UNIVERSIDAD DE COSTA RICA SISTEMA DE ESTUDIOS DE POSGRADO EVALUACIÓN DEL SISTEMA INTEGRADO DE OPERACIONES PORTUARIAS DE JAPDEVA (SIOPJ) Y PROPUESTA DE NORMALIZACIÓN INFORMÁTICA Trabajo final de investigación aplicada sometido a la consideración de la Comisión del Programa de Posgrado en Administración y Dirección de Empresas para optar por el grado y título de Maestría Profesional en Administración y Dirección de Empresas SUSTENTANTE Dihancy Crawford Wright Sede del Pacífico 2011 ii DEDICATORIA A Dios Todopoderoso, quien me dio espíritu de poder, la sabiduría, la inteligencia, el conocimiento, la gracia y la fortaleza espiritual y física para obtener este éxito. Con todo mi amor a mi hijo Dyron Brown Crawford y las (os) bebés que espero. Por soportar este sacrificio y esfuerzo tan grande, realizado para obtener esta nueva meta en mi vida. A mi madre Elsa Wright Wright y a mi padre Darius Crawford Guthrie, a quienes el Señor tenga en su Gloria. Por el legado y herencia que me dejaron. iii AGRADECIMIENTOS Esta memoria de graduación ha significado para mí un esfuerzo extra, dados los tantos obstáculos que se presentaron a lo largo de este camino, y no hubiese sido posible sin la misericordia y el favor de Dios para conmigo. Gracias infinitas al Señor Jesús, porque verdaderamente en Ti soy más que vencedora. Gracias a mi esposo Ronald Brown, quien dedicó muchas horas a mi hijo, para darme el espacio para encaminarme en este largo trayecto, por su apoyo, comprensión y sacrificio, que Dios Todopoderoso le bendiga siempre. Definitivamente, al final del camino no lo hubiese logrado sin el amor y la motivación constante de mi hijo Dyron, que a su temprana edad -8 años- sabía darme ánimo “mami, ¡ya casi!, ¡ya va terminar!”. Muchas gracias, mi hijo precioso, que el Señor Jesús te bendiga y te guarde siempre. Y sin lugar a dudas a muchas otras personas que de una u otra manera me ayudaron, me dieron la mano en todo momento, entre ellas mi profesora Giselle Hidalgo, mi profesor guía Néstor Anderson, les agradezco por su orientación y aportes de ideas para poder concluir con esta memoria. En especial quiero agradecerle al asesor laboral Gerardo Romero, por tantos aportes y su apoyo emocional. A mi hermana Shahury y mi hermano Alexis, que han sido junto con mi hijo mi inspiración para seguir luchando. Gracias a mis amigas Irene Bell y Sonia Morgan, a mi prima Jacqueline y a mi padrino Oscar Chaves, por ser de tanta bendición en mi vida. No puedo dejar por fuera a la institución para la cual laboro: JAPDEVA, que me ofrece el trabajo diario y donde he podido desarrollar, con la colaboración y anuencia de tantos compañeros y compañeras, este trabajo final. A todos aquellos que tal vez no he mencionado aquí, pero que de todo corazón les agradezco su bondad y ayuda incondicional. ¡Muchísimas gracias! iv “Este trabajo final de investigación aplicada fue aceptado por la Comisión del Programa de Posgrado en Administración y Dirección de Empresas de la Universidad de Costa Rica, como requisito parcial para optar por el grado de Maestría Profesional en Administración y Dirección de Empresas.” _______________________________ MBA Giselle Hidalgo Redondo Profesora Guía _______________________________ MBA Néstor Anderson Salomons Lector _______________________________ Dr. Gerardo Romero Centeno Lector _______________________________ Dr. Aníbal Barquero Chacón Director Programa de Posgrado _______________________________ Dihancy Crawford Wright Sustentante v CONTENIDO Evaluación del Sistema Integrado de Operaciones Portuarias de JAPDEVA (SIOPJ) y propuesta de normalización informática DEDICATORIA ............................................................................................................... II AGRADECIMIENTOS ................................................................................................... III ÍNDICE DE ANEXOS COMPLEMENTARIOS ............................................................ IX ÍNDICE DE DIAGRAMAS ............................................................................................ IX ÍNDICE DE GRÁFICOS .................................................................................................. X ÍNDICE DE IMÁGENES ................................................................................................. X ÍNDICE DE TABLAS ...................................................................................................... X ÍNDICE DE CUADROS ............................................................................................... XII SIGLAS Y ABREVIATURAS ...................................................................................... XII RESUMEN ................................................................................................................... XIII INTRODUCCIÓN ........................................................................................................... 20 CAPÍTULO I: ASPECTOS TEÓRICOS SOBRE PUERTOS Y LOS SISTEMAS DE INFORMACIÓN PORTUARIA ..................................................................................... 25 1.1 Elementos característicos de un puerto ................................................................ 25 1.1.1 Definición de puerto ............................................................................................ 25 1.1.2 Esquema básico de un puerto .................................................................................. 26 1.1.3 Tipos de puertos ...................................................................................................... 29 1.1.4 Mercancía ................................................................................................................ 30 1.1.5 Carga ....................................................................................................................... 30 1.1.5.1 Clasificación de la carga ...................................................................................... 31 1.1.6 Buques ................................................................................................................... 32 1.1.6.1 Principales tipos de buque ................................................................................... 32 1.1.7 La terminal portuaria .............................................................................................. 35 1.1.7.1 Terminal de carga ............................................................................................ 36 1.2 Función económica y objetivos de un puerto ............................................................ 38 1.2.1 Funciones económicas del puerto ........................................................................... 38 1.2.2 Objetivos económicos del puerto ............................................................................ 38 1.3 La autoridad portuaria y modelos .............................................................................. 38 1.3.1 Funciones fundamentales de las autoridades portuarias modernas ....................... 39 1.4 La comunidad portuaria: concepto y clasificación .................................................... 40 1.5 Cluster portuario ........................................................................................................ 41 1.6 El cliente del puerto ................................................................................................... 41 1.7 Eficiencia y competitividad portuaria ........................................................................ 42 1.7.1 Eficiencia ................................................................................................................ 42 1.7.2 La competitividad portuaria y sus factores ............................................................. 42 1.8 Operaciones y servicios portuarios ............................................................................ 44 1.8.1 Clasificación de los servicios portuarios brindados en JAPDEVA ....................... 45 1.8.1.1 Servicios a la nave ........................................................................................... 45 1.8.1.2 Servicios a la carga .............................................................................................. 45 1.8.1.3 Otros servicios ..................................................................................................... 45 1.9 Planificación de las operaciones portuarias ............................................................... 46 vi 1.10 Sistemas de información .......................................................................................... 49 1.10.1 Componentes ........................................................................................................ 50 1.10.1.1. Individuos participantes: ................................................................................... 50 1.10.1.2 Datos e información .......................................................................................... 51 1.10.1.4 Tecnología de información ................................................................................ 51 1.10.1.4.1 Hardware ............................................................................................................................ 51 1.10.1.4.2 Software ............................................................................................................................... 51 1.10.1.4.3 Tecnología de almacenamiento .................................................................................... 52 1.10.1.4.4 Tecnología de comunicaciones ..................................................................................... 52 1.10.1.4.5 Red ....................................................................................................................................... 52 1.10.1.4.6 Infraestructura tecnológica ............................................................................................. 52 1.11 Administración de sistemas de información ............................................................ 54 1.11.1 Aspectos generales ................................................................................................ 54 1.11.1.1 Planificación estratégica de los sistemas de información .................................. 54 1.11.1.2 Organización de los sistemas de información .................................................... 55 1.11.1.3 Integración de sistemas o sistemas integrados ................................................... 55 1.11.1.4 Conectividad ...................................................................................................... 55 1.11.1.5 Desarrollo de sistemas de información .............................................................. 56 1.11.1.6 Métodos de desarrollo de sistemas de información ........................................... 57 1.11.1.6.1 Modelo de ciclo de vida tradicional ............................................................................ 57 1.11.1.6.2 Modelo de creación de prototipos ................................................................................ 58 1.11.1.6.3 Modelos de paquetes de software de aplicaciones .................................................. 58 1.11.1.6.4 Modelos de desarrollo por parte del usuario final ................................................... 59 1.11.1.6.5 Modelos de subcontratación .......................................................................................... 59 1.12 Metodologías de evaluación del ciclo de vida de desarrollo de sistemas de información ...................................................................................................................... 59 1.13 Norma ..................................................................................................................... 60 1.13.1 Normativa nacional de las tecnologías de información ........................................ 60 1.13.1.1 Manual sobre normas técnicas de control interno relativo a los sistemas de información computarizados (SIC) .................................................................................. 60 1.13.1.2 Normas técnicas para la gestión y el control de las tecnologías de información ......................................................................................................................................... 61 1.13.1.3 Normas de control interno para el sector público .............................................. 61 1.13.2 Normativa internacional de las tecnologías de información ................................. 62 1.13.2.1 La normativa COBIT ......................................................................................... 63 1.14 Entes fiscalizadores de las tecnologías de información .......................................... 66 CAPÍTULO II: ANTECEDENTES Y DESCRIPCIÓN DE JAPDEVA ....................... 68 2. Antecedentes de la institución ..................................................................................... 68 2.1 Marco legal de la institución ...................................................................................... 68 2.2 Filosofía de la institución ........................................................................................... 71 2.2.1 Misión .................................................................................................................. 71 2.2.2 Visión ..................................................................................................................... 71 2.3 Políticas institucionales .............................................................................................. 71 2.3. 1 Prioridades institucionales .................................................................................... 73 2.4 Objetivos estratégicos ................................................................................................ 