Consideraciones generales sobre la ejecución presupuestaria al 30 de junio de 2022
DFOE-FIP-MTR-00027-2022
31 de agosto de 2022
5 minutos de lecturaLa emergencia nacional de ciberseguridad afectó la disponibilidad de información presupuestaria al primer semestre 2022
El ataque cibernético del mes de abril activó medidas de emergencia en el sector público debido a las posibles afectaciones sobre la estructura de funcionamiento de los sistemas de información y consecuentemente sobre el servicio público.
Tres días después del primer ataque, realizado contra el Ministerio de Hacienda el 18 de abril, el Poder Ejecutivo emitió la Directriz N° 133- MP-MICITT, mediante la cual se estipula que la Administración Central cumpla las recomendaciones y medidas técnicas que promulgue la Dirección de Gobernanza Digital y el Centro de Respuesta de Incidentes de Seguridad Informática (CSIRT) del Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (MICITT); y a su vez, se insta a la Administración Pública Descentralizada a seguir estas mismas medidas. Además, se señala la obligación de las instituciones de reportar los incidentes que ocurran y que pongan en riesgo la confidencialidad, la disponibilidad o la continuidad de los servicios, así como los dominios web de las instituciones públicas. Posteriormente, el 11 de mayo, se declaró Estado de Emergencia Nacional en todo el Sector Público Costarricense, debido a estos ciberataques[1].
A raíz de lo anterior, una entidad puede tener afectaciones sobre la información, deterioro a la operativa institucional, y afectación a la persona usuaria y al servicio público, según se observa en el siguiente diagrama. Particularmente, las vulneraciones a la información se pueden dar en tres sentidos: 1) en confidencialidad, cuando el ataque cibernético permite el acceso a información restringida o confidencial; 2) en relación con la integridad; y 3) cuando se afecta la disponibilidad de la información y se restringe su uso.
Figura N.° 1: Posibles afectaciones ante ciberataques.
Ante esto, es necesario considerar la seguridad de la información[2] como un elemento fundamental en la Administración Pública, ya que permite la protección de los activos de la información y los componentes digitales, necesarios para brindar los servicios públicos en forma eficiente y oportuna.
En síntesis, los ataques cibernéticos en contra de instituciones del sector público, generan afectaciones sobre la estructura de funcionamiento de los sistemas de información y consecuentemente sobre la gestión institucional y la disponibilidad de información necesaria para la provisión de servicios públicos y la rendición de cuentas.
El ciberataque impactó la disponibilidad de información presupuestaria relevante para la conducción de la hacienda pública.
Al respecto, dentro de las instituciones con mayor afectación, se ubican el Ministerio de Hacienda y la Caja Costarricense del Seguro Social (CCSS), quienes desconectaron sus sistemas de información como medida preventiva ante los ataques.
En el caso del Ministerio de Hacienda, el Sistema Integrado de Gestión de la Administración Financiera (SIGAF), es el sistema transaccional base que es fuente de información fundamental agregada sobre la ejecución del Presupuesto de la República, tanto por el lado del ingreso como por el lado del gasto. Es decir, las entidades gestoras realizan directamente la ejecución presupuestaria en este sistema.
Por el lado del gasto, el impacto sobre este sistema implica una pérdida en la capacidad de mantener un seguimiento constante e integral a la evolución del gasto ejecutado vigente, por parte de los tomadores de decisiones. Esto puede incidir en la verificación de que el gasto en sus diversos componentes se mantenga dentro de los límites autorizados en el presupuesto, así como que lleve una tendencia controlada hacia el cumplimiento de la regla fiscal[3].
En lo que respecta a la ejecución de ingresos, también se presenta un rezago en los registros. El sistema de Administración Tributaria Virtual (ATV), fue desconectado como medida preventiva ante los ataques cibernéticos, y el sistema de Tecnología de Información para el Control Aduanero (TICA) también debió ser suspendido[4]. Ambos generan información básica para alimentar el sistema SIGAF que consolida la información de los ingresos y gastos del Presupuesto Nacional. La anterior situación dificultó la operatividad de las transacciones y el debido seguimiento de la recaudación[5], lo que podría haber impactado la recaudación y afectar la integridad de las cifras.
