informe no. dfoe-soc-if-07-2014 26 de agosto, 2014

T:. (506) 2501 8000 F:. (506) 2501 8100 C: [email protected] S:http://www.cgr.go.crApdo.1179-1000, San José, Costa Rica

INFORME NO. DFOE-SOC-IF-07-2014 26 de agosto, 2014

DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA

ÁREA DE FISCALIZACIÓN DE SERVICIOS SOCIALES

AUDITORIA SOBRE LA SUFICIENCIA, IDONEIDAD Y OPORTUNIDAD DE LOS CONTROLES EN LOS SORTEOS DE LOTERÍAS DE

LA JUNTA DE PROTECCIÓN SOCIAL

2014


CONTENIDO

Página No.

RESUMEN EJECUTIVO 1 INTRODUCCIÓN ..................................................................................................... 1

ORIGEN DE LA AUDITORÍA ..................................................................................................... 1 OBJETIVO .......................................................................................................................... 1 NATURALEZA Y ALCANCE ...................................................................................................... 1 METODOLOGÍA APLICADA .................................................................................................... 2 COMUNICACIÓN PRELIMINAR DE LOS RESULTADOS .................................................................... 2 GENERALIDADES ................................................................................................................. 3

2 RESULTADOS .......................................................................................................... 4

IDONEIDAD, SUFICIENCIA Y OPORTUNIDAD DE LOS CONTROLES

RELACIONADOS CON LOS SORTEOS DE LOTERÍAS TRADICIONALES Y

ELECTRÓNICAS ................................................................................................................... 4 DEBILIDADES DE CONTROL DETECTADAS EN EL PROCESO DE DEVOLUCIÓN

DE LOTERÍA TRADICIONAL NO RETIRADA DE LAS AGENCIAS BANCARIAS ........................................... 4 INEXISTENCIA DE ACUERDOS DE CONFIDENCIALIDAD PARA EL MANEJO

DE ARCHIVOS DIGITALES DE ARTES GRÁFICAS ............................................................................. 6 DEBILIDADES DE CONTROL DETECTADAS EN LA ACTIVIDAD DE PESAJE QUE

PRECEDE LA REALIZACIÓN DE LOS SORTEOS DE LOTERÍA ELECTRÓNICA ............................................. 7

A) ADMINISTRACIÓN DEL CONTROL DE LA ACTIVIDAD DE PESAJE DE

BOLITAS DE POLÍMERO. .......................................................................................... 8

B) ADMINISTRACIÓN DE USUARIOS Y MONITOREO DE CAMBIOS DEL

SISTEMA “BALL MANAGER” ................................................................................... 9

C) MANTENIMIENTO PREVENTIVO DEL EQUIPO DE PESAJE DE

BOLITAS DE POLÍMERO ......................................................................................... 10

AUSENCIA DE PRUEBAS Y CAPACITACIONES EN MATERIA DE TECNOLOGÍAS DE

INFORMACIÓN QUE ASEGUREN LA CONTINUIDAD DEL NEGOCIO .................................................. 10 ANÁLISIS DE LOS ROLES QUE DESEMPEÑAN LA AUDITORÍA INTERNA Y LA

ADMINISTRACIÓN ACTIVA EN LA REALIZACIÓN DE LOS CONTROLES RELACIONADOS

CON LOS SORTEOS DE LOTERÍAS TRADICIONALES Y ELECTRÓNICAS ................................................ 13

BORRADOR

2


SUBPROCESO 1 RECIBO DE LA LOTERÍA POR PARTE DE LOS CAJEROS ...................................... 17 SUBPROCESO 2 DESTRUCCIÓN DE LA LOTERÍA DEVUELTA ................................................... 17 SUBPROCESO 3 CIERRE DE CAJEROS, CIERRE FINAL Y FIRMA DEL ACTA

DE DESTRUCCIÓN DE LOTERÍA ....................................................................................... 17 3 CONCLUSIONES .................................................................................................... 20 4 DISPOSICIONES .................................................................................................... 21

A LA JUNTA DIRECTIVA DE LA JPS ............................................................................................................. 22 A LA LICDA. DORIS CHENG CHEANG, AUDITORA INTERNA, Y AL

MÁSTER MILTON VARGAS MORA, EN SU CONDICIÓN DE GERENTE

GENERAL DE LA JPS, O A LAS PERSONAS QUE EN SU LUGAR OCUPEN

ESOS CARGOS. ......................................................................................................................................... 22 AL MÁSTER MILTON VARGAS MORA, EN SU CALIDAD DE GERENTE GENERAL

DE LA JPS O A LA PERSONA QUE EN SU LUGAR OCUPE EL CARGO ................................................................. 23 AL LIC. JORGE VILLALOBOS FONSECA, EN SU CALIDAD DE GERENTE DE

OPERACIONES DE LA JPS O A LA PERSONA QUE EN SU LUGAR OCUPE EL CARGO .......................................... 23 AL MÁSTER FRANCISCO IBARRA ARANA, GERENTE DE PRODUCCIÓN Y

COMERCIALIZACIÓN O A LA PERSONA QUE EN SU LUGAR OCUPE EL CARGO ................................................. 24 AL LIC. RONALD ORTIZ MÉNDEZ, EN SU CALIDAD DE JEFE DEL DEPARTAMENTO

DE TECNOLOGÍAS DE INFORMACIÓN O A LA PERSONA QUE EN SU LUGAR OCUPE

EL CARGO ................................................................................................................................................ 24 CONSIDERACIONES FINALES ..................................................................................................................... 24

ANEXO N° 1……………… ................................................................................................. 26 ANEXO N° 2………… ...................................................................................................... 27

BORRADOR


INFORME No. DFOE-SOC-IF-07-2014

RESUMEN EJECUTIVO

¿Qué examinamos?

El objetivo de la presente auditoría fue establecer la suficiencia, idoneidad y oportunidad de los controles aplicados por la Junta de Protección Social (JPS) y por su Auditoría Interna, en la ejecución de los sorteos de las loterías administradas por dicha institución, específicamente los vinculados con los sorteos de loterías tradicional y electrónica.

¿Por qué es importante?

El hecho de que los controles relacionados con los sorteos de loterías que administra la Junta de Protección Social sean suficientes, idóneos y oportunos, incide directamente en la credibilidad que dichos sorteos deben tener dentro del público consumidor, de manera que genere confianza e incidan positivamente en la demanda y en las utilidades que se generan, las cuales se destinan a instituciones, organizaciones, programas o sectores de interés social. Para el año 2014 la Junta de Protección Social proyectó en su presupuesto inicial realizar transferencias corrientes a los acreedores de utilidades de loterías, por un total de ¢149.877.298,0 miles, lo que constituye una clara referencia de la importancia que esta actividad tiene para los diferentes sectores sociales que se benefician de ella.

¿Qué encontramos?

En el estudio realizado se observaron algunas debilidades de control en la operación de las

loterías, electrónicas o tradicionales, las cuales, si bien no restan credibilidad ni transparencia a dichos juegos, deben ser subsanadas para prevenir la eventual materialización de riesgos y proteger y conservar el patrimonio institucional contra cualquier afectación. Dichas debilidades se relacionan, con el proceso de devolución de lotería tradicional no retirada de las Agencias Bancarias, así como con la inexistencia de acuerdos de confidencialidad para el manejo de los archivos digitales de las artes gráficas que se emplean en la impresión de estas loterías. Asimismo se determinó, respecto del plan de continuidad de tecnologías de información, que no se han realizado pruebas de la infraestructura tecnológica crítica, a nivel del ambiente productivo, ni capacitaciones al personal partícipe de ese proceso.

BORRADOR BORRADOR BORRADOR

ii


Además, se encontraron debilidades relacionadas con la actividad de pesaje de bolitas de polímero que se utilizan para los sorteos de lotería electrónica. Tales debilidades se refieren a la definición de criterios de evaluación para el pesaje, a la identificación de los usuarios que administran el sistema de pesaje de bolitas, al monitoreo de los cambios realizados por los usuarios del mismo y a la labor de mantenimiento preventivo que debe recibir el equipo que se utiliza en esta actividad. Finalmente, con el desarrollo de la presente auditoría, este Órgano Contralor determinó que existe una participación directa de la Auditoría Interna de la JPS en algunos de los procesos de control ex ante y durante los sorteos de loterías tanto tradicionales como electrónicas, sustituyendo en etapas de dichos procesos el rol que le corresponde desarrollar a la propia Administración Activa de la JPS.

¿Qué sigue?

Dados los hallazgos de la presente auditoría se emiten una serie de disposiciones a las autoridades de la JPS, tales como, tomar las acciones necesarias para garantizar que la lotería devuelta por las Agencias Bancarias sea destruida o inutilizada antes de los sorteos, establecer los criterios de evaluación sobre el peso ideal que deben tener las “bolitas de polímero” y las desviaciones máximas sobre ese peso, así como definir el plan de mantenimiento preventivo del equipo de pesaje de bolitas de polímero y la implementación de controles que permitan una mejora en la gestión de identidad de los accesos y cambiar al Sistema Ball Manager, utilizado para estos pesajes. También se dispone, suscribir acuerdos de confidencialidad entre el personal que maneja archivos digitales de las artes gráficas de los sorteos y la institución, así como realizar pruebas al plan de continuidad de tecnologías de información y capacitar al personal partícipe de ese proceso. Por otra parte, se dispone al Gerente General y a la Auditora Interna, realizar en conjunto un estudio integral de la normativa que regula los diferentes controles “ex ante” y “durante” los sorteos de loterías tradicionales y electrónicas y un plan de acción, con el propósito de que el rol de fiscalización que realiza dicha auditoría en dichos procesos se ejerza en los términos que dispone la Ley General de Control Interno N.° 8292.

BORRADOR


INFORME No. DFOE-SOC-IF-07-2014

DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA

ÁREA DE FISCALIZACIÓN DE SERVICIOS SOCIALES

AUDITORIA SOBRE LA SUFICIENCIA, IDONEIDAD Y OPORTUNIDAD

DE LOS CONTROLES EN LOS SORTEOS DE LOTERÍAS DE LA JUNTA DE PROTECCIÓN SOCIAL

1 INTRODUCCIÓN 1 Origen de la auditoría

1.1 La credibilidad y transparencia de los sorteos de loterías tiene incidencia directa

en la generación de las utilidades y esa transparencia depende de la calidad de los controles que se diseñen e implementen, por esa razón se consideró relevante determinar si los controles ex ante y durante la ejecución de los sorteos corresponden con sanas prácticas de control y se ajustan a lo que la normativa de control interno establece, especialmente porque los rendimientos que obtiene la Junta de Protección Social (JPS) de dichos sorteos, se transfieren a entidades públicas e instituciones de bienestar social para financiar la prestación de servicios directos a población en estado de pobreza o vulnerabilidad.

2 Objetivo

1.2 Establecer la suficiencia, idoneidad y oportunidad de los controles aplicados por la Administración Activa y por la Auditoría Interna, en la ejecución de los sorteos de las loterías administradas por la JPS.

Naturaleza y alcance

1.3 Este estudio constituye una auditoría de carácter especial, un tipo de auditoría de regularidad con enfoque de cumplimiento, para verificar que las actividades de los sujetos fiscalizados se ejecuten de conformidad con las leyes, reglamentos u otras normativas que las regulan, tales como resoluciones, políticas, lineamientos, directrices, códigos, contratos, convenios, buenas prácticas y otros criterios considerados apropiados por el equipo fiscalizador.

BORRADOR

2


1.4 La auditoría comprendió el análisis sobre los controles implementados atinentes a los sorteos realizados en el año 2013, ampliándose este alcance cuando se estimó necesario. Se seleccionaron los siguientes productos ofrecidos por la JPS: Loterías tradicionales (Nacional y Popular) y Loterías electrónicas (Nuevos Tiempos, Lotto y Pitazo).

Metodología aplicada

1.5 Para la elaboración de esta auditoría se utilizaron las técnicas y procedimientos estipulados en el Manual General de Fiscalización Integral (MAGEFI) de la Contraloría General de la República. Asimismo, en lo atinente, se observó el Manual de Normas Generales de Auditoría para el Sector Público y demás normativa aplicable.