73 2.5 Objetivos de tecnología de información .................................................................... 74 2.5.1 Objetivo general ................................................................................................... 74 vii 2.5.2 Objetivos específicos ........................................................................................... 75 2.5.3 Plan de desarrollo de sistemas ............................................................................. 75 2.6 Estructura organizacional de JAPDEVA ............................................................ 77 2.6.1 Estructura operacional de JAPDEVA ..................................................................... 84 2.6.2 Estructura Informática de JAPDEVA ..................................................................... 87 2.7 Público meta .............................................................................................................. 90 2.7.1 Clientes portuarios .................................................................................................. 90 2.7.1.1 Líneas navieras .................................................................................................... 90 2.7.1.2 Líneas de cruceros ............................................................................................... 91 2.7.1.3 Agencias navieras ............................................................................................ 91 2.7.1.4 Agencias aduanales ............................................................................................. 91 2.7.1.5 Empresas bananeras ............................................................................................. 91 2.7.1.6 Compañías estibadoras ........................................................................................ 92 2.7.1.7 Exportadores .................................................................................................... 92 2.7.1.8 Empresas de químicos ......................................................................................... 92 2.7.1.9 Empresas de transportes ....................................................................................... 92 2.7.2 Beneficiarios del desarrollo .................................................................................... 92 2.8 Servicios y tarifas portuarias que ofrece JAPDEVA ................................................. 93 2.8.1 Servicios a la nave .................................................................................................. 93 2.8.2 Servicios a la carga ................................................................................................. 93 2.8.3 Otros servicios ........................................................................................................ 93 CAPÍTULO III: ANTECEDENTES Y SITUACIÓN ACTUAL DEL SISTEMA INTEGRADO DE OPERACIONES PORTUARIAS DE JAPDEVA (SIOPJ) .............. 94 3.1 Antecedentes del SIOPJ ............................................................................................. 94 3.1.1 Descripción del sistema de operaciones portuarias tradicional .............................. 95 3.1.2 Descripción del SIOPJ ............................................................................................ 96 3.1.3 Objetivos general y específicos del SIOPJ ............................................................ 97 3.1.4 Alcance y requerimientos ....................................................................................... 97 3.1.5 Plataforma .............................................................................................................. 98 3.1.6 Módulos del SIOPJ y diagnóstico de la implementación ..................................... 98 3.1.6.1 Módulos: Planificar y supervisar operaciones y Procesar información para el cobro de servicios .......................................................................................................... 102 3.1.6.1.1 Usuarios de los módulos ................................................................................................. 102 3.1.6.1.2 Análisis comparativo del diseño y resultados de los módulos Planificar y supervisar operaciones y Procesar información para el cobro de servicios versus los requerimientos de los usuarios y la demanda de servicios del puerto ................................. 102 CAPÍTULO IV. RESULTADOS DE LA EVALUACIÓN DEL SIOPJ..................... 106 4.1. Valoración del módulo de Planificación y supervisión de operaciones y el de Procesar información para el cobro de los servicios portuarios, respecto a las normas de TI de la Contraloría General de la República ................................................................ 106 4.1.1 Aspectos por evaluar del manual sobre normas técnicas de control interno relaticos a los SIC (desarrollo de sistemas) en cuanto desarrollo del SIOPJ .............................. 106 4.1.1.1 Desarrollo en concordancia con los planes y políticas del Sistema de Información Gerencial (SIG) .............................................................................................................. 109 4.1.1.2 Manual de estándares para el desarrollo de los SIC ......................................... 109 4.1.1.3 Proyecto de desarrollo del SIC ......................................................................... 110 4.1.1.4 Administrador del proyecto de desarrollo del SIC ........................................... 111 viii 4.1.1.5 Ciclo de vida para el desarrollo de sistemas (CVDS) ....................................... 112 4.1.1.5.1 Estudio preliminar ............................................................................................................. 113 4.1.1.5.2 Estudio de factibilidad ..................................................................................................... 114 4.1.1.5.3 Análisis y determinación de requerimientos de información ............................... 114 4.1.1.5.4 Diseño conceptual del sistema....................................................................................... 115 4.1.1.5.5 Diseño físico del sistema................................................................................................. 115 4.1.1.5.6 Desarrollo de la programación ...................................................................................... 116 4.1.1.5.7 Desarrollo de la documentación .................................................................................... 116 4.1.1.5.8 Prueba del sistema ............................................................................................................. 117 4.1.1.5.9 Implantación ....................................................................................................................... 118 4.1.1.5.10 Evaluación post-implantación ..................................................................................... 119 4.1.1.6 Procesamiento en paralelo ................................................................................ 119 4.1.1.7 Procedimientos de control y rastros de las transacciones ................................. 120 4.1.1.8 Participación de los usuarios en el CVDS ........................................................ 121 4.1.1.9 Participación del auditor en el CVDS ............................................................... 121 4.1.1.10 Modificaciones a los SIC ................................................................................. 122 4.1.2 Aspectos por evaluar de las Normas técnicas para la gestión y el control de las tecnologías de información (implementación de tecnologías de información) en cuanto al desarrollo e implementación del SIOPJ .................................................................... 122 4.1.2.1 Consideraciones generales de la implementación del módulo .......................... 126 4.1.2.2 Implementación de software .............................................................................. 132 4.1.2.3 Implementación de infraestructura tecnológica ................................................. 136 4.1.2.4 Contratación de terceros para la implementación y mantenimiento del software e infraestructura ................................................................................................................ 138 4.2 Valoración de los módulos Planificar y supervisar operaciones, y Procesar información para el cobro de los servicios portuarios, respecto a las mejores prácticas del Perú, en cuanto a ciclo de vida de desarrollo de sistemas ....................................... 141 CAPÍTULO V. CONCLUSIONES, RECOMENDACIONES Y PROPUESTA DE NORMALIZACIÓN E IMPLEMENTACIÓN DEL SIOPJ ......................................... 143 5.1 Conclusiones ............................................................................................................ 143 5.2 Recomendaciones .................................................................................................... 154 5.2.1 Generales .............................................................................................................. 154 5.2.2. Recomendaciones relativas a la normativa de SIC, 1996 ................................... 155 5.2.3. Recomendaciones relativas a la normativa de TI, 2007 ..................................... 156 5.3 Propuesta de normalización e implementación del SIOPJ ...................................... 157 5.3.1 Objetivos de la propuesta ...................................................................................... 157 5.3.2 Metas de la propuesta .......................................................................................... 158 5.3.3 Delimitación .......................................................................................................... 158 5.3.4 Resultados esperados ............................................................................................ 159 5.3.5 Planteamiento de requerimientos de mejora al sistema SIOPJ y JAPDEVA, conforme a las normas locales de tecnologías de información ...................................... 159 5.3.6 Detalle de las acciones y requerimientos de mejora para la implementación del SIOPJ ............................................................................................................................. 159 5.3.7 Mecanismos de evaluación ................................................................................... 160 5.3.8 Recursos ................................................................................................................ 160 BIBLIOGRAFÍA ........................................................................................................... 161 ix ANEXO METODOLÓGICO ........................................................................................ 165 ANEXOS COMPLEMENTARIOS ............................................................................... 170 ÍNDICE DE ANEXOS COMPLEMENTARIOS Anexo # 1 Naves Atendidas Complejo Portuario Limón/Moín .................................... 170 Anexo # 2 servicios Portuarios de Japdeva .................................................................. 171 Anexo # 3 Lista de información requerida para evaluación de los controles del ciclo de vida del desarrollo de sistemas ...................................................................................... 178 Anexo # 4 Manual sobre Normas Técnicas de Control Interno Relativas a los Sistemas de Información Computarizados .................................................................................... 222 Anexo # 5 Normas Técnicas para la Gestión y el Control de las Tecnologías de Información (N-2-2007-CO-DFOE) .............................................................................. 223 Anexo # 6 Normas de Control Interno para el Sector Público, Cap. V Normas sobre Sistemas de Información ................................................................................................ 224 Anexo # 7 Reseña Histórica de JAPDEVA ................................................................... 230 Anexo # 8 Cuadro del Ranking de Movimientos de TEUS en Latinoamérica y el Caribe 2010 ............................................................................................................................... 231 Anexo # 9 Políticas de JAPDEVA 2011-2014 .............................................................. 234 Anexo # 10 Acuerdo No. 394-05 ................................................................................... 235 Anexo # 11 Acuerdo No. 1111-07 ................................................................................. 236 Anexo # 12 Pliego Tarifario de JAPDEVA .................................................................. 237 Anexo # 13 Antecedentes del SIOPJ ............................................................................. 239 Anexo # 14 Lista de Chequeo ........................................................................................ 243 Anexo # 15 Entrevista No Estructurada a Intendentes Portuarios ................................. 246 Anexo # 16 Lista de chequeo ......................................................................................... 251 Anexo # 17 Primer Informe sobre el Sistema de Operaciones Portuarias de JAPDEVA (SIOPJ) ........................................................................................................................... 255 Anexo # 18 Creación del Comité de Sistemas (Sesión N°2-88) ................................... 260 Anexo # 19 Creación del Comité Gerencial de Sistemas, sus Integrantes y Reglamento Interno deTrabajo (Sesión N°19-96).............................................................................. 262 Anexo # 20 Modificación de la Conformación del Comité Gerencial de Sistemas ...... 264 Anexo # 21 Plan del Proyecto: Ejecución del SIOPJ en Paralelo con el Sistema Tradicional ..................................................................................................................... 