Auditoría del ICE señala 10 puntos claves en sistema que le costó ¢46 mil millones a los costarricenses

(CRHoy.com) La auditoría del Instituto Costarricense de Electricidad (ICE) señaló 10 puntos claves, luego de realizar 6 estudios de un cuestionado sistema informático que le costó a la entidad, con dinero de los costarricenses, más ¢46 mil millones ($80 millones de dólares).

Se trata del Programa de Modernización Financiera-Administrativa que fue recientemente cuestionado por la Contraloría General de la República (CGR). Esta entidad fustigó los débiles controles y elevados gastos que superaron lo presupuestado.

El sistema fue adquirido por medio de una contratación directa a SAP Costa Rica en el año 2015 y a la fecha el sistema se encuentra a un 80% de desarrollo. Inicialmente, el PMAF debía estar listo para finales del 2018, pero el ICE anunció que será hasta el segundo semestre del 2020 cuando se concluya al 100%.

Estos son las situaciones identificadas por la auditoría en los que se detectó una oportunidad de mejora:

1- Debilidad en la gestión de licencias:

• Falta de controles en el uso y administración de las licencias. Se señala riesgo de uso no óptimo e ineficiente de los recursos financieros invertidos.

2- Contrato no garantiza acceso directo a base de datos:

No se establece contractualmente el derecho por parte del ICE al:

• Acceso a la información contenida en las bases de datos (y sus estructuras), ni la definición de las herramientas a través de las cuales el ICE podrá accesar y manipular los datos.
• Acceso a la documentación de las estructuras internas de las base de datos utilizadas, de tal forma que le permitan ubicar y conocer la funcionalidad de campos, tablas, llaves, vistas, relaciones y cualquier otro elemento que se requiera.
• Garantía del uso del a información que se genere a partir de la solución contratada, independientemente de donde se encuentre alojada dicha información (infraestructura ICE o en la Nube).

3- Debilidades en el proceso de migración de datos

• Se señala un incumplimientos relacionados con los principios de la "Estrategia de Migración y Depuración de Datos".
• Además se indica que falta de definición y formalización de responsabilidades claramente establecidas respecto al proceso de migración de datos, donde se establezca la responsabilidad de realizar una supervisión y seguimiento oportuno durante la ejecución de dicho proceso, y de todas las fases, etapas y actividades que lo componen.
• Falta de controles relacionados con la identificación, extracción, depuración, conversión, validación y carga de datos, que permitan asegurar la calidad, integridad y oportunidad de la información que se gesta en la implementación del ERP

4- Debilidades en el Plan de Contingencia

• El plan de contingencia no incluye elementos de continuidad de los servicios.
• No se tiene una definición de roles y responsables del personal (tanto del ICE como del proveedor), para la ejecución del Plan de Contingencia.

5- Sin criterios en incumplimientos de pagos

• Se pidió que el ICE valorara la conveniencia dede emitir un criterio institucional en caso de que se den incumplimientos en el pago, en tiempo, de las facturas por parte del ICE.

6- Atrasos en el ingreso de las transacciones al SAP

• Las cuadradillas contratadas se redujeron en un 50%, de enero a febrero 2018, y al 18 abril del 2018 se mantenían en la misma condición.
• Ordenes de ampliación de la red (líneas nuevas), así como sustituciones de líneas en estado de: pendientes, retiradas, anuladas.
• Disminución de las solicitudes de servicios eléctricos y aumento en el promedio de días requeridos para instalar el servicio desde noviembre 2017 hasta marzo 2018.

7- Fallas en el proceso de capacitación:

• No se incluye como parte de las contrataciones
• No es dirigido por el ente rector (CADE)
• Se delega en el equipo de Gestión del Cambio de PMAF
• Debilidades en selección y participación de funcionarios a las capacitaciones y evaluaciones de calidad de las capacitaciones

8- Deficiencia en la gestión de roles

• Roles y permisos incompletos
• Configuración de accesos incompleta
• Usuarios no identificados con transacciones críticas asociadas

9- Gestión de Licencias

• Falta de controles para garantizar la asignación de licencias de acuerdo con las funciones del puesto.

10- Análisis operativo y financiero limitado

• El servicio de almacenamiento no contempla otras opciones del mercado, esto por cuanto se cotiza la solución como integral.
• Con respecto a la adquisición del servicio de espacio en la nube, no se obtiene evidencia de un estudio técnico y financiero que contemple otros proveedores (IDC del ICE en Cartago), para brindar el servicio.
• No es posible obtener la estructura de costos del Proyecto asociado con el almacenamiento en la nube.
• El IDC (Internet Data Center) del ICE, está habilitado para brindar el servicio desde mediados del 2015, alineado a ISO 27001, y con una disponibilidad de servicio de un 99,998% basado en la certificación TIER III.