Comunicación preliminar de los resultados

1.6 La comunicación preliminar de los principales resultados, conclusiones y

disposiciones, producto del estudio a que alude el presente informe, se efectuó el 14 de julio de 2014, en la Sala de reuniones de la Junta Directiva de la JPS y estuvieron presentes los siguientes funcionarios de esa entidad: Delia Villalobos Álvarez, Presidenta de Junta Directiva; Mayela Avendaño Salas, Vicepresidenta de Junta Directiva; Emilio Arias Rodríguez, Secretario de Junta Directiva; Marcela Angulo Grillo, Directora; Néstor Gamboa Salazar, Director; Manuel Neftalí Fallas Monge, Director; Edgar Carrillo Araya, Director y Marco Román Carvajal, Suplente; Milton Vargas Mora, Gerente General; Doris Cheng Cheang, Auditora Interna; Rodrigo Carvajal Mora, Subauditor Interno y Claudio Madrigal Guzmán, Jefe de Área Financiera de la Auditoría Interna; actividad a la que se convocó de manera formal.1

1.7 El borrador del presente informe se entregó en esa misma fecha, en papel y en versión digital, a la Presidenta de la Junta Directiva y a la Auditora Interna, mediante los oficios Nos. DFOE-SOC-0496 y DFOE-SOC-0497, respectivamente, ambos de fecha 14 de julio, 2014; con el propósito de que en un plazo no mayor de cinco días hábiles, formularan y remitieran a la Gerencia del Área de Servicios Sociales, las observaciones que consideraran pertinentes sobre su contenido. Mediante oficio No. PRES 252-2014 del 15 de julio de 2014 (NI 16038), la Presidenta de Junta Directiva solicitó ampliación de plazo, el cual fue ampliado hasta el 24 de julio de 2014, según consta en el oficio N° DFOE-SOC-0509 del 17 de julio de 2014. En respuesta a lo anterior, la Administración de la JPS y la Auditoría Interna, remitieron las correspondientes observaciones según consta en los siguientes documentos, respectivamente: Oficio N° PRES-266-2014 (NI

1 Oficio No. DFOE-SOC-0442 (06199) del 24 de junio de 2014.

BORRADOR

3


16973) del 23 de julio de 2014 y N° AI-530 del 24 de julio de 2014 (NI 17148). Sobre el particular, en el Anexo 2 al presente informe se detallan las valoraciones realizadas por la Contraloría General y los ajustes que se consideraron pertinentes.

Generalidades

1.8 De conformidad con lo establecido en la Ley “Autorización para el cambio de

nombre de la Junta de Protección Social y establecimiento de la distribución de rentas de las loterías nacionales”, N.° 8718 del 17 de febrero de 2009, esta institución es un ente descentralizado del sector público, que cuenta con personalidad jurídica y patrimonio propios, además posee autonomía administrativa y funcional para gestionar en forma exclusiva la creación, administración, venta y comercialización de todas las loterías del país.

1.9 La JPS administra loterías tradicionales y electrónicas. En las loterías tradicionales, ofrece los siguientes productos: Lotería Nacional, Lotería Popular o Chances, Tiempos impresos y Lotería Instantánea. Los productos de mayor relevancia son la Lotería Nacional y la Lotería Popular o Chances, ya que las ventas netas de esos productos representaron un 51% y un 28% del total de las ventas netas del año 2013, respectivamente; le siguen los Tiempos impresos y la Lotería Instantánea, que representaron, en su orden, un 4% y un 5%.

1.10 Asimismo, ha ido cobrando importancia la lotería electrónica, la cual inició como un producto que administraba en forma total y directa la Institución, y que a partir de junio del año 2013 se administra con el concurso del Consorcio Gtech - Bold Gaming, en adelante Gtech. Para el año 2012, las ventas de este producto representaban el 1% de las ventas totales; sin embargo, para diciembre del año 2013, ese porcentaje aumentó al 12%. Los productos que actualmente se comercializan en forma electrónica son: Lotto, Pitazo y Nuevos Tiempos.

1.11 Es así como, en el actual marco de operaciones de la JPS, tiene importancia la administración de las denominadas loterías tradicionales como la de las nuevas loterías electrónicas, y como parte de esa administración se hace necesario verificar la suficiencia, idoneidad y oportunidad de los controles atinentes a los sorteos que se realizan, debido a que, como se mencionó anteriormente, el éxito financiero de estos juegos depende en gran medida de la credibilidad que tengan dentro del público consumidor y de la transparencia con que se manejen. En este sentido, también cobra relevancia a lo interno de la JPS, la temática relacionada con la competencia que tendría la Auditoría Interna para realizar controles “ex ante” y “durante” los sorteos de loterías y sobre la obligación que tendría la Administración Activa de posibilitar la realización de tales controles.

BORRADOR

4


1.12 Como rector del ordenamiento de control y fiscalización superior de la Hacienda Pública, corresponde al Órgano Contralor orientar y direccionar las acciones que dentro de ese ordenamiento realizan la Administración Activa y la Auditoría Interna; en este caso particular, la orientación y direccionamiento que se brinde tiene como ulterior objetivo optimizar las funciones de control y fiscalización que le corresponde a cada uno de esos actores dentro del marco de competencias que la normativa vigente les asigna.

1.13 En este análisis de controles se toma en cuenta que la JPS está en un proceso de cambio debido a una reorganización institucional integral, avalada por el Ministerio de Planificación Nacional y Política Económica (MIDEPLAN), que pretende la consolidación de cuatro Gerencias de Área y la adopción de un nuevo enfoque de procesos.

2 RESULTADOS Idoneidad, suficiencia y oportunidad de los controles relacionados con los

sorteos de loterías tradicionales y electrónicas

2.1 La gestión de loterías, visualizada en forma integral, implica la realización de procesos tan variados como la generación de productos, mercadeo, comercialización, realización de sorteos, pago de premios y liquidaciones, cuyo propósito final es poner a disposición del público consumidor, un producto atractivo, capaz de generar utilidades que luego se traduzcan en financiamiento para el desarrollo de programas o proyectos de apoyo a los sectores sociales más necesitados de la ayuda estatal. Uno de los procesos que entrañan mayor riesgo es precisamente la realización de los sorteos de las diferentes loterías, de ahí la importancia de analizar la idoneidad, suficiencia y oportunidad de los controles implementados en esta materia. El análisis realizado sobre la calidad de esos controles, mostró los siguientes resultados:

Debilidades de control detectadas en el proceso de devolución de lotería tradicional no retirada de las Agencias Bancarias

2.2 La lotería tradicional que no es retirada de las Agencias Bancarias por sus adjudicatarios, debe ser enviada a la JPS para su necesaria destrucción o inutilización antes de los sorteos, de acuerdo con lo estipulado en el artículo 6 del Reglamento a la Ley de Loterías N.° 7395 y sus reformas2:

“Artículo 6.- Los billetes correspondientes a sorteos suprimidos o los que

2 Emitido según Decreto Nº 28529-MTSS-MP del 17 de marzo de 2000.

BORRADOR

5


no hayan sido vendidos de cualquier sorteo, deben ser destruidos o inutilizados de modo que no ofrezcan ninguna posibilidad de fraude, antes de la fecha y de la hora señaladas para el sorteo de que se trate. De estas operaciones se levanta acta detallada que suscriben el Jefe de Revisión y Control, el Director de Producción y Ventas o sus representantes y el Auditor Interno o su representante, en calidad de fiscalizador. En el acta se indica el medio empleado para la inutilización de los billetes, el sorteo a que corresponden, su numeración y la cantidad de billetes anulados, así como cualquier otro extremo que se considere de interés.”.(El subrayado es nuestro)

2.3 Al respecto, se determinó que esa lotería se destruye en las oficinas centrales de

la JPS, en fechas posteriores al sorteo. La situación expuesta, potencia el riesgo de eventuales fraudes, ante la posibilidad de que una vez realizado el sorteo, algún billete premiado sea sustraído y presentado en forma dolosa para su cambio, lo cual es precisamente el riesgo que pretende administrar la norma citada.

2.4 Por otra parte, el análisis detallado del procedimiento establecido para la destrucción de esta lotería, permitió conocer que las Agencias Bancarias la envían en paquetes cerrados y sellados, identificados con número, nombre del adjudicatario y lugar de donde proviene, dentro de una tula marchamada. La información del número de paquete es incluida por el Departamento de Administración de Loterías en un sistema automatizado para generar un informe o acta de destrucción, que luego es utilizado para la revisión y posterior destrucción de esa lotería no retirada de las Agencias Bancarias.

2.5 Dentro de esta lotería, existe probabilidad de que se incluya lotería premiada, evento en el cual, se identifican y detallan en el informe citado los billetes o enteros de lotería que presentan esa condición. No obstante, se determinó que no se realiza una verificación de que esa lotería premiada esté íntegramente contenida dentro de los lotes de lotería a destruir, ya que la revisión se efectúa por lotes, verificando la presencia del primer y último número de cada serie de billetes remitida y no los billetes en forma individual. Esta situación, en conjunto con el hecho de que el proceso de revisión y destrucción de la lotería devuelta por las Agencias Bancarias se realiza con posterioridad a los sorteos, maximiza el riesgo de que se presenten eventuales sustracciones o sustituciones indebidas de billetes premiados para su cobro, en perjuicio de las arcas de la JPS.

2.6 Sobre el particular, la norma 4.1 de las Normas de Control Interno para el Sector Público (N-2-2009-CO-DFOE), emitidas el 26 de enero de 2009, establecen que el jerarca y los titulares subordinados deben diseñar, adoptar, evaluar y perfeccionar, como parte del Sistema de Control Interno (SCI), las actividades de control

BORRADOR

6


pertinentes, las que comprenden políticas, procedimientos y los mecanismos que contribuyen a asegurar razonablemente la operación y el fortalecimiento del SCI y el logro de los objetivos institucionales, actividades que deben ser dinámicas, de naturaleza previa, concomitante, posterior o una conjunción de ellas, que le permitan la detección y corrección de debilidades de control respecto de los objetivos, así como ante indicios de la eventual materialización de un riesgo relevante.

Inexistencia de acuerdos de confidencialidad para el manejo de archivos digitales de artes gráficas

2.7 En la Sección de Arte y Texto perteneciente al Departamento de Producción, es donde se crean y manejan los archivos digitales de las artes gráficas de los billetes correspondientes a los diferentes sorteos de loterías impresas de la JPS. Antes de los sorteos estas artes son destruidas por personal de ese Departamento, bajo la fiscalización de la Auditoría Interna, para lo cual se firma un acta denominada “Acta liquidación archivos digitales”.

2.8 Para citar un ejemplo, en el Acta No. 052-2013 se hace constar que el día 19 de diciembre de 2013 se presenta a la Auditoría Interna la totalidad del contenido del disco duro externo LACIE 2, de los sorteos Lotería Nacional (4270), Chances (5900-5901), y Tiempos (2373-2374-2375), encontrados bajo custodia de Sección de Arte y Texto, fiscalizando la Auditoría Interna su borrado; asimismo, se verificó el contenido del disco duro de cada máquina Mac Pro #1, Mac Pro #2 y Mac Pro #3. El acta de destrucción es firmada por los funcionarios en referencia.

2.9 No obstante que el mecanismo de control descrito se considera satisfactorio, los funcionarios que tienen acceso a los archivos digitales de las artes gráficas de los sorteos de las loterías no firman ningún documento donde se comprometen a salvaguardar, preservar la confidencialidad de dicha información, protegerla contra uso, divulgación o modificación no autorizados, daño o pérdida u otros factores disfuncionales que se presenten desde el momento de su creación hasta el momento de su destrucción en la Sección de Arte y Texto.

2.10 Según lo indicado por la Jefatura del Departamento de Producción, el debido cuidado para salvaguardar esta información está implícito en las funciones que debe cumplir el personal que está a cargo de su utilización y del acceso a los equipos, y que estas funciones las tienen únicamente los diseñadores que laboran en la Sección de Arte y Texto.

2.11 Sobre el particular, es importante señalar que este tipo de información, por su sensibilidad, debe estar protegida con un acuerdo de confidencialidad, que

BORRADOR

7


proporcione una mayor protección contra el riesgo de divulgación o uso no autorizado de la información.