265 Anexo # 22 Cronograma de Implementación del SIOP en el Muelle de Moín y responsables de los procesos .......................................................................................... 272 ÍNDICE DE DIAGRAMAS Diagrama #1 Esquema Básico de un Puerto ................................................................... 26 Diagrama # 2 Proceso de la Operación Portuaria ............................................................ 48 Diagrama # 3a Estructura Organizacional de JAPDEVA General ................................. 78 x Diagrama # 3b Estructura Organizacional Administración de Desarrollo ...................... 79 Diagrama # 3c Estructura Organizacional Dirección de Ingeniería (División Portuaria) 80 Diagrama # 3d Estructura Organizacional Dirección de Ingeniería (División de Ingeniería) ........................................................................................................................ 81 Diagrama # 3e Estructura Organizacional Dirección de Ingeniería ................................ 82 Diagrama # 3f Estructura Organizacional Dirección Administrativa Financiera ............ 83 Diagrama # 4 Estructura Operacional Intendencia Moín ................................................ 85 Diagrama # 5 Estructura Operacional Intendencia Limón .............................................. 86 Diagrama # 6 Estructura Organizacional Actual del Departamento de Informática ....... 87 Diagrama # 7 Distribución Física Departamento de Informática .................................... 89 Diagrama # 8 Esquema del Sistema de Operaciones Portuarias Tradicional .................. 95 Diagrama # 9 Detalle Modular del SIOPJ ....................................................................... 99 ÍNDICE DE GRÁFICOS Gráfico #1 Naves Atendidas en el Complejo Portuario Limón-Moín ............................... 35 ÍNDICE DE IMÁGENES Imagen # 1 Complejo Portuario de Limón ..................................................................... 27 Imagen # 2 Croquis Complejo Portuario de Limón ....................................................... 27 Imagen # 3 Complejo Portuario Moín ............................................................................ 28 Imagen # 4 Croquis Complejo Portuario Moín .............................................................. 28 Imagen # 5 Esquema de una Terminal Portuaria ............................................................ 36 Imagen # 6 Procesos de TI según COBIT ....................................................................... 65 ÍNDICE DE TABLAS Tabla # 1 Tipos de Buques Portacontenedores ................................................................ 33 Tabla # 2 Infraestructura Tecnológica del SIOPJ ............................................................ 97 Tabla # 3 Diagnóstico del SIOPJ ................................................................................... 100 Tabla # 4 Resultados de la Evaluación del Desarrollo del SIOJP versus Capítulo III: Desarrollo de Sistemas de la Normativa de la CGR ...................................................... 108 Tabla # 5 Apartado 3.01 ................................................................................................ 109 Tabla # 6 Apartado 3.02 ................................................................................................ 109 Tabla # 7 Apartado 3.03 ................................................................................................ 110 Tabla # 8 Apartado 3.04 ................................................................................................ 111 Tabla # 9 Apartado 3.05 ................................................................................................ 112 Tabla # 10 Apartado 3.05.01 ......................................................................................... 113 Tabla # 11 Apartado 3.05.02 ......................................................................................... 114 xi Tabla # 12 Apartado 3.05.03 ......................................................................................... 114 Tabla # 13 Apartado 3.05.04 ......................................................................................... 115 Tabla # 14 Apartado 3.05.05 ......................................................................................... 115 Tabla # 15 Apartado 3.05.06 ......................................................................................... 116 Tabla # 16 Apartado 3.05.07 ......................................................................................... 116 Tabla # 17 Apartado 3.05.08 ......................................................................................... 117 Tabla # 18 Apartado 3.05.09 ......................................................................................... 118 Tabla #19 Apartado 3.05.10 .......................................................................................... 119 Tabla # 20 Apartado 3.06 .............................................................................................. 119 Tabla # 21 Apartado 3.07 .............................................................................................. 120 Tabla # 22 Apartado 3.08 .............................................................................................. 121 Tabla # 23 Apartado 3.09 .............................................................................................. 121 Tabla # 24 Apartado 3.10 .............................................................................................. 122 Tabla # 25 Hallazgos de la Verificación del Capítulo III: Implementación de Tecnologías de Información/ Consideraciones Generales de la Implementación de TI versus SIOPJ .................................................................................................................. 126 Tabla # 26 Apartado 3.1.a .............................................................................................. 127 Tabla # 27 Apartado 3.1.b ............................................................................................. 127 Tabla # 28 Apartado 3.1.c .............................................................................................. 128 Tabla # 29 Apartado 3.1.d ............................................................................................. 128 Tabla # 30 Apartado 3.1.e .............................................................................................. 129 Tabla # 31 Apartado 3.1.f .............................................................................................. 130 Tabla # 32 Apartado 3.1.g ............................................................................................. 130 Tabla # 33 Apartado 3.1.h ............................................................................................. 131 Tabla # 34 Apartado 3.1.i .............................................................................................. 131 Tabla # 35 Hallazgos de la verificación del Capítulo III: Implementación de tecnologías de información/ Implementación de software vs SIOPJ ................................................ 132 Tabla #36 Apartado 3.2.a ............................................................................................... 133 Tabla # 37 Apartado 3.2.b ............................................................................................. 133 Tabla # 38 Apartado 3.2.c .............................................................................................. 134 Tabla # 39 Apartado 3.2.d ............................................................................................. 134 Tabla #40 Apartado 3.2.e ............................................................................................... 135 Tabla # 41 Apartado 3.2.f .............................................................................................. 135 Tabla # 42 Hallazgos de la Verificación del Capítulo III: Implementación de Tecnologías de Información/ Implementación de la Infraestructura Tecnológica versus SIOPJ ............................................................................................................................. 136 Tabla # 43 Apartado 3.3.a .............................................................................................. 136 Tabla # 44 Apartado 3.3.b ............................................................................................. 137 Tabla # 45 Hallazgos de la Verificación del Capítulo III: Implementación de Tecnologías de Información/ Contratación de Terceros para la Implementación y Mantenimiento de Software e Infraestructura Versus SIOPJ......................................... 138 Tabla # 46 Apartado 3.4.a .............................................................................................. 139 Tabla # 47 Apartado 3.4.b ............................................................................................. 139 Tabla # 48 Apartado 3.4.c .............................................................................................. 140 Tabla # 49 Apartado 3.4.d ............................................................................................. 140 Tabla # 50 Apartado 3.4.e .............................................................................................. 141 xii ÍNDICE DE CUADROS Cuadro # 1 Entes Fiscalizadores de las Tecnologías de Información ............................. 66 Cuadro # 2 Condición del SIOPJ, en Términos del Porcentaje de Uso al 30 de Junio del 2011 ............................................................................................................................... 147 Cuadro # 3 Cuadro Resumen de la Evaluación del CVDS ............................................ 150 Cuadro # 4 Cuadro Resumen Evaluación de la Normativa N-2-2007-CO-DFOE ........ 152 Cuadro # 5 Cuadro Resumen Evaluación de la Normativa N-2-2007-CO-DFOE ........ 152 Cuadro # 6 Cuadro Resumen Evaluación de la normativa N-2-2007-CO-DFOE ......... 153 Cuadro # 7 Cuadro Resumen Evaluación de la normativa N-2-2007-CO-DFOE ......... 153 SIGLAS Y ABREVIATURAS AZ: Arribo y zarpe CEPAL: Comisión Económica para América Latina y el Caribe CGR: Contraloría General de la República COBIT: Control Objectives for Information and Related Technology CPNG: Comisión Portuaria Nacional de Guatemala CVDS: Ciclo de Vida del Desarrollo de Sistemas DMS2: Data Management System 2. DUA: Declaraciones Aduaneras ITGI: Information Technology Governance Institute JAPDEVA: Junta de Administración Portuaria y de Desarrollo Económico de la Vertiente Atlántica MIDEPLAN: Ministerio de Planificación y Economía PND: Plan Nacional de Desarrollo POPER: Programa de Operaciones SIC: Sistemas de Información Computarizados SIOPJ: Sistema Integrado de Operaciones Portuarias de JAPDEVA TI: Tecnología de Información TEUS: Twenty Feet Equivalent Units. TIC@: Tecnología Informática para el Control Aduanero TM: Toneladas Métricas xiii RESUMEN Crawford Wright, Dihancy Evaluación del Sistema Integrado de Operaciones Portuarias de JAPDEVA (SIOPJ) y propuesta de normalización informática Programa de Posgrado en Administración y Dirección de Empresas. –San José, C.R.: D. Crawford W, 2011 273 h.: 73 il. 43 refs. El objetivo general de este trabajo es proponer acciones de mejora y recomendaciones para que el Sistema de Operaciones Portuarias de JAPDEVA (SIOPJ) esté conforme a la normativa general de las tecnologías de información, mediante la comparación de los criterios y procedimientos plasmados en el nuevo sistema y los emitidos por la Contraloría General de la República en cuanto al desarrollo e implementación de tecnologías de información adquiridas y/o desarrolladas por JAPDEVA. Esta investigación es predominantemente descriptiva; se aplica la recopilación de datos, su ordenamiento y análisis, se introducen las verificaciones o comparaciones necesarias para finalmente anotar las conclusiones de la investigación y formular las recomendaciones. La metodología usada es de tipo cualitativo, ya que se trata de información lógica de los procedimientos de una operación plasmada en una solución informática y no de datos numéricos. Se usaron fuentes primarias y secundarias, que incluyeron referencias bibliográficas, entrevistas no estructuradas, cuestionarios, listas de chequeo y consultas telefónicas, entre otros. JAPDEVA es una institución que tiene un rol muy importante para el país, a lo largo de los años ha tenido aciertos y desaciertos en su gestión. Los esfuerzos que ha realizado le han llevado a ostentar posiciones de gran relevancia en los ámbitos latinoamericanos y mundiales, y para mantenerlas y mejorarlas debe ajustarse a los estándares y normas que le regulan, donde destaca la tecnología de la información como un rubro donde la institución debe realizar las medidas correctivas y preventivas para ser competitiva. A través del trabajo se evidencia que uno de esos desaciertos ha sido la inadecuada gestión de las tecnologías de información, propiamente el manejo de los sistemas de información que coadyuven a las operaciones portuarias sustantivas. El departamento informático de JAPDEVA, al desarrollar un sistema nuevo, no se apega a una normativa específica ni a una metodología de desarrollo, tampoco mantiene un ejercicio de evaluación y seguimiento oportuno y adecuado para asegurarse el éxito de estos proyectos de desarrollo, siendo que tiene esta exigibilidad por parte del ente regulador gubernamental: la Contraloría General de la República. Mediante este esfuerzo académico, luego de la evaluación realizada al sistema de información -SIOPJ-, se logra identificar las debilidades en su desarrollo e implementación, lo que posibilita determinar las oportunidades de mejora. xiv Dentro de las oportunidades de mejora destaca el aplicar las recomendaciones de este documento, para iniciar la