejora en el sistema que pronto estará disponible para los usuarios y que permitirá prevenir errores en la información", contestó el Ministerio.
Con relación a la seguridad de información, específicamente para la continuidad del negocio, aseguran que durante el año 2023 se emitieron los lineamientos de seguridad, resguardo y monitoreo del Sicop, los cuales se encuentran disponibles en el sitio Web del sistema.
"En acatamiento a la disposición de la CGR, se está gestionando la actualización del plan de continuidad del negocio emitido por Racsa, fortaleciendo las acciones de control interno, para propiciar la seguridad, monitoreo y seguimiento del sistema", afirmó la entidad hacendaria.
Añadieron que con referencia al almacenamiento de la información, la tarea se realiza en coordinación con Racsa como proveedor del servicio, el cual debe garantizar el cumplimiento de los estándares establecidos en el contrato.
"En lo que respecta a los temas tecnológicos, el informe recomienda elaborar, aprobar, divulgar, capacitar e implementar un plan de contingencia para el Sicop, que considere todas las etapas del proceso de contratación pública y las interfaces con otras instituciones y servicios de terceros. Para ello, la DTIC trabajará en la gestión del plan de contingencia que corresponda, en estrecha con el proveedor del servicio.
Actualmente, la DTIC recibe un informe del servicio por parte de Racsa, en el cual se incorporan aspecto como los siguientes: Informe de disponibilidad, estado de vulnerabilidades, informe de recuperación (cuando corresponde). Esto permite dar un seguimiento a la gestión, desde el punto de vista tecnológico, mismo que se espera mejorar, en atención a lo indicado por el ente contralor", finalizó Hacienda.
Sobre la accesibilidad y facilidad para acceder al servicio de compras públicas, consideran que los datos que se encuentran en el Sicop ofrecen oportunidades de libre acceso a la ciudadanía, para conocer la información de los procedimientos de contratación, desde un formato de datos abiertos.