2.12 Sobre este tema, las Normas técnicas para la gestión y el control de las Tecnologías de Información (N-2-2007-CO-DFOE)3 establecen lo siguiente:

“1.4.2 Compromiso del personal con la seguridad de la información / El personal de la organización debe conocer y estar comprometido con las regulaciones sobre seguridad y confidencialidad, con el fin de reducir los riesgos de error humano, robo, fraude o uso inadecuado de los recursos de TI. / Para ello el jerarca, debe: / (…) c. Establecer, cuando corresponda, acuerdos de confidencialidad y medidas de seguridad específicas relacionadas con el manejo de la documentación y rescisión de contratos.”.(el subrayado es nuestro)

2.13 Lo anterior, en procura de que la Institución garantice de manera razonable

la confidencialidad e integridad de información que no sólo podría ser utilizada para la comisión de un eventual fraude, sino que su uso indebido provocaría un efecto negativo en la imagen de la Institución, lo cual incidiría directamente en la credibilidad y transparencia de los juegos y por consiguiente, en las utilidades que generan.

Debilidades de control detectadas en la actividad de pesaje que precede la

realización de los sorteos de lotería electrónica

2.14 Los sorteos de las loterías electrónicas de los productos Lotto y Nuevos Tiempos se realizan mediante el uso de máquinas que funcionan con sistemas de aire, cuya función es impulsar bolitas de polímero numeradas para que éstas se mezclen entre sí, en forma aleatoria, hasta que una cantidad previamente definida de ellas se ubica en depósitos especiales para definir las combinaciones ganadoras.

2.15 Según los criterios externados por la Gerencia General y la Gerencia de Producción y Comercialización de la JPS, por las características propias de este mecanismo, resulta vital para la transparencia y credibilidad de los sorteos, mantener el peso controlado de esas bolitas, máxime que ese peso podría variar con el tiempo, dado el impacto que sufren al ser expulsadas por el sistema de aire, e inclusive, por el roce natural que se da entre ellas, en cada sorteo que se realiza.

3Aprobada mediante Resolución del Despacho de la Contraloría General de la República, N° R-CO-26-2007

del 7 de junio de 2007, publicada en la Gaceta N° 119 del 21 de junio de 2007.

BORRADOR

8


2.16 Como se desarrolla en los párrafos siguientes, en el estudio realizado se observaron debilidades de control interno en la actividad de pesaje de bolitas de polímero. Tales debilidades se refieren a la definición de criterios de evaluación para el pesaje, a la identificación de los usuarios que administran el sistema de pesaje de bolitas, al monitoreo de los cambios realizados por los usuarios del mismo y a la labor de mantenimiento preventivo que debe recibir el equipo que se utiliza en esta actividad.

a) Administración del control de la actividad de pesaje de bolitas de polímero.

2.17 Para la actividad de pesaje se cuenta con la participación de un representante de

la Gerencia General, Gerencia de Producción y Comercialización, Auditoría Interna y un Asistente de Loterías, los cuales firman un acta donde se hace constar el peso de las bolitas.

2.18 La frecuencia del pesaje, según información aportada por la Jefatura del Departamento de Sorteos, es la siguiente: las bolitas de polímero que se usan en el juego Lotto, se pesan antes de cada sorteo, dos veces por semana los días miércoles y sábado a las 6:55 pm, y en el caso del juego de Nuevos Tiempos, el pesaje de las bolitas se realiza previo a la realización de cada sorteo, todos los días, dos veces al día, a las 12:55 pm y a las 6:55 pm.

2.19 Para la labor de pesaje de estas bolitas, la JPS invirtió en la adquisición de un equipo administrado por el software denominado “Ball Manager”. Los usuarios que administran este sistema son el Jefe de Sorteos y los funcionarios del Departamento de Informática. Las bolitas de polímero tienen un dispositivo (tag4) instalado, que es reconocido por el sistema “Ball Manager”, para la determinación automática del peso de la bolita, el cual genera una alerta si el peso no corresponde con el parámetro que se tiene registrado.

2.20 Sobre la referida actividad de pesaje de bolitas de polímero se observa un procedimiento establecido, sin embargo, en lo que se refiere a los parámetros de evaluación sobre el peso ideal que deben tener las bolitas y las desviaciones máximas sobre ese peso, no se encontraron los criterios debidamente oficializados y adoptados formalmente por la Administración. Al respecto, el Jefe de Sorteos indicó que el proveedor recomienda desviaciones respecto del peso de fábrica, a lo que se denomina “porcentaje de tolerancia5”, cuyo valor no debería sobrepasar el 10%, sin embargo en la práctica se observó que el sistema de pesaje tiene registrado un porcentaje de tolerancia del 5% sin que se haya

4Etiqueta que contiene información electrónica que identifica a cada bolita

5Diferencia porcentual entre el peso de fábrica y el peso real de las bolitas de polímero.

BORRADOR

9


documentado un sustento técnico para esta definición.

2.21 Lo señalado constituye inobservancia a las disposiciones del artículo 15 inciso a) de la LGCI, que establece la responsabilidad del jerarca y de los titulares subordinados de documentar, mantener actualizados y divulgar internamente las políticas, las normas y los procedimientos de control que garanticen el cumplimiento del sistema de control interno institucional y la prevención de todo aspecto que conlleve a desviar los objetivos y las metas trazados por la institución en el desempeño de sus funciones.

b) Administración de usuarios y monitoreo de cambios del Sistema “Ball Manager”

2.22 Aunque el sistema “Ball Manager” tiene registrado un porcentaje de desviación

menor al recomendado por el proveedor y esta práctica podría calificarse como positiva, en el tanto genera rangos más estrechos de tolerancia, esto no se puede garantizar pues se determinó que dicho porcentaje se puede modificar de una manera poco controlada. Lo anterior, por cuanto el Departamento de Tecnologías de Información no gestiona una adecuada identificación de los usuarios que administran el sistema de pesaje de bolitas de polímero.

2.23 Al respecto, se determinó que existen usuarios del Sistema “Ball Manager” calificados como “Administradores”, con acceso total, pero que utilizan una clave de usuario genérica denominada “Soporte de Sistemas”, lo que conlleva el riesgo de que alguna de estas personas genere cambios en los niveles de tolerancia de las bolitas de polímero, sin que se pueda establecer cuál de ellas en particular realizó ese cambio.

2.24 El riesgo representado por la debilidad comentada, se maximiza por el hecho de que, aun cuando se tuviera identificados todos los usuarios del sistema mediante claves personalizadas, el Departamento de TI no realiza monitoreo de los cambios realizados por los usuarios del sistema.

2.25 Las debilidades señaladas, constituyen inobservancia de las Normas técnicas para la gestión y el control de las Tecnologías de Información (N-2-2007-CO-DFOE), que al respecto establecen lo siguiente:

“1.4.5 Control de acceso / La organización debe proteger la información de accesos no autorizados. Para dicho propósito debe: / (…) f. Implementar el uso y control de medios de autenticación (identificación de usuario, contraseñas y otros medios) que permitan identificar y responsabilizar a quienes utilizan los recursos de TI. Ello

BORRADOR

10


debe acompañarse de un procedimiento que contemple la requisición, aprobación, establecimiento, suspensión y desactivación de tales medios de autenticación, así como para su revisión y actualización periódica y atención de usos irregulares. / (…) j. Establecer los mecanismos necesarios (pistas de auditoría) que permitan un adecuado y periódico seguimiento al acceso a las TI.”.

c) Mantenimiento preventivo del equipo de pesaje de bolitas de polímero

2.26 Se solicitó información sobre la fecha de adquisición e implementación del

Sistema “Ball Manager” y la documentación que evidenciara las gestiones de mantenimiento correctivo y preventivo del equipo, comprobándose que el equipo se adquirió desde julio del año 2010 y, según indicaciones del Jefe del Departamento de Informática de la JPS, no se realiza mantenimiento preventivo, solo correctivo cuando éste lo requiere.

2.27 Lo anterior, constituye incumplimiento de las Normas técnicas para la gestión y el control de las Tecnologías de Información (N-2-2007-CO-DFOE), que sobre este tema establecen lo siguiente:

“1.4.6 Seguridad en la implementación y mantenimiento de software e infraestructura tecnológica. / La organización debe mantener la integridad de los procesos de implementación y mantenimiento de software e infraestructura tecnológica y evitar el acceso no autorizado, daño o pérdida de información. / Para ello debe: / (…) b. Contar con procedimientos claramente definidos para el mantenimiento y puesta en producción del software e infraestructura.”.

2.28 Las debilidades señaladas en los apartes a), b) y c) anteriores inciden

negativamente en la eficacia del control y por lo tanto, podrían causar una pérdida en la credibilidad y transparencia con la que se realizan los sorteos de este tipo de loterías, de ahí la necesidad de que se realice un replanteamiento del proceso de pesaje de bolitas de polímero.

Ausencia de pruebas y capacitaciones en materia de tecnologías de información que aseguren la continuidad del negocio

2.29 La Junta de Protección Social, en cuanto al entendimiento de los riesgos, vulnerabilidades y amenazas a las operaciones de tecnologías de información (TI) o del impacto en el negocio por la pérdida de los servicios de TI, no ha completado el ciclo de “Gestión del Plan de Continuidad de negocio” que inicia con la definición de políticas de la gestión de continuidad de negocio, estándares

BORRADOR

11


y procedimientos y continúa con análisis de impacto de negocio, evaluación de riesgos, documentación de responsabilidades y finaliza con la planeación de pruebas, proceso que retroalimenta de nuevo el ciclo para adaptar cada uno de estos procesos a la realidad de la Institución, según se visualiza en el siguiente diagrama:

2.30 En este sentido, se encontró que la JPS ha realizado esfuerzos relacionados con el establecimiento de políticas y procedimientos sobre este tema, además se han documentado análisis de impacto de sus operaciones, identificación de sistemas críticos y adquisición de sitios alternos de procesamiento; no obstante no se han realizado pruebas, ni capacitaciones que integren toda la gestión de continuidad de negocios y que permitan probar el funcionamiento del sitio alterno de procesamiento para asegurar la funcionalidad de las copias de seguridad de los datos que alimentarían el ambiente productivo.

2.31 Lo anterior, a pesar de que la política de Continuidad de TI, establecida por el Departamento de Tecnologías de Información en el Manual de Políticas de Administración de Tecnologías de Información de la JPS señala lo siguiente:

“Pruebas/ El Encargado de Continuidad deberá ejecutar pruebas de la infraestructura tecnológica crítica al menos una vez al año. /El Encargado de Continuidad elaborará un plan de pruebas de los componentes críticos al menos una vez al año y será aprobado por la

BORRADOR

12


jefatura del área de TI. /El Encargado de Continuidad con el apoyo del equipo de recuperación ejecutará las pruebas de continuidad de acuerdo al nivel de madurez del proceso de continuidad, ya sea desde la ejecución de pruebas de escritorio hasta pruebas de punta a punta. /Las pruebas de continuidad no deben interferir con la operación normal del negocio. El Encargado de Continuidad deberá incluir como oportunidad de mejora los hallazgos identificados en la ejecución de cada prueba.”. “Capacitaciones /El Encargado de Continuidad deberá capacitar al menos una vez al año al personal partícipe del proceso de continuidad de TI y sensibilizar al personal del área de TI sobre el proceso de continuidad./ En las capacitaciones se debe incluir los resultados de las pruebas ejecutadas en el último período.”.

2.32 Sobre este tema, las Normas técnicas para la gestión y el control de las

Tecnologías de Información (N-2-2007-CO-DFOE), establecen lo siguiente:

“1.4.7. Continuidad de los Servicios de TI / La organización debe mantener una continuidad razonable de sus procesos y su interrupción no debe afectar significativamente a sus usuarios. Como parte de ese esfuerzo debe documentar y poner en práctica, en forma efectiva y oportuna, las acciones preventivas y correctivas necesarias con base en los planes de mediano y largo plazo de la organización, la evaluación e impacto de los riesgos y la clasificación de sus recursos de TI según su criticidad.”.

2.33 Además las buenas prácticas en Tecnologías de Información según COBIT6, en su

Objetivo de Control DS4-Garantizar la Continuidad del Servicio, y sus actividades

de control-DS4.5 Pruebas del Plan de continuidad establecen:

“Probar el plan de continuidad de TI de forma regular para asegurar que los sistemas de TI pueden ser recuperados de forma efectiva, que las deficiencias son atendidas y que el plan permanece aplicable. Esto requiere una preparación cuidadosa, documentación, reporte de los resultados de las pruebas y, de acuerdo con los resultados, la implementación de un plan de acción. Considerar el alcance de las pruebas de recuperación en aplicaciones individuales, en escenarios de pruebas integrados, en pruebas de punta a punta y en pruebas

6 Por sus Siglas en inglés COBIT (Control Objective for Information Technology). Marco de referencia para la

implementación de un mejor gobierno y gestión de Tecnologías de Información.