normalización institucional según lo dictan las Normas técnicas para la gestión y el control de las tecnologías de la información (N-2-2007-CO- DFOE) y las Normas de control interno para el sector público (N-2-2009-CO-DFOE), en lo que concierne a tecnología de información. Asimismo la administración de JAPDEVA debe implementar todas las metodologías, guías, criterios de evaluación y herramientas de verificación (listas de chequeos) construidas y sugeridas (guía de auditoría del ciclo de vida para el desarrollo de sistemas) y realizar las acciones pertinentes oportunamente, De igual forma, debe materializarse la función de la instancia de alto nivel que podría liderar este proceso, como lo es el Comité gerencial de sistemas. Todo lo recomendado en este documento dará como resultado la mejora en la gestión institucional y en la competitividad del Complejo Portuario Limón-Moín. Profesor Guía de la investigación: MBA Néstor Anderson Salomons Unidad académica: Programa de Posgrado en Administración y Dirección de Empresas Sistema de Estudios de Posgrado 20 INTRODUCCIÓN En una economía mundial cada vez más globalizada, se requiere que tanto las mercancías como el flujo de la información se movilicen en el menor tiempo y al menor costo posible, y es conocido que la gestión logística de los puertos como parte del transporte marítimo constituye un eslabón elemental de la cadena de abastecimiento global. La Junta de Administración Portuaria y de Desarrollo Económico de la Vertiente Atlántica (JAPDEVA) es una entidad autónoma creada por ley, como autoridad portuaria y ente de desarrollo regional de la provincia de Limón. En cuanto al primer rol cumple un papel muy importante en nuestro país, dado que opera los dos puertos del Caribe, que dinamizan la economía costarricense, al ser el Complejo Portuario Limón- Moín el que moviliza más del 80% de la carga que entra y sale vía marítima del país; la gestión eficaz y eficiente de esta institución, en su condición de operador, se constituye en un factor crítico de éxito para determinar la competitividad de esta nación en términos de su imagen en el comercio mundial, por cuanto la economía de Costa Rica se circunscribe primordialmente en la producción y la exportación. Por lo tanto, es muy significativo prestar atención al tema del cumplimiento de las normativas y estándares, tanto locales como internacionales, de los puertos y sus sistemas de información, al ser la primera imagen del país ante este mundo globalizado, donde el enlace y las comunicaciones internacionales se reducen al correcto uso y aprovechamiento de los sistemas y las tecnologías de la información,, ya que a través de ellas y mediante los múltiples acuerdos multilaterales se rompen las fronteras entre los distintos países alrededor del mundo. Por estas razones, se trae a colación la problemática que se ha detectado desde hace algunos años en JAPDEVA, a pesar de los grandes esfuerzos que se han realizado para mejorar la gestión de los recursos tecnológicos, tanto en términos de hardware como de software, con el fin de tener las facilidades que le permitan administrar y controlar las operaciones portuarias, agilizar los procesos de atención a los clientes, así como que el 21 usuario interno tenga las herramientas adecuadas para el desempeño óptimo de su trabajo y el aprovechamiento de los recursos, tanto humanos como financieros. Esto no ha reflejado los resultados deseados, y actualmente se cuenta con un nuevo software llamado “Sistema Integrado de Operaciones Portuarias de JAPDEVA (SIOPJ)”, el cual se encuentra terminado e integra todas las actividades de la operación portuaria y constituye la automatización del trabajo manual y de registro que se realiza con el sistema vigente. Fue desarrollado como un esfuerzo interno por continuar con el proceso de mejora, no obstante no ha sido posible implementarlo en un 100%, ya que existen varios factores negativos que están influyendo, los cuales serán sujeto de análisis en la presente investigación. En este documento se abordará el tema del software, se aplicarán las herramientas de verificación para comprobar si los procedimientos y criterios que se observaron en el desarrollo e implementación del nuevo sistema -SIOPJ-, en particular en los módulos de Planificar y supervisar operaciones y Procesar información para el cobro de los servicios portuarios, obedecen a las normas técnicas de la Contraloría General de la República, mediante el modelo de gestión y control, que adaptó este ente rector de las mejores prácticas internacionales propuestas por el Instituto de Administración de las tecnologías de la Información (ITGI, en inglés: Information Technology Governance Institute), a través del COBIT (por sus siglas en inglés: Control Objetives for Information and Related Technology) y otros estándares generalmente aceptados en la administración de proyectos informáticos, como un medio para garantizar el cumplimiento de los objetivos y controles requeridos. El ejercicio se aplicará a la operación de una terminal de carga general o de contenedores; al tratarse de las actividades sustantivas en toda la operación portuaria del Complejo Portuario Limón-Moín, con el fin de poder plantear las acciones de mejora y las recomendaciones necesarias para alcanzar su implementación total y definitiva en JAPDEVA. Se considera de suma relevancia para la institución que logre finiquitar las pruebas y la aplicación del 100% del sistema integrado, como una medida para eliminar en el corto plazo los procedimientos manuales y obsoletos que aún se utilizan; a pesar de ser un 22 puerto que maneja más de 858.175 unidades equivalentes de 20 pies (TEUS, por sus siglas en inglés: Twenty Feet Equivalent Units) y 9.943.072 toneladas métricas (TM), dato de los TEUS y la carga que movilizó el Complejo Portuario Limón-Moín, según las estadísticas del año 2010, lo que le permitió ostentar el puesto No. 15 en el ranking de puertos de América Latina y el Caribe, según datos de la Comisión Económica para América Latina y el Caribe (CEPAL) del 2010. Por lo tanto, este tema es estratégico desde el punto de vista del mejoramiento de la gestión de JAPDEVA, como medio de apoyo para la toma de decisiones que permitan mejorar la eficacia, eficiencia, productividad y calidad de los servicios y operaciones portuarias, lo cual además incide en los resultados y la gestión de los clientes o usuarios del puerto, tomando en cuenta la condición de esta institución como proveedor de servicios claves de la cadena logística global y como parte del engranaje mundial de transporte marítimo de mercancías. Dentro de los alcances del proyecto se pretende: a) plantear las acciones de mejora a realizar para que los dos módulos principales del sistema tecnológico se pongan en marcha en el puerto (Planificar y supervisar operaciones y Procesar información para el cobro de los servicios portuarios) y b) sugerir el modelo de herramienta de control de sistemas de tecnología de la información ajustado a la normativa local exigible actualmente. Se aclara que por las limitaciones de tiempo y profundidad de esta investigación no es posible estandarizar o certificar, inclusive ejecutar, pero sí determinar el planteamiento de la propuesta de las condiciones que deben mejorarse en el sistema que plasma los procedimientos de operación de los puertos del Caribe costarricense, así como los medios para asegurar los objetivos de la institución y los objetivos de control del ente rector: la Contraloría General de la República. Es importante apuntar que por tratarse de puertos híbridos, lo que se intentará plasmar es el ajuste de las normas a ese tipo particular de operaciones. Además este trabajo no 23 pretende diseñar aquello que se requiera mejorar, sino detallar los requerimientos para su posterior aplicación por parte de los encargados del tema en la institución. Además se destaca que este análisis se delimita a dos de los módulos más importantes del sistema, pero se contemplarán en forma general y se supone que los resultados se podrán inferir al resto de los módulos del SIOPJ. De la misma manera se podrá usar como modelo para posteriores evaluaciones de otras modificaciones a sistemas actuales e incluso para ser aplicado a nuevos desarrollos de programas (soluciones). A continuación se presentan el objetivo general y los específicos. Objetivo general: Proponer las acciones de mejora y las recomendaciones para que el Sistema de Operaciones Portuarias de JAPDEVA (SIOPJ) esté conforme a la normativa general de las tecnologías de información, mediante la comparación de los criterios y procedimientos plasmados en el nuevo sistema y los emitidos por la Contraloría General de la República (CGR), en cuanto al desarrollo e implementación de tecnologías de información adquiridas y/o desarrolladas por JAPDEVA. Objetivos específicos: Citar los conceptos teóricos que sustentan el desarrollo de la investigación y ubicar el estado de la situación tanto de JAPDEVA como del SIOPJ. Verificar si el módulo de Planificar y supervisar operaciones y el de Procesar información para el cobro de los servicios portuarios se desarrollaron de acuerdo con la normativa de la CGR de 1995 y la actual. Proponer las acciones de mejora a los módulos de Planificar y supervisar operaciones del SIOPJ y Procesar información para el cobro de los servicios portuarios para su debida implementación. 24 Establecer un modelo de evaluación y control concordantes con las normas de la CGR, tanto para el SIOPJ como para los nuevos sistemas que adquiera o desarrolle JAPDEVA. De esta manera el documento constará de cinco capítulos: en el primero se enmarcan teóricamente los puertos, los sistemas de información y su interrelación. El segundo capítulo cita los antecedentes y descripción del quehacer de JAPDEVA, siendo la institución donde se practicó el trabajo de investigación. En el tercero se hace referencia a los antecedentes, detalles y un diagnóstico de la situación actual del sistema de información (SIOPJ) que se analiza en este documento. En el cuarto capítulo se evalúa el desarrollo e implementación del sistema respecto a la normativa de la Contraloría General de la República y el quinto capítulo contiene las conclusiones de la verificación antes mencionada, así como las recomendaciones y la propuesta de acciones de mejora, las herramientas y modelo por seguir para la normalización del SIOPJ y los nuevos sistemas que adquiera o desarrolle JAPDEVA. 25 CAPÍTULO I: ASPECTOS TEÓRICOS SOBRE PUERTOS Y LOS SISTEMAS DE INFORMACIÓN PORTUARIA 1.1 Elementos característicos de un puerto El puerto cumple un rol de suma importancia, ya que se considera la puerta de entrada o salida de la mayoría de las mercancías de un país, y está compuesto tanto por áreas de agua como de tierra. 1.1.1 Definición de puerto Una definición moderna, completa e integradora de los puertos, es: “Los puertos marítimos son interfaces entre los distintos modos de transporte y son típicamente centros de transporte combinado. En suma, son áreas multifuncionales comerciales e industriales donde las mercancías no sólo están en tránsito, sino que también son manipuladas, manufacturadas y distribuidas. En efecto, los puertos son sistemas multifuncionales, los cuales, para funcionar adecuadamente, deben ser integrados en la cadena logística global. Un puerto eficiente requiere no sólo infraestructura, superestructura y equipamiento adecuado, sino también buenas comunicaciones y, especialmente, un equipo de gestión dedicado y cualificado y con mano de obra motivada y entrenada”. (Murcia Cuenca, Juan M. 2004, p.10). Mientras que el concepto que se detalla en el reglamento portuario de JAPDEVA es el siguiente: “Conjunto de obras, instalaciones, organizaciones, que permiten aprovechar un lugar de la costa favorable para realizar las operaciones de intercambio en el tráfico marítimo terrestre; así como atender las necesidades de los medios de transporte y facilitar el desarrollo de las actividades relacionadas con el transporte marítimo internacional”. (Israel Oconitrillo G. JAPDEVA, 2003, p. 11) Tomando en cuenta estas definiciones, se entiende que un puerto opera en el marco de un sistema ordenado que involucra personas, áreas físicas, equipamientos, sistemas logísticos y de información, entre otros. 26 1.1.2 Esquema básico de un puerto Tal como lo indica Estrada Llaquet (2007, p. 25), las actividades en un puerto se pueden entender mediante el siguiente esquema: Diagrama #1 Esquema Básico de un Puerto La actividad de un puerto lo constituyen el tráfico de las mercancías y pasajeros, el movimiento de los distintos medios de transporte, las otras actividades especializadas y el flujo documental y de información paralelo que se realizan en ese entorno. La representación del complejo portuario de Limón-Moín se puede observar a través de las siguientes imágenes: 27 Imagen # 1 Complejo Portuario de Limón Fuente: JAPDEVA, Dirección de Ingeniería. Imagen # 2 Croquis Complejo Portuario Limón Fuente: JAPDEVA, Dirección de Ingeniería. 28 Imagen # 3 Complejo Portuario Moín Fuente: JAPDEVA, Dirección de Ingeniería. Imagen # 4 Croquis del Complejo Portuario de Moín Fuente: JAPDEVA, Dirección de Ingeniería. 29 1.1.3 Tipos de puertos Según cita Lemus Revolorio Ernesto A. de la Comisión Portuaria Nacional de Guatemala (CPNG) (1990), existen varias clasificaciones de los puertos, desde distintos puntos de vista:  Según su función económica se clasifican en puertos industriales, de refugio, comerciales, petroleros, graneleros, turísticos, pesqueros, deportivos, marinas, mixtos, de pesaje.  Según su ubicación física se clasifican en puertos lacustres, fluviales, marítimos, exteriores, interiores o mixtos.  