El restablecimiento de las plataformas de información del Ministerio de Hacienda se empezó a dar en diferentes fechas[6]. En particular, la Dirección General de Contabilidad Nacional indicó que el SIGAF inició la apertura el 29 de junio de 2022 y que desde ese momento se inició el proceso de actualización de la información[7]. No obstante, al 30 de agosto de 2022, la información definitiva sobre presupuesto se encuentra disponible hasta el mes de marzo.
A su vez, esta salida de operación de los sistemas informáticos del Ministerio de Hacienda relacionados con la ejecución presupuestaria, ha demorado la generación de informes periódicos por parte de la Administración sobre los resultados físicos de la gestión institucional[8], pues es insumo básico para su preparación. Tradicionalmente[9], estos informes consolidan la información relacionada con la producción de bienes y servicios (finales e intermedios), su cuantificación por medio de unidades de medida e indicadores de gestión (economía, eficiencia, eficacia y calidad) para las entidades del Presupuesto de la República[10].
Con respecto a las afectaciones relacionadas con la información financiera y presupuestaria de la CCSS[11], al 12 de julio de 2022, la Dirección de Tecnologías de Información y Comunicación se encontraba valorando medidas para restablecer gradualmente los sistemas informáticos y bases de datos de manera segura, para lo cual se estableció una hoja de ruta para la rehabilitación de las funcionalidades tecnológicas prioritarias, según lo definido por las gerencias institucionales.
En resumen, la emergencia nacional de ciberseguridad afectó la disponibilidad de información presupuestaria agregada del Presupuesto Nacional al primer semestre 2022, lo que ha generado vacíos en el seguimiento de la recaudación de ingresos y la ejecución de los gastos, así como retrasos en la emisión de informes periódicos pertinentes para el monitoreo y evaluación del uso de los recursos públicos. En similar situación se encuentra la información presupuestaria de la Caja Costarricense del Seguro Social, impactándose así la disponibilidad de información sobre la ejecución del presupuesto de dos de los actores más grandes en términos relativos del Sector Público.
El ciberataque impacta el proceso de rendición de cuentas pública.
Resulta relevante considerar que mantener información continua sobre la evolución de las variables fiscales y presupuestarias favorece la construcción de conocimiento y criterio sobre la forma en que la Administración va conduciendo la gestión pública a lo largo del ejercicio, de modo que se pueda ejercer la necesaria fiscalización concomitante de la ejecución del presupuesto, prevista en el artículo 184 de la Constitución Política como atribución del órgano contralor.
Esta importante función de fiscalización sobre la marcha, se ve en algún grado afectada por la ausencia de la información completa y oportuna que generó la situación del ciberataque, y ha quedado reflejada en esta oportunidad en la falta de información que permitiera a esta Contraloría referirse a temas como el del gasto en remuneraciones y transferencias del Presupuesto de la República al finalizar el primer semestre -entre otros- con el enfoque de evolución histórica que acostumbre utilizar en sus informes a la Asamblea Legislativa y la ciudadanía.
Además de lo anterior, si bien es cierto que, como se ha indicado en párrafos anteriores, se observan acciones dirigidas a levantar y poner al día los sistemas, esta Contraloría considera importante que el Ministerio de Hacienda realice, con suficiente antelación, las coordinaciones y demás acciones necesarias que garanticen que la información relativa a la liquidación final del presupuesto y demás informes de cierre previstos en la Ley de la Administración Financiera de la República (artículo 52) serán presentados íntegra y puntualmente en los plazos establecidos al efecto, con la información pertinente en forma completa y mutuamente consistente, y disponibilidad en versión electrónica que permita su análisis y dictamen a un nivel de detalle, profundidad y certidumbre no menor que el acostumbrado hasta el momento.