BORRADOR

13


integradas con el proveedor.”

2.34 Lo comentado debe ser atendido por la Administración Activa, ya que ante la interrupción casual o dolosa de los servicios de tecnologías de información, existe el riesgo de que los procesos críticos de la JPS no puedan recuperarse bajo los niveles de servicio requeridos, lo cual podría limitar la consecución de los objetivos institucionales y originar eventuales pérdidas económicas.

Análisis de los roles que desempeñan la Auditoría Interna y la Administración

Activa en la realización de los controles relacionados con los sorteos de loterías tradicionales y electrónicas

2.35 Los órganos del Sistema de Control Interno (SCI) que define la Ley General de

Control Interno, No. 8292, emitida el 18 de julio de 2002, en adelante (LGCI), son la Administración Activa y la Auditoría Interna, según lo establecido en el artículo 9 de esa normativa.

2.36 Esta Ley, en su artículo 10, establece que le corresponde a la Administración Activa, concretamente al jerarca y a los titulares subordinados, la responsabilidad de establecer, mantener, perfeccionar y evaluar el sistema de control interno institucional, así como realizar las acciones necesarias para garantizar su efectivo funcionamiento. Esta obligación está reiterada en las Normas de Control Interno para el Sector Público (N-2-2009-CO-DFOE)7, según lo establecido en los apartes 1.4 y 1.5; además, el aparte 1.7 señala que el jerarca y los titulares subordinados, según sus competencias, deben disponer y ejecutar un proceso periódico, formal y oportuno de rendición de cuentas sobre el diseño, el funcionamiento, la evaluación y el perfeccionamiento del SCI ante los diversos sujetos interesados.

2.37 La Auditoría Interna es un órgano de control cuya responsabilidad es brindar servicios orientados a fortalecer el SCI, de una manera independiente, objetiva y asesora, que garantice a la ciudadanía una garantía razonable de que las actuaciones del jerarca y del resto de la administración activa se ejecutan de acuerdo con el marco legal y técnico y con apego a sanas prácticas. Lo anterior, se encuentra dispuesto de esta forma en el artículo 21 de la LGCI y en el aparte 1.6 de las Normas de control interno para el Sector Público (N-2-2009-CO-DFOE).

2.38 Es decir; el mantenimiento, perfeccionamiento y la evaluación del SCI son tareas que corresponden a la Administración Activa, y a la Auditoría Interna le corresponde velar porque los controles que han establecido el jerarca y los titulares subordinados sean los necesarios, suficientes y adecuados para que el

7Aprobadas mediante Resolución del Despacho de la Contralora General de la República No. R-CO-9-2009

del 26 de enero de 2009.

BORRADOR

14


SCI sea el idóneo, en apego al ordenamiento jurídico y técnico aplicable.

2.39 Por lo anterior, la LGCI, en su artículo 34, prohíbe expresamente al Auditor Interno, Subauditor Interno y demás funcionarios de la Auditoría Interna, el realizar funciones y actuaciones de administración activa, salvo las necesarias para cumplir su competencia; por lo cual, ésta no debe ser parte de la evaluación permanente que le corresponde a la Administración Activa sobre el SCI, sino que debe realizar evaluaciones independientes en función de la asesoría que le corresponde brindar al nivel superior sobre la suficiencia e idoneidad de ese SCI, tal como lo señalan el artículo 25 de la LGCI y el aparte 1.1.3 de las Normas para el Ejercicio de la Auditoría Interna del Sector Público, emitidas según Resolución No. R-DC-119-2009 del 16 de diciembre del 2009.

2.40 Como parte de la presente auditoría, se realizaron inspecciones para verificar la realización de algunos de los procesos de control “ex ante” y “durante” los sorteos de loterías electrónicas y tradicionales, con el propósito de analizar los roles que en esos procesos desempeñan tanto la Auditoría Interna como la Administración Activa y determinar si se da cumplimiento a la normativa de cita. Al respecto, se determinó que la Auditoría Interna participa en forma activa en la realización de algunos controles que de conformidad con la normativa corresponden a la Administración Activa, los cuales culminan con la firma conjunta de actas entre los funcionarios de la Auditoría Interna y la Administración, situación que, en criterio de este Órgano Contralor, comprometen la independencia funcional de ese órgano de control, según lo que se explica de seguido:

2.41 a) Armado de ficheros: Este es un proceso que se realiza previo a los sorteos de loterías tradicionales para asegurar que la totalidad de los números y series serán incluidos en las esferas de donde se extraerán las combinaciones ganadoras. En esta actividad participa un representante de la Gerencia General, un representante de la Gerencia de Producción y Comercialización, el armador de ficheros del Departamento de Sorteos y un representante de la Auditoría Interna, quienes al final firman el acta respectiva. La actividad es iniciada por el armador de ficheros quien en conjunto con los demás participantes verifica los marchamos de la tula que contiene tanto las bolitas de números como las de las series. El armador de ficheros saca las bolitas de madera del 01 al 99 y las coloca en un fichero en su debido orden y los demás participantes revisan que las haya colocado bien y se coloca el marchamo de cierre, el cual también se verifica.

Luego este funcionario y el de Sorteos sacan las bolitas de madera de series del

BORRADOR

15


000 al 999, las cuales son separadas en unos cajones que van de 100 en 100, es decir en el primer cajón del 000 al 099, en el segundo cajón del 100 al 199 y así sucesivamente, labor en la que se observó participa el funcionario de la Auditoría Interna. Finalmente se realiza la verificación del acomodo de bolitas en los ficheros y de los marchamos de cierre. Del procedimiento descrito se concluye que el representante de la Auditoría interna participa en forma activa en la ejecución del control en toda la actividad, no solo porque interviene en el acomodo de las bolitas de series, sino porque además firma en conjunto con los representantes de la Administración Activa el acta que acredita la realización del control.

2.42 b) Realización de los sorteos de Lotería Nacional y Popular: Participa un representante de la Gerencia General, un representante de la Gerencia de Producción y Comercialización, un representante de la Auditoría Interna y el Juez Contravencional, funcionarios que firman un acta sobre la realización del sorteo y una lista oficial de premios. Además, una digitadora, personal de apoyo de Informática y dos presentadores del sorteo. Durante el sorteo se deben de realizar varios procedimientos en el Sistema Informático de la JPS, en los cuales participan los representantes en mención. De acuerdo con pruebas informáticas realizadas en un ambiente de pruebas, que es copia fiel del ambiente de producción, se determinó que la Auditoría Interna debe ingresar al sistema informático del sorteo en diferentes momentos del mismo para realizar verificaciones de datos, sin que el sorteo pueda seguir su marcha hasta que el representante de Auditoría otorgue el respectivo “clic” de fiscalización, con lo cual, dicha instancia participa en aprobaciones para que el proceso de los sorteos se pueda dar como tal, en cuyo caso la Auditoría de la JPS se constituye en parte activa del proceso de aprobación de los sistemas administrativos de los sorteos que se realizan. Además, se observó que en los Sorteos de Lotería Nacional y Popular el representante de la Auditoría interna también participa en forma activa en la ejecución del control, y luego de la realización de los sorteos, en conjunto con los demás participantes, acomoda las bolitas de madera en los ficheros para su posterior resguardo. Al final de estos sorteos y como fue indicado, el funcionario de Auditoría Interna firma el acta respectiva y la lista oficial de premios, junto con los representantes de la Administración, responsabilizándose con ellos de la ejecución del control.

BORRADOR

16


2.43 c) Sorteos de lotería electrónica Lotto y Nuevos Tiempos: Participan un representante de la Gerencia General, un representante de la Gerencia de Producción y Comercialización, un representante de la Auditoría Interna y el Juez Contravencional, quienes firman el acta respectiva. Además, participa una digitadora, personal de apoyo de informática y dos presentadores del sorteo. Las pruebas citadas en el aparte anterior resultaron aplicables al control que se realiza en estos sorteos, lo que igualmente demostró la participación de la Auditoría interna en las labores de control que corresponden a la Administración Activa y la firma del acta en conjunto con estos funcionarios, con la única diferencia de que se realiza un proceso adicional de ingreso de datos los cuales son verificados en este segundo proceso por la Administración Activa, sin que participe la Auditoría Interna de autorizaciones previas.

2.44 d) Reconocimiento de bolitas de polímero: Participan un representante de la Gerencia General, un representante de la Gerencia de Producción y Comercialización, un representante de la Auditoría Interna y el Juez Contravencional. De este control no se firma un acta, sin embargo en esta actividad se observó que el representante de la Auditoría Interna coloca cada bolita en el lector óptico, el funcionario judicial las recibe y las deposita en cada uno de los cinco cargadores y cierra cada uno de ellos. Como requisito para la realización de esta actividad de control, dichos funcionarios deben ponerse guantes de látex. El objetivo de esta actividad, según lo establecido en el Manual de Procedimientos “Sorteos de las diferentes Loterías” es establecer que cada una de las bolitas de polímero colocadas en la lectora óptica del Sistema Automatizado de Sorteos coincida con la información almacenada en la base de datos, con lo cual también se evidencia la participación activa de la Auditoría Interna en el control que le compete realizar a la Administración Activa.

2.45 e) Proceso de destrucción de lotería devuelta por los adjudicatarios, denominado “Compra de excedentes”: En esta actividad participa un representante de la Gerencia General, un representante de la Gerencia Administrativa y Financiera, un representante de Tesorería y un representante de la Auditoría Interna, quienes firman el acta respectiva. El proceso de compra de excedentes se desarrolla en tres subprocesos y como se puede observar de la siguiente explicación, la Auditoría interna forma parte del proceso de control de la Administración Activa, el cual culmina con la firma del acta en conjunto con los representantes de la Administración Activa, lo que acredita la realización del control.

BORRADOR

17


Subproceso 1 Recibo de la lotería por parte de los cajeros La compra de excedentes inicia en Tesorería, en el momento en que el vendedor se hace presente a las cajas para la respectiva devolución, para lo cual el cajero accesa el Sistema de Loterías denominado “Módulo Compra de Excedentes” y con base en la identificación del vendedor, el sistema despliega el dato de la lotería que el mismo vendedor retiró. El cajero cuenta la lotería devuelta y detalla el dato resultante en ese sistema, el cual genera una nota de crédito en original y una copia, entregando el original al vendedor y se deja la copia, que luego adjunta a la lotería recibida. El cajero mantiene la lotería dentro del cubículo asignado para sus labores hasta que se da el aviso respectivo para pasarla a destrucción, en cuyo caso la lotería es retirada de los cubículos de los cajeros por un auxiliar de la compa de excedentes, el cual procede a su traslado a la sala de destrucción. Subproceso 2 Destrucción de la lotería devuelta En la sala de destrucción se encuentra el personal de la Auditoría Interna, el cual recibe la lotería que es trasladada de Tesorería. Los auditores verifican los datos consignados en el recibo emitido por el cajero como: cantidad de fracciones, firma, número del cajero y otros datos. Hecha la verificación, el auditor firma el recibo. Si los auditores detectan diferencias informan al Supervisor de Auditoría, se verifica la lotería y luego informan al Supervisor encargado de la Compra de Excedentes del Departamento de Tesorería, para que sea verificada nuevamente. El auditor anota al pie del recibo el tipo de diferencia (faltante o sobrante) y la cantidad de fracciones y firma el recibo. En Tesorería se confecciona una boleta sea faltante o sobrante, copia de la cual es entregada a la Auditoría Interna. Luego el auditor deposita la lotería en los recipientes destinados para tal fin, para su respectiva destrucción. Un representante de la Gerencia General (Revisión y Control) toma la lotería y la traslada a la máquina trituradora que se encuentra en el mismo recinto, donde se encuentra otra persona de la Administración que le ayuda a introducirla a la máquina trituradora, la cual expulsa la lotería triturada por donde la recibe un supervisor de la Auditoría Interna, quien verifica que quede bien triturada, de lo contrario devuelve los pedazos que considere necesarios para que sean triturados nuevamente. Subproceso 3 Cierre de cajeros, cierre final y firma del acta de destrucción de lotería En caso de que proceda, el cajero de Soporte Técnico confecciona la diferencia en el sistema y la entrega al cajero que recibió la lotería devuelta (sobrante o faltante), para su firma de conformidad. Al finalizar la revisión el cajero realiza el

BORRADOR

18


cierre de caja y se traslada al Área de Soporte donde entrega los recibos por tipo de lotería, cierre de caja, cinta sumatoria de todo lo recibido y firma en la lista de control de asistencia a la compra de excedentes. Los funcionarios de la Auditoría Interna realizan un cierre por cajero, el cual trasladan al Supervisor de la Auditoría. Los supervisores de Auditoría llaman a cada cajero para cotejar el cierre que hizo el cajero, con el cierre realizado por los Auditores, por cada tipo de lotería. Se confrontan los datos del cierre de caja de Tesorería con los datos del Auditor y si todo está correcto, el cajero entrega el recibo al Supervisor de la Compra de Excedentes del Departamento de Tesorería para proceder a realizar el cierre y a la elaboración de las Actas de Compra de Excedentes. Luego los funcionarios de la Auditoría Interna realizan un cierre final. El representante del Departamento de Tesorería entrega las Actas de Compra de Excedentes por tipo de lotería al Supervisor de Auditoría. Los funcionarios de auditoría encargados de los cierres generales le comunican a los supervisores de auditoría los siguientes datos: a) el monto bruto total devuelto, b) el descuento a vendedores, c) el monto neto de la devolución, d) la cantidad de recibos. Los supervisores de auditoría cotejan la información obtenida en los cierres generales por tipo de lotería con la consignada en las Actas de Compra de Excedentes respectivas. Los supervisores de auditoría firman el acta de la compra de excedentes e inmediatamente lo hacen los representantes de la Gerencia General, Gerencia Administrativa y Financiera, y del Departamento de Tesorería. El supervisor de auditoría recibe una copia de cada Acta de Compra de Excedentes, del resumen de cajeros por cada tipo de lotería, de los faltantes, sobrantes y recibos anulados si los hubiera. El cajero deberá asumir las diferencias por concepto de faltantes en lotería nacional, popular, tiempos e instantánea y cancelarlas al día siguiente de la devolución.