Según los servicios prestados se clasifican en puertos de primera, segunda, tercera generación. En el caso de los puertos del Caribe costarricense se tratan de fondeaderos marítimos que en términos de la ubicación y en cuanto a la actividad económica se especializan más como puertos comerciales, aunque podría decirse que son mixtos, dado que hay puestos de atraque petroleros, graneleros, convencionales, de contenedores y turísticos; lo cual los caracteriza como híbridos. Y se consideran como puertos de segunda generación, ya que fue constituido entre el período intermedio entre los sesentas y los ochentas; sin embargo si se toma en cuenta las dimensiones promedio de los barcos que se atienten en el Complejo Portuario Limón-Moín: 17.391 TPM, 833 TEUS, 165 m de eslora, se entiende como de primera generación según la clasificación teórica que se mencionará más adelante en la tabla #1. La importancia del puerto para un país radica en sus instalaciones, los servicios que ofrece, el personal que atiende y el equipo portuario de apoyo que conformen la organización que atiende la carga que ingresa o sale de la nación. 30 Para que sean adecuados, oportunos y eficientes los servicios que se brindan en un puerto, deben contar con el personal capacitado que realice algunas funciones estratégicas propias de la administración tales como: planificación, supervisión, ejecución de la operación, organización, control, coordinación, todas se constituyen en las herramientas teóricas que debe aplicar todo administrador para una buena gestión y en el caso del portuario se aplica de la misma manera. En el presente trabajo de investigación, tal como se mencionó anteriormente, se abordarán las tres primeras funciones, específicamente su aplicación apoyada con la herramienta de las tecnologías de la información. 1.1.4 Mercancía Lo que trasiegan y comercian los países son los productos y la mercancía en la que tiene ventaja comparativa respecto a otra nación. Seguidamente se detalla una definición de esta última: “Mercadería o Mercancía es todo aquello que se puede comprar o vender; es decir, es el producto de una fábrica, de una cosecha, de un trabajo. Un objeto que cualquiera sea su origen, deberá pagarse algo por él”. (Lemus Revolorio Ernesto A.CPNG, M.3, 1990, p. 6). 1.1.5 Carga Sin embargo, no es lo mismo hablar de mercancía que de carga. Aunque en muchas oportunidades se usan indistintamente ambos términos, existe cierta diferencia entre ellos, ya que el segundo se refiere a un concepto mucho más general para referirse a las cosas que se pueden transportar. Se define como: “Carga: Es todo aquello que se puede transportar de un punto a otro.” (Lemus Revolorio Ernesto A.CPNG, M.3, 1990, p. 6) 31 1.1.5.1 Clasificación de la carga Según Lemus, CPNG (1990), hay distintos tipos de carga según la forma en que se presentan: - Carga General: Se refiere a todo tipo de carga, de cualquier naturaleza que se transporta en forma conjunta, en pequeñas cantidades o unidades; se caracteriza porque es posible contarla como bultos y se manipula como unidad. Por ejemplo: cajas, cartones, hierro, tambores, cilindros, tubos, llantas, piezas, bultos (paletas). - Carga a Granel: Se trata de carga que se transporta en cantidades muy grandes y sin embalaje, se estiban directamente en las cubiertas del barco o en compartimentos o tuberías especialmente acondicionadas. Puede ser sólida, líquida o gaseosa, algunos ejemplos en ese orden son: granos comestibles, fertilizantes, minerales, petróleo, lubricantes, sebo, gas propano, butano u otros. - Carga Especial: Como su nombre lo indica, es aquella carga que se diferencia de las demás en términos del cuidado con que se debe manipular, por sus condiciones de peso, peligrosidad, valor o conservación; por lo que generalmente requiere de un manejo especial a la hora de estibarla. Ciertos ejemplos son: maquinaria especializada, medicinas, sustancias químicas peligrosas, artefactos delicados, metales preciosos u obras de arte, bultos del correo. - Carga Contenerizada: Se refiere a la carga general que se unitariza en el interior de contenedor, que es una caja metálica o de fibra de vidrio; lo que permite movilizar a la vez una mayor cantidad de carga en un menor tiempo. Hay distintos tipos por ejemplo lo reefers, los flats e incluso los furgones, que son contenedores incorporados a un sistema de rodadura para trasladarlo. 32 Para trasladar la carga de importación y exportación de un país a otro, los buques (barcos) son los medios de transporte principales en el mundo. 1.1.6 Buques Se nombra a los barcos y los buques indistintamente para referirse a uno de los medios de transporte más relevantes del mundo, el cual se define como sigue: “Una construcción sólida, impermeable y resistente, con propulsión propia que transporta mercadería y personas y que soporta diferentes circunstancias ocasionadas por las corrientes de agua cuando navega.” (Lemus Revolorio Ernesto A.CPNG, M.2, 1990, p. 6) 1.1.6.1 Principales tipos de buque Se considera la clasificación que menciona Lemus, CNPG (1990), en cuanto a los buques.  Buques de Pasajeros: Es un barco para transportar personas, que está construido bajo estrictas normas de seguridad y que normalmente sus instalaciones internas están dotadas de mucho confort, se utilizan principalmente para el turismo, llamado por cruceros.  Buques de Guerra: Son embarcaciones especialmente diseñadas para la guerra, deben contar con características específicas tales como armamento, protección, velocidad y autonomía; además deben poseer capacidad ofensiva, capacidad defensiva y movilidad. Por lo general su capacidad estaba dada por los cañones y por el número de torpedos que poseía, pero que luego fueron reemplazados por misiles teledirigidos.  Buques de Carga: Son aquellos barcos que se caracterizan porque en sus instalaciones pueden transportar cualquier tipo de carga o mercancías, cuentan con equipos y utilería apta para poder embarcar y desembarcar esas mercancías. Son también llamados buques mercantes y de ellos existen varias tipos de 33 acuerdo con el tipo de terminal en que se atiende la carga que trasiega, entre ellos tenemos:  Buques Convencionales (de carga general): Tiene bodegas muy grandes, puede cargar casi cualquier tipo de mercancía; normalmente tienen plumas para poder movilizar la carga.  Buques Graneleros: Se utilizan principalmente para transportar productos agrícolas y minerales, casi siempre es carga suelta ya sea seca o húmeda que no es posible estibar como unidades. Están los graneleros sólidos y los líquidos.  Buques Portacontenedores: Se les llama también celulares, tanto en su bodega como sobre la cubierta están especializados y tienen guías celulares para estibar contenedores. Se clasifican o agrupan por generaciones según la capacidad en TEUS que pueden transportar. Por ejemplo, hasta 1000 se les llama de primera generación, hasta 2000 de segunda generación, hasta 3000 de tercer generación y así sucesivamente, en el 2007 salió el buque Regina Maersks de 15000 y estaba en construcción uno de 19000, es decir ya rondan por la novena generación; adjunto se muestra en la siguiente tabla tomada de la tesis de González Cancelas, María N. (p. 26); las características de estos. Tabla # 1 Tipos de Buques Portacontenedores FEEDER FEEDERMAX (1 ª Generación) HANDY (2 ª Generación) SUBPANAMAX (3 ª Generación) PANAMAX (3 ª Generación) POST PANAMAX (4 ª Generación) SUPER POST PANAMAX (5 ª Generación) PROYECTO MALACAMAX TPM 5.000 20.000 35.000 50.000 60.000 70.000 80.000 243.000 TEU´s 250 1.000 2.000 3.000 4.000 5.000 6.000-7.000 1.800 Eslora 150 m 200 m 240 m 260 m 280 m 300 m 320 m 400 m Manga 25 m 28 m 30 m 32 m 32 m 40 m 40 m 60 m Calado 8 m 10 m 12 m 13 m 13,5 m 14 m 14 m 21 m Filas S/C 10 10 12 13 13 16 17 24 Filas B/C 8 8 10 10 10 12 14 16 Alturas S/C 3 3 3 3 5 5 6 6 Alturas B/C 8 8 9 9 9 9 9 10 Velocidad (nudos) 24 24 24 24 24 24 24 24 S/C: sobre cubierta B/C: bajo cubierta Características de los Buques Portacontenedores TPM: Tonelaje de Peso Muerto Fuente: González (2007). 34  Buques Portabarcazas: Fueron diseñadas para transportar barcazas, realizan las operaciones de carga y descarga en las aguas cercanas a las instalaciones portuarias. Existen varios tipos: Lash, Seabee, Bacat, en realidad no son muy comunes, normalmente esto se da en casos donde los puertos están ubicados en bahías donde es difícil que atraquen los barcos por su tamaño. Un ejemplo es Bahía Turbo en Colombia, se trata de uno de los puertos que se encuentran dentro de las rutas de buques que arriban los puertos del Atlántico.  Buques RO/RO (Roll on / Roll off): Se usan para transportar distintas combinaciones de carga, generalmente aquella que está sobre plataformas o sobre ruedas, tales como vehículos, furgones, entre otros. Tiene rampas y cubiertas conectadas entre sí.  Buques Multipropósito: Fueron diseñados para transportar diversos tipos de mercancías, entre ellos contenedores, mercadería general suelta, vehículos, etc.  Buques Frigoríficos: Se podría decir que son un tipo de buque multipropósito, ya que normalmente se utilizan para transportar frutas frescas, en forma combinada suelta y contenerizada, bajo refrigeración. Al complejo portuario Limón – Moín arriban prácticamente todos los tipos de buques mencionados anteriormente, excepto por los de guerra y los portabarcazas; de estos últimos hace muchos años se manejó esporádicamente este tipo de embarcaciones. En el siguiente gráfico se observa la participación por tipo de nave que arribaron a los puertos del Caribe costarricense, en el año 2010, tomado del anuario estadístico de JAPDEVA del mismo año, el cual se adjunta en el anexo # 1. 35 Gráfico #1 Naves Atendidas en el Complejo Portuario Limón-Moín 7% 32% 41% 7% 0% 1% 1% 5% 6% 0% Convencional Frigorífico Portacontenedor Roll on roll of Granel Sólido Granel Líquido Petróleo Gasero Crucero Otros Fuente: Anuario Estadístico de JAPDEVA. Se observa que la mayoría de las actividades del complejo están alrededor de la carga contenerizada, ya que tanto los portacontenedores como los frigoríficos, los convencionales e incluso algunos roll on roll off, transportan carga de este tipo. Por esta razón el análisis que se realizará a través de este estudio estará enfocado hacia la aplicación de las tecnologías de información en cuanto a la planificación y la operación principalmente de las terminales de este tipo de carga. 1.1.7 La terminal portuaria Se define como: “Entendemos por terminal portuaria, aquella instalación portuaria que constituye la interface entre los diferentes medios de transporte, permitiendo a su través la transferencia de la carga entre el buque y el camión, o ferrocarril, tubería, buque de enlace-feeder-o barcaza y viceversa.” (Estrada Llaquet, 2007, p. 27) Según Estrada (2007) las terminales portuarias constan de cinco partes:  Infraestructura marítima  Infraestructura e instalaciones terrestres  Equipo  Tecnologías y sistemas de la información  Recursos humanos 36 El presente documento se enfoca en el cuarto componente, no obstante no funciona sin el quinto; seguido se muestra el esquema general de una terminal portuaria. Imagen # 5 Esquema de una Terminal Portuaria 1.1.7.1 Terminal de carga Dentro del puerto están las instalaciones y los servicios que se brindan, allí se desarrollan varias actividades, por ejemplo en la terminal de carga, la cual se define así: “Es un lugar del puerto que se especializa para atender determinado tipo de carga; contando con instalaciones (muelles, transferencia, almacenaje) equipo y recursos humanos adecuados para su operación.” (Lemus Revolorio Ernesto A.CPNG, M.1, 1990, p. 18) 37 1.1.7.1.1 Tipos de terminales de carga Los principales tipos de terminales de carga según Lemus Revolorio Ernesto A.CPNG, (1990) son: - Terminales de Carga General: Son un grupo de puestos de atraque, para usos generales en los que se manifiesta una combinación de carga general fraccionada o suelta y cierta cantidad de unidades de cargas por ejemplo paletas o contenedores en buques de tipo corriente (llamados convencionales). - Terminales Polivalentes: Son puestos de atraque flexibles y adaptables para atender carga general y unitarizada, contenedores y carga sobre ruedas (ro-ro). - Terminales de Contenedores: Son terminales especializadas para atender buques portacontenedores celulares. Normalmente tienen una profundidad entre 13-15 metros. - Terminales para Carga Seca a Granel: Se trata de terminales especializadas para atender buques graneleros que transportan grandes cantidades de carga sólida en forma suelta, tal como: cereales, minerales, fertilizantes, abonos, carbón, etc. - Terminales para Fluido (Granel Líquida): Especiales para que atraquen buques de gran calado, la carga generalmente puede ser petróleo y sus derivados, sebo, productos químicos, aceite vegetal, etc. Específicamente en estas terminales lo que se transporta es la carga o mercancía, lo que se constituye en la razón de ser del comercio entre países, es decir, lo que se moviliza de un puerto a otro. 38 1.2 Función económica y objetivos de un puerto Dentro de las instalaciones de un puerto se llevan a cabo varias funciones que persiguen distintos objetivos, que se mencionan a continuación. 1.2.1 Funciones económicas del puerto La función económica de un puerto, conforme cita Estrada Llaquet (2007) a R. Goss (1990 a) es generar beneficios a los productores originales de las mercancías de exportación y a los consumidores finales de las mercancías de importación, cuando pasan a través del puerto, es decir se alcanza mediante la reducción del costo general del transporte como resultado del paso de las mercancías a través del puerto. 1.2.2 Objetivos económicos del puerto Según Estrada (2007) se clasifican en tres objetivos económicos: microeconómico, macroeconómico y sectorial.  Objetivo Microeconómico: Se refiere a lograr el máximo nivel de ingresos por unidad de tráfico, tomando en cuenta su diversificación y en beneficio del puerto de forma individual.  Objetivo Sectorial: Se trata de minimizar los costos totales del paso de los buques y las mercancías a través del puerto, optimizando la cadena (o sector) transporte, en beneficio del sector de transporte.  