La atención de este particular es de suma importancia para efectos de asegurar el correcto desarrollo del proceso de rendición de cuentas en que participan los Poderes Ejecutivo y Legislativo con ocasión del cierre del ejercicio económico, proceso que se ilustra en la siguiente figura.
Figura N.° 2: Proceso de rendición de cuentas públicas
En conclusión, los cierres de sistemas de información realizados por el Ministerio de Hacienda y la Caja Costarricense del Seguro Social a raíz del ataque cibernético perpetrado en abril pasado, han calado negativamente en la disposición de información necesaria para la fiscalización del presupuesto en su etapa de ejecución, tan relevante para la toma de decisiones relativas a la conducción de la gestión pública durante dicha etapa, y conducen a alertar sobre la necesidad de tomar las medidas necesarias para garantizar que esta afectación no vaya a extenderse a la etapa de liquidación, de modo que los informes y los sistemas que proveen la información respectiva no pierdan, en lo más mínimo, sus condiciones de oportunidad, completitud, consistencia y confiabilidad, con miras a un adecuado cumplimiento del proceso de rendición de cuentas en esta materia, tan necesario para la buena marcha de la democracia y el bienestar de la ciudadanía.
[1] La Caja Costarricense del Seguro Social (CCSS) declaró emergencia institucional el 31 de mayo, luego de ser objeto de ataques.[2] ISACA. (2012). COBIT 5 para seguridad de la información.[3] El Decreto N.° 43589-H publicado el domingo 03 de julio de 2022, modificó la forma de verificar el cumplimiento de la regla fiscal, pasando de utilizar como variable el monto ejecutado, a utilizar montos presupuestados, en diferentes momentos de cada ejercicio.[4] El 02 de mayo de 2022, el Ministerio de Hacienda implementó un Módulo Automatizado de Contingencia, aplicativo informático para que las agencias de aduanas pudiesen presentar de forma electrónica las declaraciones aduaneras. El viernes 24 de junio de 2022 a mediodía, el sistema de Tecnología de Información para el Control Aduanero (TICA) se puso nuevamente a disposición de los usuarios para la tramitación de todas las operaciones aduaneras. Ese día, simultáneamente, se habilitó el Sistema Exonet, para el trámite de exoneraciones de impuestos.[5] El sistema se rehabilitó el 13 de junio. Ministerio de Hacienda (2022). Comunicado de prensa. https://www.hacienda.go.cr/docs/CP95MINISTERIO_DE_HACIENDA_HABILITARA_SISTEMA_ATV_DESDE_ESTE_13_DE_JUNIO.pdf[6] En oficio DCN-0786-2022 de 19 de julio de 2022.[7] Se establecieron, como plazos máximos de cargas de información rezagada, las siguientes fechas: 1) mes de junio del 01/08/2022 al 18/08/2022; 2) mes de julio del 19/08/2022 al 05/09/2022; 3) mes de agosto del 06/09/2022 al 22/09/2022; y 4) mes de setiembre del 23/09/2022 al 10/10/2022. Comunicado mediante circular CCAF 032-2022.[8] Que permitan evaluar y monitorear el uso de los recursos públicos de forma oportuna y como insumo para la toma de decisiones, a fin de asegurar la eficiencia, eficacia y calidad del gasto público.[9] En países de la OCDE, como parte de su transformación hacia un Gobierno Digital, se han definido nuevos enfoques para la medición de la eficiencia y eficacia en el sector público, con el fin de crear un entorno centrado en la satisfacción del usuario, la calidad de los bienes y servicios; y la transparencia con la ciudadanía. OECD (2007). Towards Government at a Glance: Identification of Core Data and Issues relatedto Public Sector Efficiency.[10] Conformado por 27 de títulos presupuestarios que incluyen las instituciones del Gobierno Central y los Órganos Desconcentrados de los Ministerios.[11] Según oficio GF-DP-1868-2022 del 12 de julio de 2022.