2.46 f) Destrucción de lotería no vendida y mal impresa: En estas actividades participa un representante de la Gerencia General (Revisión y Control), un representante del Despacho de Loterías y el (los) representante(s) de la Auditoría Interna, todos los cuales firman un acta. En las visitas efectuadas a estas dos actividades, se observó que los representantes de la Auditoría Interna participan activamente en labores de control o evaluación establecidas para la verificación física de la lotería, la cual debe coincidir con lo indicado en el acta de destrucción. Al final el guillotinista es el que destruye la lotería, con la participación visual y física de los representantes de la Auditoría Interna, Revisión y Control y del Despacho de Loterías. Del procedimiento descrito se concluye que el representante de la Auditoría interna participa en forma activa en la ejecución del control en toda la actividad y además firma en conjunto con los

BORRADOR

19


representantes de la Administración Activa el acta que acredita la realización del control.

2.47 Ahora bien, es importante explicar que los representantes de las Unidades Administrativas que participan en los referidos procesos son denominados por la Administración Activa como “fiscalizadores”, en virtud de la labor que realizan del SCI en los procesos de control ex ante y durante los sorteos. Los funcionarios de la Auditoría Interna, representados en su auditor, subauditor y demás funcionarios, no pueden ser un fiscalizador más de los procesos de control, en los mismos términos que lo define la Administración Activa, ya que como ha sido reiteradamente expuesto, esto lo señala como prohibitivo el artículo 34 de la LGCI.

2.48 Cabe aclarar que los funcionarios de la Auditoría Interna, según las competencias que les otorga la normativa de control interno vigente, pueden asistir a cualquiera de estas actividades con la frecuencia que esa misma unidad decida, pero realizando una labor de fiscalización independiente, sin participar activamente de las actividades de control y sin firmar mancomunadamente documentos con la Administración Activa, más bien los papeles de trabajo que emita como evidencia de las fiscalizaciones deben contener la fecha y las firmas del auditor que realizó el trabajo y del que lo revisó, además de especificar claramente el propósito y alcance de la prueba, descripción concisa de la labor realizada, referencias de auditoría y una breve conclusión, sea satisfactoria, parcialmente satisfactoria o insatisfactoria sobre los resultados de la misma.

2.49 La labor de fiscalización de la Auditoría Interna, según lo establecido en la normativa de control interno señalada, debe entonces obedecer a un análisis de riesgos de cada uno de los puntos de control que existan en los procesos “ex ante” y “durante” los sorteos, de manera que su asistencia será prioritaria en aquellos procesos de control de mayor riesgo residual8, para los cuales solicitará a la Administración Activa adicionar los controles necesarios para administrar ese riesgo de manera que, con la instauración de esos controles por parte del jerarca y los titulares subordinados, la Auditoría Interna puede dar prioridad a otros puntos de control riesgosos y cuando los riesgos sean moderados, establecer las fiscalizaciones de control que considere necesarias, así como revisiones posteriores para verificar que los controles recomendados han sido instaurados.

2.50 Según se observa en el Anexo N° 1, numerosa normativa interna de la JPS le establece a la Auditoría su participación permanente en los procesos de control y en la firma de actas como parte de esas actividades, lo cual estaría limitando su

8Resultante de la evaluación del riesgo de control y el riesgo inherente de las actividades de control, sin

menoscabo de la inclusión de otras variables en dicha valoración de riesgo.

BORRADOR

20


“independencia funcional”, concepto que se conoce como aquella posibilidad de desempeñar la función de auditoría interna, sin que se limite la misma con medidas administrativas9. Lo anterior además, resulta inconveniente desde la perspectiva del control, ya que inhibe la participación de la Auditoría Interna en la evaluación de controles en los que haya participado ejerciendo un rol similar al de la Administración Activa.

2.51 No obstante lo anterior y en atención al rol que debe desempeñar la Auditoría Interna dentro del sistema de control interno institucional, es importante recordar que subsiste para la Administración Activa la obligación de permitir y facilitar el acceso de la Auditoría Interna a todas aquellas actuaciones administrativas que esa unidad estime necesarias para el debido cumplimiento de sus funciones, de conformidad con el artículo 33 de la LGCI, así como en general garantizar la asignación de los recursos humanos, materiales y tecnológicos, que resulten necesarios para el adecuado ejercicio de la función de fiscalización que le compete a esa unidad de control, en cumplimiento del artículo 27 de la misma LGCI y para obviar la causal de responsabilidad administrativa establecida en el artículo 39 del texto legal en comentario, por el eventual incumplimiento de estas obligaciones.

3 CONCLUSIONES

3.1 En el estudio realizado se observaron algunas debilidades de control en la operación de las loterías, electrónicas o tradicionales, las cuales, si bien no restan credibilidad ni transparencia a dichos juegos, deben ser subsanadas para prevenir la eventual materialización de riesgos y proteger y conservar el patrimonio institucional contra cualquier afectación, según lo dispone el artículo 8, inciso a) de la Ley General de Control Interno, N.° 8292. Dichas debilidades se relacionan, entre otros temas, con el proceso de devolución de lotería tradicional no retirada procedente de Agencias Bancarias, con la seguridad en el manejo de las artes gráficas que se utilizan en la impresión de las loterías tradicional, o con el manejo de tecnologías de información.

3.2 Por otra parte, es necesario señalar que a partir de la Ley General de Control Interno, No. 8292, resulta importante la definición de los dos componentes orgánicos del Sistema de Control Interno, cuales son la Administración Activa y la Auditoría Interna, cuyos roles deben redefinirse en la JPS. A los jerarcas y

9 Criterio No. DI-CR-65 (01717) del 27 de febrero de 2003, emitido por el Centro de Relaciones para el

fortalecimiento del Control y fiscalización Superiores de la división de Desarrollo Institucional de Contraloría General de la República.

BORRADOR

21


titulares subordinados les corresponde establecer, mantener, perfeccionar y evaluar el sistema de control interno respecto de los procesos “ex ante” y “durante” los sorteos de loterías tradicionales y electrónicas, así como realizar las acciones necesarias para garantizar su efectivo funcionamiento, mientras que la Auditoría Interna es un órgano más de control que debe dar a la ciudadanía una garantía razonable de que las actuaciones del jerarca y del resto de la administración activa se ejecuta de acuerdo con el marco legal y técnico y a sanas prácticas. En este sentido, en la actualidad, en criterio de esta Contraloría General, dicha instancia realiza funciones que superan sus competencias, en aspectos como los planteados dentro del presente informe.

3.3 Como parte de la reorganización institucional por la que atraviesa esta institución es necesario que se tomen en cuenta los aspectos en mención para garantizar que la normativa de control interno se cumpla a cabalidad, en aras de que las responsabilidades que le competen a la Administración Activa, en relación con la ejecución de los sorteos de las loterías electrónicas y tradicionales administradas por la JPS, sean conforme lo establece el artículo 10 de la LGCI, así como el establecimiento de la suficiencia, idoneidad y oportunidad de los controles que ejerce la Auditoría Interna sobre dichos sorteos y la correspondencia de dichos controles con la naturaleza de sus funciones en el marco de las competencias que le asigna la Ley General de Control Interno y la normativa técnica de control aplicable y vigente.

4 DISPOSICIONES 2

4.1 De conformidad con las competencias asignadas en los artículos 183 y 184 de la Constitución Política y los artículos 12, 17 y 21 de la Ley Orgánica de la Contraloría General de la República, No. 7428, se emiten las siguientes disposiciones, las cuales son de acatamiento obligatorio y deberán ser cumplidas dentro de los plazos o términos conferidos, por lo que su incumplimiento no justificado constituye causal de responsabilidad.

4.2 Este Órgano Contralor se reserva la posibilidad de verificar, por los medios que considere pertinentes, la efectiva implementación de las disposiciones emitidas, así como de valorar la aplicación de los procedimientos administrativos que correspondan, en caso de incumplimiento injustificado de tales disposiciones.

BORRADOR

22


A la Junta Directiva de la JPS

4.3 Analizar los resultados del estudio solicitado al Gerente General y a la Auditora Interna en la disposición 4.5 de este informe y tomar el o los acuerdos que procedan para derogar o modificar toda aquella normativa que impacte de alguna forma el principio de independencia funcional de esa unidad de control. Para acreditar el cumplimiento de esta disposición, se deberá remitir una certificación del o los acuerdos respectivos, a más tardar el 30 de enero del 2015. Al respecto,véase lo comentado en los párrafos 2.35 al 2.51 de este informe.

4.4

Analizar el plan de acción y el cronograma solicitado al Gerente General y a la Auditora Interna en la disposición 4.6 de este informe, y tomar el acuerdo mediante el cual se ordene su implementación. Para acreditar el cumplimiento de esta disposición, se deberá remitir una certificación del acuerdo solicitado, a más tardar el 30 de enero del 2015. Al respecto, véase lo comentado en los párrafos 2.35 al 2.51 de este informe.

A la Licda. Doris Cheng Cheang, Auditora Interna, y al Máster Milton Vargas

Mora, en su condición de Gerente General de la JPS, o a las personas que en su lugar ocupen esos cargos.

4.5 Realizar en conjunto, un estudio integral de la normativa que regula los

diferentes controles “ex ante” y “durante” los sorteos de loterías tradicionales y electrónicas, con el propósito de que se proponga a la Junta Directiva la derogatoria o modificación de toda aquella norma que impacte de alguna forma el principio de independencia funcional de dicha unidad de control. Para la realización de dicho estudio deberá tenerse como referencia, al menos, la normativa indicada en el anexo No. 1 del presente informe. Para acreditar el cumplimiento de esta disposición se deberá remitir para trámite de aprobación a la Junta Directiva de la JPS y para conocimiento de esta Contraloría General, a más tardar el 15 de diciembre del 2014, un informe detallado de la normativa que se propone ajustar y de las razones que motivan dicha recomendación. Sobre el particular, véase lo señalado en los párrafos 2.35 al 2.51 de este informe.

4.6 Definir en conjunto, y someter a la aprobación de la Junta Directiva de la JPS, un plan de acción con su correspondiente cronograma de implementación y definición de responsables, mediante el cual la Administración Activa asuma en forma gradual los roles de control “ex ante” y “durante” los sorteos de lotería que en este momento desempeña la Auditoría Interna, de forma tal que no se lesione la suficiencia, idoneidad y oportunidad de dichos controles y se posibilite a esa unidad de control ejercer su función de fiscalización en los términos que

BORRADOR

23


dispone la Ley General de Control Interno, N.° 8292. Para acreditar el cabal cumplimiento esta disposición, deberá remitirse para la aprobación de la Junta Directiva de la JPS y para conocimiento de esta Contraloría General, a más tardar el 15 de diciembre del 2014, el plan de acción solicitado, con su respectivo cronograma y con la definición de los responsables de ejecutarlo. Sobre el particular, véase lo señalado en los párrafos 2.35 al 2.51 de este informe.