Objetivo Macroeconómico: Maximizar la creación de riqueza y valor agregado sostenido de la economía local, regional y nacional a partir del puerto, es decir el impacto que genera el puerto en el territorio donde opera. 1.3 La autoridad portuaria y modelos El puerto tiene diversos actores, pero hay uno que tiene el rol de liderazgo, a este se le llama autoridad portuaria y se define como sigue: 39 “Entendemos por Autoridad Portuaria la organización pública que administra y gestiona el puerto. La palabra está tomada del inglés „Port Authority””. (Estrada, 2007) De las actividades y funciones que realiza la autoridad portuaria y la iniciativa privada dentro de un puerto, según el mismo autor, se derivan tres modelos de autoridad portuaria, a saber: - Puerto Propietario o Landlord Port: La autoridad portuaria se encarga de la construcción de la infraestructura, ofrece la seguridad portuaria y medioambiental, y planifica el puerto, mientras que los privados se encargan de construir la superestructura y las instalaciones, adquirir el equipo y es el que presta los servicios portuarios. - Puerto Instrumento o Toll Port: La autoridad portuaria construye tanto la infraestructura como la superestructura, adquiere los equipos y entrega al privado para que explote las instalaciones. - Puerto operador u Operating Port: La autoridad portuaria realiza todas las funciones desde construir infraestructura, superestructura, compra del equipo y presta los servicios ella misma, normalmente es cuando el sector público tiene en sus manos toda la actividad portuaria. Este es el caso de JAPDEVA. 1.3.1 Funciones fundamentales de las autoridades portuarias modernas De acuerdo con Estrada (2007), son cinco las principales funciones de una autoridad portuaria en la actualidad: 1. La función de puerto propietario. 2. La función de establecer la política portuaria y la de planificación. 3. La función reguladora, de control y de supervisión de la legislación. 40 4. La función de seguimiento de la actividad y desarrollo estructural y tecnológico y de promoción del puerto, en colaboración con la iniciativa privada. 5. La función de formación portuaria. 1.4 La comunidad portuaria: concepto y clasificación Se define como: “La comunidad portuaria de un determinado puerto, es el conjunto de empresas, instituciones y organizaciones públicas y privadas, que están relacionadas con los procesos logísticos asociados al paso de mercancías y buques por dicho puerto”. (Estrada Llaquet, 2007, p. 45). Según Estrada (2007) la clasificación de los agentes que forman parte de la comunidad portuaria son: a) Administraciones: Autoridad portuaria, capitanía marítima, aduana, sanidad exterior, sanidad animal, sanidad vegetal, servicio oficial de inspección y vigilancia de las exportaciones e importaciones, policía gubernativa, ayuntamientos, comunidad autónoma. b) Organismos oficiales: cámaras de comercio, industria y navegación, universidades. c) Empresas prestadoras de servicios marítimo-portuarios: c.1) Vinculadas al buque: Armadores, navieros, consignatarios de buques/ agentes marítimos, prácticos, empresas de remolque, empresas armadoras, corredores o agentes de seguros, empresas de suministro de combustible, astilleros y varaderos, otros. c.2) Vinculados a la mercancía-pasajeros: Agentes de aduanas, corredores o agentes de seguros, sociedad estatal de estiba y desestiba, empresas estibadoras, empresas de transporte de carretera y de ferrocarril, operadores de terminal, agencias de viajes, consolidadores de carga, 41 consorcios de averías, consignatarios de mercancía, operadores logísticos, otros. c.3) Vinculado a ambos, buque y mercancía. Transportistas / porteadores / operadores de línea, operadores de transporte multimodal operador de buques (OTM-OB), operadores de transporte multimodal no operador de buques (NVOCC), otros. d) Asociaciones: De empresas consignatarias y estibadoras, de transitarios, de usuarios del transporte marítimo, de agentes de aduanas, otros. e) Empresas industriales y logísticas. f) Empresas comerciales. g) Otras empresas o agentes. 1.5 Cluster portuario En la actualidad se han introducido conceptos modernos e integradores para definir al conjunto de actores totales de un puerto, uno de ellos es el cluster portuario, cuyo concepto se cita como: “Una población de unidades de negocio geográficamente concentradas y mutuamente relacionadas, asociaciones y organizaciones público-privadas, centradas alrededor de una especialización económica diferenciada”. (Estrada Llaquet, 2007, p. 52) El cluster es más amplio que la comunidad portuaria, de hecho esta última forma parte del cluster portuario. La autoridad portuaria es parte ambas y el papel que desempeña es de gestor o administrador del cluster. 1.6 El cliente del puerto La definición de cliente portuario es muy amplio, no obstante Estrada Llaquet lo delimita como: “Cliente es la empresa que tiene la capacidad de elegir el modo del transporte y el puerto por el que debe ser movida la mercancía (…) Los clientes más importantes de un puerto son aquellos que determinan la ruta de la mercancía”. (Estrada Llaquet, 2007, p. 60) 42 Los clientes de JAPDEVA son muchísimos y variados, de hecho tal como lo menciona el autor existen clientes internos y externos. Tanto se consideran clientes los usuarios del puerto como los clientes finales, que es a lo que se refiere la definición antes citada. 1.7 Eficiencia y competitividad portuaria Los conceptos de eficiencia y competitividad son de muchísima relevancia en la prestación de servicios de un puerto, pues es mediante ellos que, tanto local como internacionalmente, se evalúa a los puertos. 1.7.1 Eficiencia La eficiencia en términos generales es la manera en que logramos alcanzar los objetivos con el mínimo de los recursos disponibles o en su defecto superar los objetivos propuestos con los mismos recursos disponibles. Según cita Estrada Llaquet (2007), la eficiencia de un puerto se suele entender como la rapidez y la seguridad en la prestación de los servicios portuarios. Todas las actividades del puerto deben ser rápidas y debe ofrecerse un servicio de calidad a un precio aceptable a los usuarios y clientes del puerto. La eficiencia y la productividad de un puerto constituyen factores críticos de su buen desempeño y afectan directamente la eficiencia de la cadena de transporte como un todo. El manejo eficiente de las tecnologías de la información contribuye a estos factores. 1.7.2 La competitividad portuaria y sus factores La competitividad de un puerto es su cualidad de ser competitivo, según Estrada Llaquet (2007, p. 75): “La competitividad refleja la capacidad y la habilidad, esto es, determina el poder para competir, el cual depende de la forma y del proceso en que una serie de elementos decisivos son utilizados o puestos en operación”. 43 Se indica que tiene dos orientaciones: el liderazgo en costos y la diferenciación; el primero se refiere expresamente a competir a los costos más bajos, mientras que el segundo su objetivo es ofrecer el mayor valor agregado a los distintos nichos de mercado. Se observa de diversas formas: diferenciación por especialidad, diferenciación por innovación, diferenciación a partir de la vinculación y diferenciación por flexibilidad o adaptación. Como se mencionó en la definición de competitividad, son varios los elementos o factores que se conjugan para poder determinar si un puerto es competitivo, Estrada Llaquet (2007) cita los siguientes: 1. La situación geográfica del puerto. 2. La accesibilidad a la zona de influencia terrestre. 3. La capacidad y calidad de la infraestructura portuaria. 4. La capacidad operativa del puerto. Existencia, disponibilidad, eficiencia y agilidad de los servicios portuarios. 5. La existencia de competencia interna entre los prestadores de servicios del puerto. 6. La existencia de políticas de calidad. 7. La capacidad, cualificación profesional, motivación, el estatus de la mano de obra portuaria. 8. La eficiencia de los servicios de control. 9. La existencia en puerto de líneas marítimas regulares y de servicios de transporte interior. 10. La integración del puerto con otros nodos de la cadena logística, como las terminales interiores o puertos secos. 11. El precio de los servicios portuarios. 12. El precio del terreno portuario. 13. Las condiciones de fiabilidad del puerto. 14. Las condiciones de seguridad (safety) y de protección de mercancías y pasajeros (security). 44 15. El respaldo activo del entorno. 16. La existencia de una comunidad portuaria vertebrada y orientada al cliente. 17. La existencia de una autoridad portuaria con capacidad de liderazgo sobre la comunidad portuaria más allá de su función como órgano de gobierno y regulación. 18. Las tecnologías y los sistemas de información. 19. La capacidad financiera y la competitividad de las empresas que operan en el puerto. 20. La oferta de servicios de valor añadido. 21. Las exigencias de las leyes y regulaciones existentes en el puerto. De todos los factores antes mencionados, este trabajo de investigación se enfoca en las tecnologías y los sistemas de información como uno de vital importancia para la transmisión de datos, a lo interno y externo de la institución. 1.8 Operaciones y servicios portuarios El concepto de operación portuaria involucra un proceso global que incluye hasta los trámites administrativos previos al arribo del barco a un puerto, el manejo de la mercancía o de los pasajeros durante el tiempo de estadía en el puerto y las maniobras de atraque y desatraque del buque. Cendrero Benjamín y Tryols Sebastián (2008), lo definen: “Se denominan operaciones portuarias a aquellas que se realizan en la manipulación de la mercancía desde el momento en que el buque se encuentre atracado en el puerto, hasta que la mercancía sale de la zona portuaria a través de un transporte terrestre, o recíprocamente, desde que la mercancía entra en la zona portuaria, hasta que se haya colocada en el buque dispuesta para emprender el transporte marítimo. El conjunto de operaciones portuarias son las que permiten que la mercancía pase de un modo de transporte a otro, es decir del modo marítimo al terrestre y viceversa. (p. 171) 45 En este proceso intervienen varios actores que desarrollan lo que llamamos servicios portuarios, que consiste en actividades de prestación de servicios a lo largo de la operación portuaria y que son los que dan vida a las instalaciones o complejos portuarios. 1.8.1 Clasificación de los servicios portuarios brindados en JAPDEVA Según se extrae de la entrevista con el Intendente portuario, Lic. Karl Mc Queen, del 4 de julio del 2011, al explicar la dinámica de la operación portuaria, indica la clasificación de los servicios portuarios es como sigue: 1.8.1.1 Servicios a la nave Son todos aquellos servicios que se le otorgan directamente al buque en términos de ayudas a la navegación para poder realizar su operación en el tiempo que permanezca en el puerto, entre ellas tenemos: las ayudas a la navegación, el practicaje, remolcaje, el atraque y desatraque del buque, la estadía, las comunicaciones, entre otros. 1.8.1.2 Servicios a la carga Se trata de los servicios que se brindan a las mercancías y la carga que traen o llevan los barcos, podemos mencionar algunas tales como la desestiba y estiba a bordo, la carga y descarga, el muellaje, almacenaje, recepción y despacho. 1.8.1.3 Otros servicios Se constituye en todos aquellos servicios adicionales conexos que no se incluyen en los anteriores y que pueda requerir tanto el barco como las personas, entre ellos: lancha para pasajeros, mantenimiento a los buques, aprovisionamiento de alimentos o agua, extracción de desechos, electricidad, combustible. 46 El detalle de todos los servicios de JAPDEVA se muestra en el Anexo # 2, recuperado de la página electrónica de la institución en: http://www.japdeva.go.cr/adm_portuaria/servicios%20portuarios.html. Una vez definidos todos los conceptos anteriores y al pretender relacionarlos, queda clara la importancia de la planificación, que es una función administrativa indispensable y relevante en las actividades de las terminales de carga. A esa secuencia de tareas diarias se les llama planificación de operaciones, y en el caso de un gerente de puerto o administrador portuario (en nuestro ámbito se trata del Intendente Portuario) a la de corto plazo le debe prestar mayor atención, dado que le va a permitir una eficiente gestión diaria de la manipulación de carga en una terminal portuaria. 1.9 Planificación de las operaciones portuarias La planificación de una operación portuaria consiste en ordenar, preparar todo lo concerniente a satisfacer una demanda de servicio de carga específica, por ejemplo de una compañía naviera. Tal como se define en el Reglamento portuario de TISUR: “La planificación de las operaciones portuarias se llevará a cabo a fin de organizar, coordinar, asignar y controlar los recursos del Terminal para las operaciones que sean solicitadas por los usuarios. Contempla las siguientes acciones: a) Planear e impartir las disposiciones para el desarrollo de las operaciones, b) Evaluar la magnitud de cada operación, recursos necesarios, posibilidades de congestión y medidas a adoptarse, c) Planear la asignación de amarraderos, d) Planear la asignación de zonas de almacenamiento”. (p. 9) Este tema es de suma importancia, tal como lo indican las Naciones Unidas (1982): “La planificación es una tarea administrativa importante para todas las actividades en el puesto de atraque (…) La planificación efectiva es la clave para el rendimiento mejorado del manipuleo de carga y proporciona la base para el eficiente control diario de las actividades en el puesto de atraque”. (p.1) 47 Asimismo, indica uno de los intendentes portuarios de JAPDEVA, Karl Mc Queen Williams, según entrevista del 4 de julio del 2011: “La planificación la operación portuaria es el ordenamiento de las variables a ser consideradas, en forma ordenada y coordinada optimizando en sí toda la cadena de servicio, para lo cual existen toda una serie de indicadores: de gestión , efectividad, rendimiento, de costos, de productividad, entre otros; que controlan la actividad, lo cual permite ser analizada y mejorada continuamente. Es el poder prever en forma ordenada los posibles acontecimientos a realizarse en forma ordenada para lograr el objetivo de servicio oportuno, eficiente, de calidad de forma satisfactoria de acuerdo a lo esperado”. Seguidamente, se muestra el diagrama del proceso de la operación portuaria, que claramente involucra la planificación y el control en sus distintas fases, fue creado con base en la información suministrada por el intendente portuario. También se muestra en qué procesos de la operación se aplican los distintos módulos del SIOPJ y los casos en que se interrelacionan. 