La auditoría tuvo como objetivo determinar si la gestión de los controles aplicados en la plataforma tecnológica y la seguridad sobre la información almacenada, utilizada para la puesta en marcha del Bono Proteger impulsado por el Ministerio de Trabajo y Seguridad Social (MTSS) y el Instituto Mixto de Ayuda Social (IMAS), se ajusta al marco normativo jurídico y técnico aplicable. El periodo evaluado comprendió entre el 15 de marzo y el 20 de noviembre de 2020.

El Gobierno de la República diseñó el programa de ayudas económicas Programa Proteger, el cual contempla la entrega temporal de un subsidio económico, denominado Bono Proteger, a personas trabajadoras que han tenido una afectación en su condición laboral y, en consecuencia, una reducción de ingresos, a raíz de la emergencia nacional debido a la enfermedad COVID-19. Para la gestión de dicho subsidio, se desarrolló e implementó una plataforma tecnológica, en el marco de una donación ofrecida a la administración pública, la cual fue lanzada el 9 de abril de 2020.

Por lo anterior, se considera relevante verificar los aspectos administrativos y técnicos de la plataforma tecnológica para la gestión del Bono Proteger, con el fin de contribuir al aseguramiento de la confidencialidad de la información, el establecimiento de criterios para medir los niveles de servicio y la definición de roles y funciones; así como los mecanismos y actividades para asegurar que la recepción de solicitudes, validación y la priorización de los beneficiarios, se realicen de conformidad con las condiciones establecidas para el otorgamiento del subsidio, de manera que se satisfaga el objetivo para el cual se creó. Aspectos que son relevantes no solo en la fase de ejecución del Programa sino también para las verificaciones posteriores y rendición de cuentas del programa.

Ello cobra especial relevancia considerando que al 06 de noviembre de 2020, la Administración reportó que la intervención pública contaba con una asignación presupuestaria de ₡255.813,8 millones, de los cuales se han ejecutado ₡248.556,5 millones, beneficiando con al menos el primer pago a 696.519 personas.

Para la ejecución de esta auditoría se aplicó un enfoque ágil, mediante el cual se comunicaron dos Reportes de Auditoría durante el proceso de fiscalización, detallando áreas susceptibles de mejora del objeto auditado, a efecto de que la Administración pudiera implementar las acciones correspondientes.

Una vez analizadas las acciones desarrolladas por la Administración, se determinó que algunos elementos de los hallazgos reportados durante la auditoría persisten, por lo cual forman parte de los resultados del presente informe final, con su respectiva disposición.

En la auditoría se identificaron, en cuanto a los aspectos administrativos y técnicos para la gestión de la plataforma, debilidades en la asignación de roles y funciones para su diseño y administración, la falta de elementos cualitativos y cuantitativos en los acuerdos de nivel de servicio para normar el servicio mínimo requerido, el tiempo de respuesta al usuario, la resolución de incidentes y solicitudes del Ministerio, así como la definición de métricas para evaluar la calidad y cumplimiento del servicio.

Asimismo, se determinaron debilidades en el despliegue de mecanismos y actividades para asegurar que la recepción de solicitudes, validación y selección de beneficiarios, así como para que la priorización de las entregas, se realicen de conformidad con las condiciones establecidas para el otorgamiento del subsidio.

Al respecto, se determinaron diferencias en la programación de los controles automatizados de acuerdo con lo establecido en el Decreto Ejecutivo que crea el Bono, debilidades en la calidad de la información de la base de datos y limitaciones para verificar la calidad de los productos recibidos.

Además, esta Contraloría General determinó que tampoco se cuenta con una estrategia clara para el traslado de la plataforma y las bases de datos al MTSS, ni para el aseguramiento de que dichos datos se eliminen de los equipos de la empresa donante, así como de los centros de datos redundantes, una vez efectuado el traslado.

Las debilidades determinadas pueden afectar el cumplimiento del objetivo del Bono, por lo cual es importante subsanar lo señalado, con el fin de que la Administración pueda realizar las verificaciones posteriores y rendición de cuentas del programa, de conformidad con las condiciones establecidas en el artículo 24 del Decreto Ejecutivo N°42305-MTSS-MDHIS .

Se dispone a la Ministra de Trabajo y Seguridad Social actualizar la programación de la plataforma tecnológica Bono Proteger de acuerdo con el Decreto Ejecutivo N°42305-MTSS-MDHIS y los puntajes definidos en el procedimiento para la gestión del otorgamiento del Bono Proteger, necesario tanto si el programa continúa, como para acciones de control que se implementen a futuro.

Por otro lado, se dispone a la Ministra de Trabajo y Seguridad Social en conjunto con el Director del Departamento de Tecnologías de Información y Comunicación formalizar e implementar el procedimiento para el desarrollo de aplicaciones tecnológicas del MTSS, de manera que incluya su aplicación en un contexto de emergencia, tanto para sistemas desarrollados internamente como por terceros.

Asimismo, actualizar y formalizar el Protocolo Manejo Responsable de Datos del MTSS, de manera que incluya las características requeridas para los procesos de migración de las aplicaciones y los datos administrados por terceros, así como la eliminación segura de los respaldos en equipos de terceros y la verificación por parte de ese Ministerio.

Finalmente, se dispone implementar el traslado de la plataforma Bono Proteger al MTSS y la eliminación de la totalidad de los datos, sus respaldos en los equipos de la empresa donante de la plataforma, así como de los centros de datos redundantes, con la participación de la Comisión de Migración Sistema Proteger del Departamento de Tecnologías de Información y las áreas de negocio involucradas en el proceso.