Al Máster Milton Vargas Mora, en su calidad de Gerente General de la JPS o a la persona que en su lugar ocupe el cargo

4.7 Definir e implementar los criterios de evaluación sobre el peso ideal que deben tener las bolitas de polímero y sobre las variaciones máximas que deben tener esos pesos a fin de generar mayor transparencia en los resultados de los sorteos. Para acreditar el cumplimiento de esta disposición, se deberá aportar a esta Contraloría General, a más tardar el 31 de octubre del 2014, una certificación en donde se acredite que se han definido e implementado los criterios solicitados. Al respecto, ver lo señalado en los párrafos 2.17 al 2.21 de este informe.

4.8 Emitir e implementar el plan de mantenimiento preventivo del equipo de pesaje de bolitas de polímero, plan que deberá contener, al menos, los responsables y actividades programadas. Para acreditar el cumplimiento de esta disposición, se deberá remitir a esta Contraloría General, a más tardar el 31 de octubre del 2014, una certificación en donde conste que se ha emitido el referido plan de mantenimiento y que se encuentra en fase de implementación. Sobre el particular, obsérvese lo indicado en los párrafos 2.26 al 2.27 de este informe.

Al Lic. Jorge Villalobos Fonseca, en su calidad de Gerente de Operaciones de la JPS o a la persona que en su lugar ocupe el cargo

4.9 Elaborar e implementar acciones que garanticen que la lotería devuelta por las Agencias Bancarias sea destruida o inutilizada antes de los sorteos, acorde con lo que establece el artículo 6 del Reglamento a la Ley de Loterías N.° 7395 y sus reformas. Además, será necesario en el proceso de revisión realizado por la Administración Activa hacer la verificación de la existencia en los paquetes de la totalidad de la lotería que previamente se ha identificado como “premiada”, pero que, en virtud de que fue inutilizada, “no jugó” en el sorteo. Para acreditar el cumplimiento de esta disposición se deberá remitir a esta Contraloría General a más tardar el 31 de octubre del 2014, una certificación donde consten las acciones tomadas e implementadas sobre este particular. Al respecto, véase lo comentado en los párrafos 2.2 al 2.6 de este informe.

BORRADOR

24


Al Máster Francisco Ibarra Arana, Gerente de Producción y Comercialización o a la persona que en su lugar ocupe el cargo

4.10 Emitir y suscribir acuerdos de confidencialidad entre el personal que maneja los

archivos digitales de artes gráficas de los sorteos y la Institución, para incrementar la seguridad en el manejo de esa información. Para acreditar el cumplimiento de esta disposición, deberá remitirse a esta Contraloría General, a más tardar el 31 de octubre del 2014, una certificación en la que se indique que se han emitido y suscrito todos los acuerdos de confidencialidad solicitados. Sobre el particular, véase lo señalado en los párrafos 2.7 al 2.13 de este informe.

Al Lic. Ronald Ortiz Méndez, en su calidad de Jefe del Departamento de Tecnologías de Información o a la persona que en su lugar ocupe el cargo

4.11 Emitir e implementar controles que permitan una mejora en la gestión de la

identidad de los accesos y cambios al Sistema “Ball Manager”, que contemple al menos: la asignación de usuarios personalizados y un monitoreo que permita detectar los accesos y cambios a la información e infraestructura del mismo. Para acreditar el cumplimiento de esta disposición, deberá remitirse a esta Contraloría General, a más tardar el 31 de octubre del 2014, una certificación en la que se indiquen los controles emitidos e implementados sobre este particular. Al respecto, véase lo señalado en los párrafos 2.22 al 2.25 de este informe.

4.12 Realizar pruebas periódicas al plan de continuidad de tecnologías de información

(TI) de la JPS, para asegurar que los sistemas del ambiente productivo de esa entidad, puedan ser recuperados en forma efectiva; pruebas que deberán documentarse y utilizarse como insumo para mejorar dicho plan. Asimismo, definir e implementar las actividades de capacitación al personal vinculado con el proceso de continuidad de TI. Para acreditar el cumplimiento de esta disposición, deberá remitirse a esta Contraloría General, a más tardar el 28 de noviembre del 2014, una certificación donde consten las pruebas realizadas, las mejoras implementadas a dicho plan y las capacitaciones definidas y ejecutadas sobre este proceso. Sobre el particular, véase lo comentado en los párrafos 2.29 al 2.34 de este informe.

Consideraciones Finales

4.13 La información que se solicita en este informe para acreditar el cumplimiento de las disposiciones anteriores, deberá remitirse, en los plazos y términos antes fijados, al Área de Seguimiento de Disposiciones de la Contraloría General de la República. La Administración debe designar y comunicar al Área de Seguimiento de Disposiciones, en un plazo no mayor de cinco días hábiles, el nombre, número

BORRADOR

25


de teléfono y correo electrónico de la persona que fungirá como el contacto oficial con esa Área, con autoridad para informar sobre el avance y cumplimiento de las disposiciones correspondientes. El plazo de cinco días correrá a partir de la fecha de entrega del informe. En caso de incumplimiento en forma injustificada del tiempo otorgado, podrá considerarse que se incurrió en falta grave y dar lugar a la aplicación de las sanciones previstas en el artículo 69 de la Ley Orgánica de la Contraloría General de la República, con garantía del debido proceso.

4.14 De conformidad con lo establecido por los artículos 343, 346 y 347 de la Ley General de la Administración Pública, contra el presente informe caben los recursos ordinarios de revocatoria y apelación, que deberán interponerse dentro del tercer día a partir de la fecha de su comunicación, correspondiéndole a esta Área de Fiscalización la resolución de la revocatoria y al Despacho Contralor la apelación.

4.15 De presentarse conjuntamente los recursos de revocatoria y apelación, esta Área de Fiscalización, en caso de rechazo del recurso de revocatoria, remitirá el recurso de apelación al Despacho Contralor para su resolución.

BORRADOR

26


ANEXO N° 1

NORMATIVA INTERNA QUE LE ESTABLECE PARTICIPACIÓN A LA AUDITORÍA INTERNA EN LOS PROCESOS DE CONTROL DE LOS SORTEOS DE LOTERÍAS

Norma

Reglamento a la Ley de Loterías, emitido según Decreto Ejecutivo No. 28529-MTSS-MP del 14 de marzo de 2000.

Reglamento Orgánico de la Junta de Protección Social, emitido según Decreto Ejecutivo No. 33436-MP-MTSS del 27 de noviembre de 2006.

Reglamento Interno para el reconocimiento de servicios especiales a los funcionarios que asisten a la celebración de los sorteos y a la lotería y a la recepción de excedentes de loterías, aprobado por la Junta Directiva de la JPS, mediante acuerdo IV inciso 11 del Acta No. 19-2000 de la sesión del 23 de mayo de 2000.

Reglamento para el Sorteo la Rueda de la Fortuna, publicado en La Gaceta No. 153 del 12 de octubre de 2012.

Reglamento de Nuevos Tiempos, aprobado en Sesión Ordinaria No. 17-2013, celebrada el 21 de mayo de 2013.

Reglamento de Lotto, aprobado en Sesiones Ordinarias 17-2013 y 18-2013, celebradas el 21 y 28 de mayo de 2013, respectivamente.

Reglamento de Pitazo, aprobado en Sesiones Ordinarias 17-2013 y 18-2013, celebradas el 21 y 28 de mayo de 2013, respectivamente.

Manual de procedimientos “Sorteos de las diferentes Loterías”, documento emitido en 2011 por Planificación Institucional.

Procedimientos de Sorteos de Lotería Electrónica, documento aprobado por la Gerencia General, mayo 2013.

BORRADOR

27


ANEXO N° 2

VALORACIÓN DE OBSERVACIONES AL BORRADOR DE LA AUDITORIA SOBRE LA SUFICIENCIA, IDONEIDAD Y OPORTUNIDAD DE LOS CONTROLES EN LOS SORTEOS DE

LOTERÍAS DE LA JUNTA DE PROTECCIÓN SOCIAL

Nro. Párrafos 2.2 al 2.6 Debilidades de control detectadas en el proceso de devolución de lotería tradicional no retirada de las Agencias Bancarias

Observaciones Administración

Señala la Gerencia General que, tal como lo indica CGR en el informe, la lotería tradicional no retirada en las agencias bancarias se destruye posterior al sorteo, lo que eleva el riesgo de fraude, si los billetes se sustraen dolosamente para su cambio y que existe la norma del artículo 6 del Reglamento a la Ley de Loterías que señala el deber de destrucción o inutilización de los billetes no vendidos, antes del respectivo sorteo. Sobre este punto, manifiesta la Administración Activa, que existe una imposibilidad material de destruir la lotería antes de cada sorteo, pues se trata de 13 agencias bancarias, lo que requeriría muchas personas y vehículos con consecuentes costos muy altos para la institución, cuando se tiene en su lugar un sistema de control razonable, en el sentido de que las agencias bancarias no conocen el contenido de cada paquete de lotería preparado para los vendedores, ya que este va cerrado y marchamado y la información de los paquetes no entregados por las agencias bancarias son reportados antes de la celebración de cada sorteo, por lo que el Departamento de Loterías prepara las actas de los paquetes no vendidos, donde se consignan las series, números, emisión, fracciones de los billetes no vendidos, lo que permite administrar el riesgo. De manera que se propone en sustitución de lo recomendado, que las actas confeccionadas a partir del reporte de la lotería no vendida en las agencias bancarias, se registren en el sistema de cambio de premios, para “inutilizar” los billetes, impidiendo la posibilidad de que se cambie cualquier premio directo que pueda contener alguno de esos paquetes en agencias bancarias, todo ello en concordancia con lo establecido en el artículo 6 del Reglamento a la Ley de Loterías, bajo el concepto de inutilización.

¿Se acoge? Sí

No

Parcial

Argumentos CGR

Si bien es cierto se mantiene en términos generales la redacción original del borrador del presente informe específicamente lo establecido en los párrafos del 2.2 al 2.6, sin embargo se acepta el proceso de control alterno que indica la Administración Activa, en el entendido de que la inutilización de los billetes en el sistema de cambio de premios se realice antes de cada sorteo, para dar cumplimiento a lo establecido en el artículo 6 del Reglamento a la Ley de Loterías. (Ver análisis efectuado para el párrafo 4.9 referente a la Disposición de este punto)

Observaciones Auditoría Interna

En relación con este proceso, señala la Auditoría Interna que se tiene como procedimiento identificar el envío de la lotería, el cual tiene que coincidir con el nombre del adjudicatario y la serie o series y números que se le envió a la agencia bancaria respectiva, que el muestreo que se utiliza es determinar la serie que se está devolviendo y posteriormente, observar el primer billete del número inferior y el último número superior de ese envío. Luego se determina si la serie devuelta es acreedora de un premio directo relevante y si se confirma un premio directo de importancia, se verifica que éste se encuentre dentro del paquete. Posteriormente, la Administración Activa procede a contar la lotería en las máquinas contadoras, y el cual debe coincidir con la cantidad de billetes enviados por la Agencia Bancaria. Sobre el particular, señala que dada la importancia que tiene esta actividad, la Auditoría Interna fiscaliza en sitio y realiza las pruebas aleatorias necesarias para tener la razonabilidad de la destrucción de estas loterías.

BORRADOR

28


¿Se acoge? Sí

No

Parcial

Argumentos CGR

Lo indicado por la Auditoría Interna no desvirtúa el comentario del informe respecto del tipo de revisión que llevan a cabo los funcionarios de Revisión y Control y de la Auditoría Interna, ya que como ella indica, los billetes premiados solamente se revisan si atienden a premios importantes. Es criterio de esta Contraloría General que para fortalecer este punto de control será necesario en el proceso de revisión de esta lotería, que se revise uno por uno los billetes premiados. (Ver análisis efectuado para el párrafo 4.9 referente a la Disposición de este punto)

Nro. Párrafos 2.7 al 2.13 Inexistencia de acuerdos de confidencialidad para el manejo de archivos digitales de artes gráficas


La Gerencia General indica que ciertamente no se tienen acuerdos de confidencialidad, sin embargo considera que se tiene una norma superior y de mayor efectividad, ya que el Reglamento Autónomo de Organización y Servicio de la Junta de Protección Social, contempla todo un capítulo de los deberes y obligaciones de los servidores en general y en ese capítulo, con rango de deber, se establece la obligación de guardar la debida discreción sobre lo relacionado con su trabajo cuando así se requiera por la naturaleza, así como la más absoluta reserva sobre los asuntos administrativos, que puedan causar perjuicio a los intereses de la Junta, aún después de haber cesado del cargo. Se establece asimismo un régimen disciplinario por los incumplimientos.