48 Diagrama # 2 Proceso de la Operación Portuaria DESCRIPCIÓN DEL PROCESO DE LA OPERACIÓN PORTUARIA Exportación Importación Exportación Importación Exportación Importación 12,5% 12,5% 25% 25% 12,5% 12,5% Programa de trabajo: Secuencia Descarga Liquidación Serv. Manifiestos ÍDEM Secuencia Carga Indicadores Port: ÍDEM Solicitud Ing / Sal Planos Exp/Carga Planos Imp/Descarga Rendimientos Productividad Listados - Tic@ Listados de carga. Listados carga esp./peligrosa especial/peligrosa, etc. Duas / Viajes, etc. Control Logístico Eficiencia Control Logístico (Port log) (Port log) Merc.fuera Manifiesto Demoras Módulos 1, 2, 3, 5 SIOP (25%) Módulos 3, 5 SIOPJ (50%) Módulo 6, (7 pend.) SIOPJ (25%) Hay ineficiencia en esta función Tiempos según volumen/tipo carga Menos tiempo, (24-48 h) Productos: Rendimiento/Tiempos Fuente: recuperado de la entrevista con Intendente Karl Mc Queen, el 4 julio del 2011. ANTES DURANTE DESPUÉS 1 2 3 4 1 2 3 4 1 2 3 4 5 1 2 3 4 1 2 3 4 5 1 2 3 4 5 49 1.10 Sistemas de información Una herramienta destacada, que ayuda a mejorar los controles, la eficiencia y eficacia, la productividad, competitividad, así como agilizar los procesos y eliminar los procedimientos manuales en los puertos, es la tecnología aplicada en los sistemas de información, cuyo concepto se cita a continuación. Según Kenneth y Jane Laudon (2004): “Los sistemas de información son más que sólo computadoras. El uso eficiente de estos sistemas requiere entender los aspectos de organización, administración y tecnología de la información que les dan forma. Todos los sistemas de información se pueden describir como soluciones de organización y administración a los retos planteados por el entorno, que ayudarán a crear valor para la empresa”. (p. 12) Mientras que una definición basada en la tecnología de la información, según Whitten, Bertley y Dittman (2004), indica: “Un sistema de información es un conjunto de personas, datos, procesos y tecnología de la información que interactúan para recoger, procesar, almacenar y proveer la información necesaria para el correcto funcionamiento de la organización” (p. 13) Una definición general de sistemas de información, según Fernández Alarcón Vincenç (2007), es la siguiente: “Un conjunto de componentes interrelacionados que recolectan (o recuperan), procesan, almacenan y distribuyen información para apoyar la toma de decisiones y el control de una organización. Además de apoyar la toma de decisiones, la coordinación y el control, los sistemas de información también pueden ayudar a los gerentes y trabajadores a analizar problemas, a visualizar asuntos complejos y a crear productos nuevos.” (p. 12) De manera que es importante asegurarse de que fueron diseñados de acuerdo con un estándar o una norma y poder documentar o validar este proceso. 50 1.10.1 Componentes Los sistemas de información tienen cuatro grandes componentes según cita Fernández Alarcón, Vincenç (2006), que se detallaran seguidamente: 1.10.1.1. Individuos participantes: Este integra seis categorías de personas:  Propietarios; son los que patrocinan, promueven, financian y normalmente autorizan la puesta en marcha del sistema.  Usuarios; son los que usan los sistemas de información, para capturar, introducir, validar, transformar, almacenar datos e información.  Diseñadores: son aquellos expertos en tecnología que resuelven la necesidad y limitaciones del usuario mediante recursos tecnológicos.  Constructores; son los especialistas en tecnología, que se encargan de fabricar el sistema de información basado en las especificaciones de diseño que le suministran los diseñadores.  Analista; es aquella persona que estudia los problemas y las necesidades para determinar qué combinación de recurso humano, procesos, datos y tecnología de información ofrece mejoras a la empresa.  Project Manager; es el profesional experimentado que asume la responsabilidad de planificar, supervisar, controlar el proyecto de sistema de información en lo que respecta a plazo, presupuesto, satisfacción del cliente, manejo de recursos y calidad. 51 1.10.1.2 Datos e información Los datos son hechos o cifras, mientras que la información se refiere a esos datos procesados con un significado y propósito independientes. 1.10.1.3 Procesos de negocio (procedimientos) Es el conjunto de tareas que responden a actividades específicas del negocio, así como el conjunto de tareas o actividades que se pueden automatizar. 1.10.1.4 Tecnología de información Describe la combinación de la tecnología informática (hardware y software) con la tecnología de las telecomunicaciones (redes, tecnologías de almacenamiento y comunicaciones), es decir, es el soporte físico sobre el cual se desarrolla un sistema de información. En términos de los sistemas de información gerencial (SIG), la tecnología es la herramienta que los gerentes utilizan tanto para la toma de decisiones diarias como para hacer frente a los grandes cambios que se enfrentan hoy en día en el mundo de los negocios, posee una infraestructura que incluye cuatro componentes muy importantes que son el hardware, software, tecnología de almacenamiento y tecnología de comunicación. A continuación se detallan los conceptos básicos de ellos. 1.10.1.4.1 Hardware Se define como: “El hardware de cómputo es el equipo físico utilizado para las actividades de entrada, procesamiento y salida en un sistema de información”. (Laudon Kenneth y Jane, 2004, p. 14) 1.10.1.4.2 Software El concepto es: “El software de cómputo consiste en instrucciones detalladas preprogramadas que controlan y coordinan los componentes del hardware de cómputo en un sistema de información”. (Laudon Kenneth y Jane, 2004, p. 14) 52 1.10.1.4.3 Tecnología de almacenamiento Se conceptualiza como: “La tecnología de almacenamiento incluye tanto los medios físicos para almacenar datos, como discos o cintas magnéticas u ópticas y el software que controla la distribución de los datos en estos medios físicos”. (Laudon Kenneth y Jane, 2004, p. 14) 1.10.1.4.4 Tecnología de comunicaciones Laudon Kenneth y Jane indican: “La tecnología de comunicaciones, que consta de dispositivos físicos y software, enlaza las diversas piezas del hardware y transfiere datos de una ubicación física a otra”. (2004, p. 14) 1.10.1.4.5 Red El concepto se puede definir de la siguiente manera: “Una red enlaza dos o más computadoras para compartir datos o recursos, como una impresora”. (Laudon Kenneth y Jane, 2004, p. 14) Según este mismo autor, la red más grande del mundo y la más ampliamente utilizada es Internet, que se constituye como la red de redes global o internacional que proporciona una plataforma flexible para compartir información a través de un conjunto de cientos de miles de redes públicas y comerciales. 1.10.1.4.6 Infraestructura tecnológica Todo lo anterior conforma lo que se llama la infraestructura de la tecnología de la información, que Laudon Kenneth y Jane (2004) definen como: “Tecnología de hardware y software de cómputo, de datos y almacenamiento, y redes que proveen una cartera de recursos compartidos de tecnología de la información para la organización”. (p.14) Esta es la que constituye la plataforma en la que la empresa y/o organización construye sus sistemas de información. 53 En este proyecto se pretende prestar atención en especial el software, es decir a las aplicaciones y soluciones que diseñaron funcionarios del departamento informático de JAPDEVA, como herramienta de apoyo para el control y la planificación, la mejor gestión y la toma de decisiones en el Complejo Portuario Limón – Moín. En el ambiente portuario, durante el proceso de recepción y despacho de las mercancías, se lleva a cabo un intercambio de información, tanto a nivel documental como electrónico entre los distintos usuarios portuarios y las entidades públicas que participan en el trasiego marítimo de mercancías. Algunos de estos son: las declaraciones de carga o manifiestos, las declaraciones aduaneras o DUA, los conocimientos de embarque o BL, los planos de estiba, tramitación de entradas o salidas de mercancías, tramitación de mercancías peligrosas, solicitudes de operaciones portuarias, etc. Para que haya una correcta transferencia de la información son necesarios todos los recursos de las tecnologías de la información, en el caso de nuestro país desde el 2007 se implementó el Sistema TIC@, que permite la transmisión de información entre la aduana y las otras entidades de la comunidad portuaria. Se puede decir que es el lenguaje común entre los participantes del transporte marítimo, ya que hasta este nivel llegan las comunicaciones, ya que actualmente no hay una plataforma unificada que permita la interrelación directa entre todos los participantes de la comunidad portuaria de la autoridad portuaria (los armadores, los agentes navieros y aduaneros, estibadores, transportistas, entre otros), local e internacionalmente, como sí se da en mucho otros países del mundo. El haber concluido el proyecto de desarrollo del SIOPJ antes, permitió agilizar la puesta en marcha de este proyecto del gobierno, ya que es a través del sistema de JAPDEVA que se asigna el número de AZ de las embarcaciones, razón por la cual se logró implementar los primeros dos módulos de este sistema en estudio. 54 1.11 Administración de sistemas de información Así como es necesario que se gestione una empresa, las tecnologías de la información deben contar con la debida administración, para asegurar el éxito de las operaciones, en este caso de estudio se trata de los puertos. Al igual que la administración general, el proceso consiste en las actividades de planeación, organización, ejecución, control, e incluso la integración de los sistemas de información de una empresa o institución; desempeñada por el capital humano tal como el gerente o administrador de sistemas, el diseñador, el programador, el analista, el encargado de redes, etc.; para determinar y alcanzar los objetivos señalados a través del uso de la tecnología. Se le llama Administración de los Sistemas de Información. Según Laudon Kenneth y Jane (2004), existen varios tipos de sistemas, elaborados para los distintos niveles de la organización, desde los sistemas operativos, del conocimiento, administrativos hasta los estratégicos. En el primer nivel están los sistemas de procesamiento de transacciones o datos, en el segundo encontramos los sistemas de oficina y los de trabajo del conocimiento, en el tercero se ubican los sistemas de información gerencial y los de apoyo a la toma de decisiones y finalmente en el cuarto nivel se mencionan los sistemas de apoyo a ejecutivos. De acuerdo con lo anterior, se puede decir que el SIOPJ es un sistema integrado originalmente ubicado en el segundo nivel, tendiente en el futuro a cubrir el tercero, dado que según indican sus desarrolladores tendrá un módulo gerencial. 1.11.1 Aspectos generales Los aspectos que usualmente considera la administración de los sistemas de información se amplían seguidamente. 1.11.1.1 Planificación estratégica de los sistemas de información Según indican los autores Laudon Kenneth y Jane (2004), se refiere a los planes futuros, es decir, la estrategia que se aplicará en cuanto a las tecnologías de información; es la toma de decisiones de largo plazo, mediano y corto plazo de la organización, en 55 términos de las metas, políticas y los recursos que va a requerir para lograr que pueda cambiar, ajustarse al entorno y a la globalización y competitividad actuales. Específicamente en cuanto a sus sistemas de información y a la tecnología aplicada a ellas, en el entendido de que estén alineados con las metas y objetivos estratégicos de la empresa como un todo. Es decir, intenta identificar y establecer las prioridades en términos de las tecnologías y las aplicaciones que generen el máximo beneficio a la empresa. 1.11.1.2 Organización de los sistemas de información Es la aplicación de la administración a la cadena de abastecimiento, se trata de la tarea administrativa en que existe una unidad o departamento encargado de coordinar la relación entre los proveedores externos y los usuarios finales internos y los usuarios externos de los sistemas de información de la empresa. Asimismo, de supervisar que todo marche bien en esa área y que se dé el correcto uso de las tecnologías de información. 1.11.1.3 Integración de sistemas o sistemas integrados Integrar los sistemas significa lograr que haya conectividad y enlaces entre los distintos niveles de sistemas de información antes mencionados, incluso cuando estos son soluciones ya existentes que deben adaptarse o ser compatibles con los nuevos software, mientras que los sistemas integrados tienen que ver con que la información pueda fluir de un sistema a otro, ya que en la mayoría de los casos uno es insumo del otro. A pesar de ser conceptos relacionados, no son exactamente lo mismo. 