¿Se acoge? Sí

No

Parcial

Argumentos CGR

En cuanto a este particular, se mantiene lo establecido en los párrafos del 2.7 al 2.13, ya que si bien es cierto el Reglamento Autónomo de Organización y Servicio de la JPS establece obligaciones y deberes de los servidores institucionales, es una norma general, y en este sentido se considera necesario atender lo establecido en el aparte 1.4.2 de las Normas técnicas para la gestión y el control de las Tecnologías de Información (N-2-2007-CO-DFOE), aprobadas mediante Resolución del Despacho de la Contraloría General de la República, N° R-CO-26-2007 del 7 de junio de 2007 y publicada en la Gaceta N° 119 del 21 de junio de 2007, con el objetivo de fortalecer el control respecto del manejo de archivos digitales de artes gráficas en particular.

Nro. Párrafos 2.29 al 2.34 Ausencia de pruebas y capacitaciones en materia de tecnologías de información que aseguren la continuidad del negocio


La Gerencia General no coincide con la apreciación de que la Junta se encuentra en un nivel incipiente respecto del entendimiento de los riesgos, vulnerabilidades y amenazas a las operaciones de tecnologías de información (TI), pues como se menciona en el mismo informe, se encontró que la JPS ha realizado esfuerzos relacionados con el establecimiento de las políticas y procedimientos sobre este tema y que se ha documentado el análisis de impacto de sus operaciones, se han identificado sistemas críticos y adquisición de sitios alternos de procesamiento, de modo que lo que falta son pruebas del sitio alterno y acciones de capacitación, las cuales se están programando precisamente a partir del presente año.

¿Se acoge? Sí

No

Parcial

Argumentos CGR

Se mantiene lo establecido en los párrafos 2.30 al 2.34; sin embargo se toma en cuenta la observación efectuada por la Gerencia General sobre el calificativo de “incipiente” y se modifica el párrafo 2.29 del informe, en lo que corresponde.

Nro. Párrafos 4.9 Disposición a la Gerencia de Operaciones de “Elaborar e implementar acciones que garanticen que la lotería devuelta por las Agencias Bancarias sea destruida antes de los sorteos, acorde con lo que establece el artículo 6 del Reglamento a la Ley de Loterías N.° 7395 y sus reformas. Para

BORRADOR

29


acreditar el cumplimiento de esta disposición se deberá remitir a esta Contraloría General a más tardar el 29 de agosto del 2014, una certificación donde consten las acciones tomadas e implementadas sobre este particular. Al respecto, véase lo comentado en los párrafos 2.2 al 2.6 de este informe.”


La Administración Activa solicita considerar la alternativa dada para bloquear la posibilidad del cambio de algún billete eventualmente premiado, que se encuentre en los paquetes no vendidos remitidos a las agencias bancarias, razón por la cual la connotación de bloquear corresponde al proceso de inutilización de esa lotería no vendida.

¿Se acoge? Sí

No

Parcial

Argumentos CGR

Derivado del análisis efectuado sobre lo solicitado para los párrafos 2.2 al 2.6 del informe, se modifica la disposición aceptando parcialmente lo señalado. En este sentido la disposición quedaría como sigue: “Elaborar e implementar acciones que garanticen que la lotería devuelta por las Agencias Bancarias sea destruida o inutilizada antes de los sorteos, acorde con lo que establece el artículo 6 del Reglamento a la Ley de Loterías N.° 7395 y sus reformas. Además, en el evento en que esa lotería sea sólo inutilizada, será necesario que en el proceso de revisión y destrucción posterior al sorteo realizado por la Administración Activa, se haga la verificación de la existencia en los paquetes de la totalidad de la lotería que previamente se ha identificado como “premiada”, pero que, en virtud de que fue inutilizada, “no jugó” en el sorteo. Para acreditar el cumplimiento de esta disposición se deberá remitir a esta Contraloría General a más tardar el 29 de agosto del 2014, una certificación donde consten las acciones tomadas e implementadas sobre este particular. Al respecto, véase lo comentado en los párrafos 2.2 al 2.6 de este informe.” (El subrayado es lo que se adiciona a la disposición)

Nro. Párrafos 4.10 Disposición a la Gerencia de Producción y Comercialización de “Emitir y suscribir acuerdos de confidencialidad entre el personal que maneja los archivos digitales de artes gráficas de los sorteos y la Institución, para incrementar la seguridad en el manejo de esa información. Para acreditar el cumplimiento de esta disposición, deberá remitirse a esta Contraloría General, a más tardar el 31 de octubre del 2014, una certificación en la que se indique que se han emitido y suscrito todos los acuerdos de confidencialidad solicitados. Sobre el particular, véase lo señalado en los párrafos 2.7 al 2.13 de este informe.”.


La Administración Activa solicita considerar los comentarios externados en el sentido de que ya existe una norma superior, cual es el Reglamento Autónomo de Organización y Servicio.

¿Se acoge? Sí

No

Parcial

Argumentos CGR

Debido a que, del análisis efectuado sobre lo solicitado para los párrafos 2.7 al 2.13 del informe, las observaciones efectuadas por la Administración Activa no son de recibo, se mantienen los términos de la disposición 4.10.

Nro. Párrafos 2.45 al 2.46 Procesos de destrucción de lotería mal impresa (mácula), lotería no vendida y compra de excedentes


Específicamente señala la Auditoría Interna que si no realiza el proceso de fiscalización establecido para los procesos de destrucción de lotería mal impresa (mácula), lotería no vendida y compra de excedentes, con base en lo dispuesto en la normativa interna de la JPS y en las disposiciones y criterios emitidos por esta Contraloría General en los años 1996 y 1998, en caso de alguna anomalía se estaría exponiendo la institución a pérdidas económicas millonarias, pero sobre todo, al riesgo de pérdida de credibilidad, seguridad y confiabilidad, elementos imprescindibles en el negocio de las loterías. Además, se describen los riesgos de los procesos y el incremento en los porcentajes de devolución permitido a los adjudicatarios. También se señalan advertencias y observaciones

BORRADOR

30


realizadas por ese órgano de control a la Administración Activa y modificaciones a los controles establecidos por la misma.

¿Se acoge? Sí

No

Parcial

Argumentos CGR

a) La normativa interna citada no es de recibo por cuanto según lo indicado en el presente informe resulta inconveniente desde la perspectiva del control que la normativa interna de la JPS le establezca a la Auditoría Interna su participación permanente en los procesos de control y en la firma de actas como parte de esas actividades, porque ello limita su “independencia funcional”, concepto que se conoce como aquella posibilidad de desempeñar la función de auditoría interna, sin que se limite la misma con medidas administrativas.

10 Precisamente por esta razón se está disponiendo la revisión de la citada

normativa interna y su modificación, así como el traslado de esas funciones a la Administración Activa.

b) Las disposiciones y oficios emitidos por esta Contraloría General que aporta como criterio la Auditoría interna tampoco resulta de recibo, ya que datan de los años 1996 y 1998, es decir, fueron emitidos antes de que rigiera la normativa en la que se fundamentan los roles actuales que deben desempeñar la Auditoría Interna y la Administración Activa. (Ley General de Control Interno No. 8292, emitida el 18 de julio de 2002, las Normas de control interno para el Sector Público (N-2-2009-CO-DFOE), aprobadas mediante Resolución del Despacho de la Contralora General de la República No. R-CO-9-2009 del 26 de enero de 2009 y las Normas para el Ejercicio de la Auditoría Interna del Sector Público, emitidas según Resolución No. R-DC-119-2009 del 16 de diciembre del 2009).

c) La Administración activa de la JPS, no debe interpretar de lo indicado en el presente informe, que ello implique que la Auditoría Interna no deba ni pueda fiscalizar el proceso de destrucción de lotería mal impresa (mácula), lotería no vendida y compra de excedentes, más bien lo que señala esta Contraloría General es que esos controles en la forma en que actualmente se están realizando implican que se asuman roles que resultan en primera instancia responsabilidad de la Administración Activa de la JPS. A mayor abundamiento, resulta evidente que la Auditoría Interna de la Junta de Protección Social, puede ejercer su rol de control sobre dichos procesos y en general sobre todos los procesos de dicha Junta, pero apegados a lo establecido en la Ley General de Control Interno, No. 8292, las Normas de control interno para el Sector Público y las Normas para el Ejercicio de la Auditoría Interna del Sector Público.

d) Sobre la información de riesgos aportada, se debe decir que los riesgos señalados se refieren solamente al riesgo inherente de los subprocesos del Universo de Auditoría, al que debe incorporarse el riesgo de control, con el objetivo de visualizar el comportamiento del riesgo residual, que es con base en el cual se debe realizar la priorización de la fiscalización de ese órgano de control.

e) Por lo comentado, se mantiene lo establecido en los párrafos 2.45 al 2.46 del informe.

Nro. Párrafos 2.41 Proceso de armado de ficheros previo a la realización de los sorteos


Al igual que los otros procesos en que se cuestiona la participación de la Auditoría Interna, se insiste en que esta labor se debe llevar a cabo por la Auditoría Interna atendiendo a un principio de oportunidad y para minimizar los riesgos de pérdida de credibilidad, demandas de clientes,

10

Criterio No. DI-CR-65 (01717) del 27 de febrero de 2003, emitido p or el Centro de Relaciones para el fortalecimiento del Control y fiscalización Superiores de la división de Desarrollo Institucional de Contraloría General de la República.

BORRADOR

31


manipulación inadecuada de las bolitas y colusión de los funcionarios que realizan el proceso.

¿Se acoge? Sí

No

Parcial

Argumentos CGR

a) No se debe interpretar de lo indicado en el informe, que la Auditoría Interna no deba fiscalizar el proceso de armado de ficheros previo a la realización de los sorteos, más bien lo que señala esta CGR es que la participación de dicho órgano de control debe apegarse a lo establecido en la Ley General de Control Interno No. 8292, las Normas de control interno para el Sector Público y las Normas para el Ejercicio de la Auditoría Interna del Sector Público.

b) Sobre lo indicado de que la participación de la Auditoría Interna minimiza los riesgos de pérdida de credibilidad, demandas de clientes, manipulación inadecuada de las bolitas y colusión de los funcionarios que realizan el proceso, lo indicado no es de recibo pues la normativa citada en el inciso a) establece que el responsable del sistema de control interno es la Administración Activa y por tanto, es la que debe establecer controles para minimizar esos riesgos y que la responsabilidad de la Auditoría, como órgano de control, es valorar que los controles establecidos por la Administración Activa estén minimizando el riesgo inherente de la actividad de control y con base en el riesgo residual establecer las priorizaciones de la fiscalización a realizar.

c) Por lo comentado, se mantiene lo establecido en el párrafo 2.41 del informe.

Nro. Párrafos 2.42 y 2.43 Respecto de la realización de los sorteos


Se indica que en ningún momento la participación de la Auditoría Interna compromete la independencia funcional que debe mantener esta unidad de fiscalización y mucho menos se acepta que la labor corresponda a una coadministración en los sorteos de lotería. Se agrega que la participación de este órgano de control se da en aras de mantener la transparencia, seguridad y confiabilidad que debe prevalecer en el negocio de las loterías y en los casos en que se suscriben las actas, es porque así está contemplado en la normativa interna. Además, que la participación de la Auditoría se debe dar in situ, puesto que es ahí cuando por medio de la técnica de inspección, se fiscaliza si los controles implementados por la Administración Activa son suficientes y competentes en el proceso más relevante para la institución y que inclusive el mismo Órgano Contralor coincide en que el control implementado en la realización de los sorteos incide directamente en la credibilidad que dichos sorteos deben tener dentro del público consumidor y la normativa legal es clara al respecto. Se detalla la normativa interna con base en la cual la Auditoría Interna realiza las labores de fiscalización de los sorteos y se describen los riesgos del proceso así como la situación vigente en otros países donde la Auditoría Interna en algunos de ellos, también firma las actas de los sorteos.

¿Se acoge? Sí

No

Parcial

Argumentos CGR

En relación con este punto, se modificó parcialmente la redacción del punto 2.42, con respecto al borrador del presente informe, dada la observación realizada por esa Auditoría, específicamente en los que respecta a los conceptos de “independencia funcional” y “coadministración”, no obstante, en lo que se refiere al fondo del párrafo éste se mantiene en todos sus extremos. A mayor abundamiento:

a) No se debe interpretar de lo indicado en el presente informe, que la Auditoría Interna no deba fiscalizar la realización de los sorteos de lotería tradicional y electrónica, más bien lo que señala esta CGR es que la participación de dicho órgano de control debe apegarse a lo establecido en la Ley General de Control Interno No. 8292, las Normas de control interno para el Sector Público (N-2-2009-CO-DFOE) y las Normas para el Ejercicio de la Auditoría Interna del Sector Público, emitidas según Resolución No. R-DC-119-2009.

BORRADOR

32


b) Respecto de la participación de dicho órgano de control en los sorteos de lotería tradicional y electrónica, el informe establece su intervención en aprobaciones previas en el sistema informático del sorteo y también en el acomodo de bolitas junto con funcionarios de la Administración Activa. Sobre el primer punto se indica que se ha solicitado al Departamento de Tecnologías de Información proceder a modificar el sistema de sorteos, para lo cual se adjunta una solicitud de servicios al Departamento de Tecnologías de Información, con el objetivo de modificarlo para impedir esas aprobaciones previas de la Auditoría Interna, las que intervienen en el proceso de oficialización del resultado que realiza la Gerencia de la Institución, de manera que se le permita a la Auditoría solamente el modo de consulta. Sobre el segundo tema no se menciona ningún comentario.

c) Sobre el hecho de que este Órgano Contralor coincide en que el control implementado en la realización de los sorteos incide directamente en la credibilidad que dichos sorteos deben tener dentro del público consumidor y que la normativa legal es clara al respecto; efectivamente así es, sin embargo el establecimiento de estos controles es responsabilidad de la Administración Activa y la Auditoría Interna debe valorarlos y recomendar mejoras, no ser parte del control junto con la Administración Activa, ni sentirse responsable primaria de mantener la transparencia, seguridad y confiabilidad que debe prevalecer durante la ejecución de los mismos.

d) En cuanto a que se firman actas porque la normativa interna lo establece, esto no es de recibo por cuanto es criterio de esta Contraloría General que resulta inconveniente desde la perspectiva del control que la normativa interna de la JPS le establezca a la Auditoría Interna su participación permanente en los procesos de control y en la firma de actas como parte de esas actividades, por lo que se dispone su revisión y modificación.

e) El hecho de que la participación de la Auditoría Interna se debe dar “in situ” no es algo que cuestiona el informe.

f) El criterio de que en otros países la Auditoría Interna firma las actas del sorteo junto con la Administración Activa, no es de recibo por cuanto la normativa legal que respalda el comentario se circunscribe a nuestro país.

g) Por lo comentado, se modifica parcialmente la redacción del párrafo 2.42 y se mantiene la del 2.43 del informe.

Nro. Párrafos 3.1 y 3.2 Conclusiones


Respecto de las conclusiones emitidas indica la Auditoría Interna, que las labores correspondientes a la destrucción de mácula, destrucción de lotería no vendida, compra de excedentes y asistencia a sorteos, se llevan a cabo con total independencia funcional y de criterio respecto del jerarca y los subordinados y que el momento en que estos procesos se realizan tienen como fundamento el nivel de riesgo que presentan los mismos para llevarlos a cabo en forma oportuna. También indica que las actas de las actividades realizadas, se suscriben en cumplimiento de la normativa vigente interna que se refiere a fiscalización. Especifica que cualquier participación de la Auditoría Interna, ya sea porque así lo disponen las regulaciones vigentes o porque se encuentre contemplado en un plan de trabajo, no debería limitarse en términos de tiempo, en aplicación estricta de la norma, porque debido al riesgo de estos procesos, el mejor momento para efectuar las labores de auditoría es cuando los mismos se están realizando por la Administración Activa; esta labor se lleva a cabo de acuerdo con las técnicas propias de auditoría. Además señala que se debe entender que para realizar los sorteos se requiere de una serie de procesos previos: destrucción de lotería impresa, lotería no vendida, compra de excedentes, armado de ficheros; cada uno de los cuales se debe llevar a cabo según los controles establecidos por la Administración para tal efecto, por lo que es deber de la Auditoría Interna verificar el cumplimiento de los mismos en cada sorteo, para dar

BORRADOR

33


garantía a la población que adquiere nuestros productos, del apego de los funcionarios administrativos de la institución a la normativa legal, técnica y a sanas prácticas de control.

¿Se acoge? Sí

No

Parcial

Argumentos CGR

La participación de la Auditoría Interna en los diferentes procesos de control ex ante y durante los sorteos, en forma permanente y conjunta con la Administración Activa, actos que concluyen con la firma de documentos de manera mancomunada, en criterio de este Órgano Contralor, exceden el accionar de esa Auditoría como reiteradamente se ha indicado dentro del presente informe. Entendemos que dicho actuar ha sido originado en numerosa normativa interna que ha emitido la Administración Activa de la JPS que así se lo establece. No obstante, lo anterior contraviene lo señalado en la Ley General de Control Interno No. 8292 (LGCI), las Normas de control interno para el Sector Público y las Normas para el Ejercicio de la Auditoría Interna del Sector Público, normativa vigente en materia de control interno en la actualidad, según lo que se ha explicado ampliamente a lo largo del análisis de las observaciones de este informe. Específicamente el artículo 3 de la LGCI señala que la Contraloría General de la República dictará la normativa técnica de control interno, necesaria para el funcionamiento efectivo del sistema de control interno de los entes y de los órganos sujetos a esta Ley, normativa que es de acatamiento obligatorio y su incumplimiento será causal de responsabilidad administrativa, estableciendo además que la normativa sobre control interno que otras instituciones emitan en el ejercicio de competencias de control o fiscalización legalmente atribuidas, no deberá contraponerse a la dictada por la Contraloría General de la República.

Por todo lo comentado se mantienen las conclusiones señaladas en los párrafos 3.1 y 3.2 de este informe. No obstante, cabe señalar que, dada la observación realizada por esa auditoría se modificó parcialmente la redacción de la conclusión 3.2, con respecto al planteamiento original.

Nro. Párrafos 4.5 Disposición a la Auditoría Interna y a la Gerencia General para la realización conjunta de un estudio integral de la normativa que regula los diferentes controles “ex ante” y “durante” los sorteos de loterías tradicionales y electrónicas, con el propósito de que se proponga a la Junta Directiva la derogatoria o modificación de toda aquella norma que impacte de alguna forma el principio de independencia funcional de dicha unidad de control.


Señala la Auditoría Interna lo siguiente: a) La Auditoría Interna procederá a realizar en conjunto con la Gerencia General el estudio

integral de normativa solicitado. Señala que el párrafo 4.5 hace referencia al anexo No. 2 siendo que solamente se adjunta un anexo.

b) La firma de las actas oficiales de sorteos y la listas de premios, salvo criterio en contrario de ese Órgano Contralor, se mantendrá en la normativa, dado que la realización de este acto como una función de fiscalización inherente a las auditorías, da una garantía razonable a nuestros clientes sobre la conformidad en la ejecución de los diferentes procedimientos de control establecidos por el jerarca y los titulares subordinados, de previo y durante la realización de los sorteos, en las condiciones estipuladas en el artículo 21 de la LGCI.

c) En lo relativo a la participación de la Auditoría Interna durante la realización de los sorteos, se propone que la modificación en la normativa consista en establecer que la participación del Auditor Interno en cada uno de los sorteos se realiza conforme con lo programado en el Plan Anual de Trabajo, en calidad de fiscalizador interno del sorteo. Se considera indispensable mantener la continuidad en la asistencia, debido a que durante este proceso se tiene el riesgo alto de pérdida de credibilidad, aspecto fundamental en un negocio como el que lleva a cabo la institución.

¿Se acoge? Sí

No

Parcial

BORRADOR

34


Argumentos CGR

Los aspectos señalados por la Auditoría Interna no desacreditan la disposición ni proponen ningún cambio de la misma en particular. Sobre el punto a) se aclara que en el borrador del informe la referencia al Anexo N.° 2 es incorrecta, lo correcto es Anexo N.° 1. Este anexo refiere a la normativa interna que se observó en el proceso de fiscalización, razón por la cual no debe entenderse que es la única normativa interna que se debe analizar, pues tal como lo señala la disposición, deberá tenerse como referencia, al menos, la normativa ahí señalada. Lo manifestado en los incisos b) y c) refiere a algunas acciones que a criterio de dicho órgano de control se requieren para dar cumplimiento a la disposición, aspectos que en caso de que lleguen a formar parte del estudio integral solicitado en la misma disposición, deberán ser valorados en conjunto con la Gerencia General y luego ser sometidos a la respectiva aprobación de la Junta Directiva y al conocimiento del Área de Seguimiento de Disposiciones de esta CGR para su validación. Lo cual en todo caso debe materializarse dentro del contexto del presente informe.

Nro. Párrafos 4.6 Disposición a la Auditoría Interna y a la Gerencia General para definir en conjunto, y someter a la aprobación de la Junta Directiva de la JPS, un plan de acción con su correspondiente cronograma de implementación y definición de responsables, mediante el cual la Administración Activa asuma en forma gradual los roles de control “ex ante” y “durante” los sorteos de lotería que en este momento desempeña la Auditoría Interna, de forma tal que no se lesione la suficiencia, idoneidad y oportunidad de dichos controles y se posibilite a esa unidad de control ejercer su función de fiscalización en los términos que dispone la Ley General de Control Interno, N.° 8292.


Señala la Auditoría Interna que no obstante que para esta Auditoría Interna en la actualidad se cumple con el principio de independencia funcional, con la oportunidad ideal, dada la relevancia de los procesos, en el análisis se tomará en cuenta lo siguiente:

a) La implementación de papeles de trabajo para verificar la aplicación de los controles establecidos por la Administración Activa en estos procesos.

b) La modificación necesaria en los sistemas de sorteos para que la fiscalización se realice en módulos de consulta durante la realización de los sorteos.

c) Eliminación de la firma de fiscalización de las actas elaboradas por la Administración Activa en los procesos de destrucción de lotería mal impresa, lotería no vendida y compra de excedentes.

d) La fiscalización de la destrucción de lotería mal impresa se continuará llevando a cabo, hasta tanto la Administración activa garantice que la cantidad de pliegos por resma suplido por el proveedor de papel de seguridad es uniforme.

e) Se suspenderá la práctica de colaborar con los funcionarios administrativos en el armado de ficheros y solamente se hará la inspección in situ del trabajo realizado por éstos y de que las bolitas incluidas en los ficheros se ajusten a las series vendidas.

f) Se suspenderá la práctica de colocar cada bolita de polímero en el lector óptico, realizada para determinar la coincidencia con la base de datos y cualquier otra que pueda ser considerada como una participación activa de nuestra parte en la realización de los sorteos.

g) Se suspenderá la práctica de contar las bolitas de madera posterior a la realización de los sorteos de Loterías Nacional o Popular.

h) Cualquier otro aspecto sujeto a modificación que se determine en el proceso de análisis y revisión de los procedimientos de auditoría, se procederá a incorporarlo en el plan de acción que se elabore en coordinación con la Gerencia, para cumplir con lo dispuesto por ese Órgano Contralor.

¿Se acoge? Sí

No

Parcial

Argumentos CGR

Los aspectos señalados por la Auditoría Interna, no desacreditan la disposición ni proponen ningún cambio de la misma en particular. Lo manifestado refiere a algunas acciones, que a criterio de dicho

BORRADOR

35


órgano de control requiere llevar a cabo para dar cumplimiento con la disposición, aspectos que en caso de que lleguen a formar parte del plan de acción solicitado en la disposición, deberán ser valorados en conjunto con la Gerencia General y luego ser sometidos a la respectiva aprobación de la Junta Directiva y al conocimiento del Área de Seguimiento de Disposiciones de esta CGR para su validación. Lo cual en todo caso debe materializarse dentro del contexto del presente informe.

informe no. dfoe-soc-if-07-2014 26 de agosto, 2014

Documents