1.11.1.4 Conectividad Uno de los principales problemas que enfrentan los sistemas de información es la conectividad, esto se refiere a las telecomunicaciones, es decir, la forma en que se enlazan los distintos usuarios del sistema, en sí el intercambio electrónico de los datos y 56 de la información; sea vía telefónica, vías redes -pueden ser públicas o privadas-, sean internas (intranet) o externas (Internet). Este punto es de suma relevancia cuando se aborda el tema de los sistemas operativos para los puertos alrededor del mundo, que deben tener buen acceso a las comunicaciones entre ellos. El caso de JAPDEVA no es la excepción, no obstante aún se encuentra realizando varios esfuerzos en cuanto a este tema de conectividad, en términos internos recientemente hizo inversiones para ampliar el ancho de banda de la transmisión de datos, sin embargo; cuando nos referimos a lo externo todavía queda mucho trabajo. 1.11.1.5 Desarrollo de sistemas de información Según indica Laudon y Laudon (2004): “Las actividades involucradas en la generación de una solución de sistemas de información para un problema organizacional o una oportunidad se denominan desarrollo de sistemas”. (p. 389) Esta interacción entre el usuario y el diseñador del sistema es una cooperación entre ambos, lo importante es que se realice en orden y siguiendo las etapas que menciona el mismo autor: a) Análisis del sistema actual, o las necesidades; incluye el estudio de factibilidad y el establecimiento de requerimientos de información. b) Diseño de sistemas. c) Programación. d) Comprobación. e) Conversión y producción. f) Mantenimiento. Este proceso de desarrollo del sistema se lleva a cabo mediante lo que se conoce como el ciclo de vida del desarrollo del sistema de información, el cual se puede observar en dos estados: 1) el proceso de desarrollo del sistema informático y 2) el uso y mantenimiento del sistema informático. 57 El Ciclo de Vida de Desarrollo de un Sistema (CVDS) corresponde al conjunto de fases o etapas secuenciales, las actividades, métodos, herramientas y mejores prácticas, mediante las cuales el desarrollador y/o la organización desarrollan el sistema. 1.11.1.6 Métodos de desarrollo de sistemas de información Existen varios modelos alternativos de desarrollo de sistemas de información, tal como se menciona Laudon y Laudon y se detalla a continuación. 1.11.1.6.1 Modelo de ciclo de vida tradicional Este es el modelo más comúnmente difundido y el más antiguo que se usa para construir sistemas de información, normalmente es utilizado para proyectos grandes y/o complejos. También es conocido como el Modelo de Cascada, Clásico, se define así: “Metodología tradicional para desarrollar un sistema de información que divide el proceso de desarrollo de sistemas en fases formales que deben completarse secuencialmente con una división muy formal de las actividades de los usuarios finales y los especialistas de sistemas de información”. (p. 395) Consiste en las siguientes etapas, según Laudon y Laudon: 1) Definición del proyecto: se determina si hay un problema o no y si puede resolverse con un nuevo proyecto. 2) Estudio de sistemas: se analiza el problema y las posibles soluciones. 3) Diseño: especificaciones de diseño lógico y físico. 4) Programación: se traducen las especificaciones a software. 5) Instalación: pruebas, capacitación y conversión para dejar el sistema funcionando. 6) Post-implementación: se usa y se evalúa, se efectúan modificaciones, mejoras y detalles. 58 En este caso no se puede iniciar una fase sin terminar la anterior, y cuando se dan cambios, se deben repetir esas etapas ocasionando grandes volúmenes de documentación. Es normalmente costoso, consume mucho tiempo y además es inflexible. 1.11.1.6.2 Modelo de creación de prototipos Este método consiste en un sistema experimental donde el usuario final interactúa y evalúa el prototipo hasta llegar a conformar el sistema final. Laudon y Laudon lo define como: “Proceso de construcción rápida y económica de un sistema experimental de demostración y evaluación para que los usuarios puedan determinar mejor los requerimientos de información”. (p. 395) Los pasos en el proceso de creación de un prototipo son cuatro: 1) Identificar los requerimientos básicos del usuario. 2) Desarrollar un prototipo inicial. 3) Usar el prototipo. 4) Revisar y mejorar el prototipo. Al finalizar los pasos se repiten, el 3 y 4 tantas veces como sea necesario hasta lograr la satisfacción del usuario. Dada la rápida evolución del entorno, hay poco tiempo para desarrollar los sistemas bajo las modalidades tradicionales, el entorno cambia demasiado rápido, por lo que el modelo de prototipos permite de manera significativa que el proceso desarrollo de un sistema sea más ágil y a bajos costos. 1.11.1.6.3 Modelos de paquetes de software de aplicaciones Se trata de sistemas basados en aplicaciones que son comunes en varios tipos de organizaciones comerciales que poseen funciones universales con procesos estandarizados; los autores Laudon y Laudon (2004), lo definen como: 59 “Conjunto de programas de software de aplicaciones ya escritos y codificados que están disponibles comercialmente para venta o arrendamiento”. (p. 397) 1.11.1.6.4 Modelos de desarrollo por parte del usuario final Estos sistemas son creados por los mismos usuarios normalmente con lenguajes de cuarta generación, de gráfico y con herramientas usuales de PC. Normalmente se puede crear mucho más rápido que con el ciclo de vida tradicional. Su definición, según K. Laudon y J. Laudon, es: “Desarrollo de sistemas de información por parte de los usuarios finales con poco o ninguna ayuda formal de los especialistas técnicos”. (p. 398) 1.11.1.6.5 Modelos de subcontratación En este caso las organizaciones no desarrollan sus sistemas, sino que las solicitan a otros proveedores. Se define así: “Práctica de encargar las operaciones del centro de computación, las redes de telecomunicaciones o el desarrollo de las aplicaciones a proveedores externos”. (p. 399) 1.12 Metodologías de evaluación del ciclo de vida de desarrollo de sistemas de información El ciclo de vida de desarrollo de los sistemas de información es una de las metodologías que tradicionalmente se usan para elaborar sistemas, tal como se mencionó en el apartado 1.12.5.1. A pesar de que la CGR sugiere el uso de este u otros métodos, no posee un instrumento o guía detallada que permita a las instituciones poder evaluar su cumplimiento, en realidad en el capítulo tercero de la normativa que se menciona más adelante en el apartado 1.13.1.1 solo se denotan en forma general las 10 fases básicas de este método. Por ello mediante la orientación de un funcionario de esta entidad reguladora se ubicó la guía de auditoría del CVDS del gobierno de Perú, recuperado de la página electrónica de la contraloría de ese país (http://www.contraloria.gob.pe/wps/portal/portalcgr), la cual se adjunta en el anexo #3 60 1.13 Norma Se define una norma como: “Punto de referencia. Estándar que se utiliza para comparar”. (Rosenberg, 1992, p. 278) Es decir, contar con un marco de referencia confiable, aceptado y certificado de una práctica; en este caso de la función de planificación aplicado a las operaciones de una terminal de contenedores y plasmado en una solución tecnológica (software), que es lo que se persigue asegurar mediante el desarrollo del análisis de esta investigación. 1.13.1 Normativa nacional de las tecnologías de información Históricamente, en este país se ha regulado el tema de las tecnologías de la información a través de la Contraloría General de la República, en este sentido es el ente encargado de emitir los criterios, normas y otras medidas de control en cuanto a las TI. 1.13.1.1 Manual sobre normas técnicas de control interno relativo a los sistemas de información computarizados (SIC) En el período que se desarrolló el SIOPJ, la regulación vigente fue el Manual sobre Normas Técnicas de Control Interno relativo a los Sistemas de Información Computarizados (SIC), que data de 1996, con el que se pretende evaluar el cumplimiento de los desarrolladores con la norma al momento de diseñar el SIOPJ. La normativa consta de seis capítulos con sus respectivos apartados, según Hidalgo Solano, Samuel (1995), y recuperado de la página electrónica de la CGR: http://cgrw01.cgr.go.cr/portal/page?_pageid=434,1761306&_dad=portal&_schema=PO RTAL. Su contenido general es el siguiente: normas generales, preinstalación, administración, desarrollo de sistemas, documentación y operación. El detalle se muestra en el anexo # 4. 61 El énfasis de este trabajo de investigación es el capítulo 303: Desarrollo de Sistemas, que es uno de los más relevantes para asegurar el éxito de la puesta en operación de un sistema de información nuevo o modificado. Incorpora diez apartados específicos del ciclo de vida de desarrollo de los sistemas. 1.13.1.2 Normas técnicas para la gestión y el control de las tecnologías de información Actualmente la normativa a la cual debe apegarse toda institución pública en materia de sistemas de información, se publicó desde junio del 2007, y sustituye el manual mencionado en el apartado anterior 1.13.1.1. La Contraloría General de la República incorporó mediante resolución en La Gaceta No. 119, la nueva normativa: Normas Técnicas para la Gestión y el Control de las Tecnologías de Información (N-2-2007-CO- DFOE), tomado de la página electrónica de la CGR: http://jaguar.cgr.go.cr/content/dav/jaguar/documentos/cgr/foe/documentos/elegidos/nor mas_ti_gaceta119.pdf . En ella se establecen los criterios básicos de control que se deben observar en la gestión de las tecnologías de información y que tienen como propósito coadyuvar en la administración de este instrumento esencial que las instituciones y/o empresas utilizan para mejorar y consolidar la prestación de sus servicios, así como racionalizar los recursos que e invierten en ellos. Consta de cinco capítulos, a saber: normas de aplicación general, planificación y organización, implementación de tecnologías de información, prestación de servicios y mantenimiento, seguimiento. Se puede observar su contenido total en el anexo # 5. Cabe mencionar que esta norma surgió como resultado de un análisis en el que se consideraron marcos de referencias internacionales, en el caso de nuestro país se tomó como base el COBIT, dado que somos una nación miembro de ISACA, de manera que más adelante se hará referencia en forma general acerca de este marco en el apartado 1.13.2.1 del documento. 1.13.1.3 Normas de control interno para el sector público Además, en febrero 2009, se publica en La Gaceta No. 26 las Normas de Control Interno para el Sector Público (N-2-2009-CO-DFOE), recuperado en la página 62 http://www.gaceta.go.cr/pub, el 15 de febrero 2011, las cuales contemplan en su capítulo V, las Normas sobre Sistemas de Información, y en su apartado 5.9 (ver anexo # 6) correspondiente a las tecnologías de información, indica la obligatoriedad de cumplir con las Normas Técnicas para la Gestión y el Control de las Tecnologías de Información, mencionadas anteriormente. Lo que corresponde a la misma referencia que se utiliza en este documento, con lo que no sólo se lograría estar conforme al estándar en esta materia a nivel local, sino que a la vez cumplir con un requerimiento de control interno que exige un ente regulador de las instituciones públicas, como lo es la Contraloría General de la República. Esta última de igual manera tiene carácter de obligatoriedad y debe cumplirse en las instituciones reguladas por la CGR, según se consigna en el artículo 6°, un año después de su entrada en vigencia, es decir a partir de febrero del 2010. 1.13.2 Normativa internacional de las tecnologías de información La normativa internacional acerca de los sistemas de información es bastante amplia, entre las más conocidas están las normas ISO y las normas de control COBIT, entre otras.  Normas ISO: según fue recuperado de la página electrónica http://www.bsigroup.com, el 11 de mayo del 2011, se refieren a un código de buenas prácticas de la gestión de la información, que emite la Organización Internacional de Normalización, que es un organismo no gubernamental constituido por institutos de normas nacionales de 160 países (comités miembros). Su Secretaría Central se encuentra en Ginebra (Suiza). Esta organización se constituyó como resultado de la unificación de la Federación Internacional de la Estandarización de Asociaciones (ISA) y del Comité de Coordinación de las Normas de las Naciones Unidas (UNSCC). En cuanto al tema de los sistemas de información, hay dos que los incorporan, ISO/IEC 27001: Seguridad de la Información e ISO/IEC 20000: Gestión de los Servicios de TI. 63  Normas de control COBIT : recuperado de la página electrónica http://www.isaca.org; son aquellas normas introducidas por el Instituto de Administración de las Tecnologías de Información (ITGI) y la Asociación de Auditores de Procesamiento Electrónico de Datos, que presentan el COBIT. Principalmente está dirigido a estandarizar la práctica de los profesionales en sistemas. Seguido se detallará un poco más acerca de esta normativa, puesto que es el marco de referencia de la norma vigente de la CGR. 1.13.2.1 La normativa COBIT Tomado de la misma referencia electrónica, http://www.isaca.org; COBIT es un documento formal, escrito por una serie de profesionales y expertos, que plantea una serie de normas que pueden seguir como guía los auditores y usuarios en relación con las buenas prácticas en la seguridad y administración de los sistemas de información. La administración activa de una empresa requiere de la aplicación de prácticas de control y gobierno de las tecnologías de información, para medir en forma comparativa tanto su ambiente de TI existente, como su ambiente planeado. COBIT es una herramienta que permite a los gerentes comunicarse y salvar la brecha existente entre los requerimientos de control, aspectos técnicos y riesgos de negocio. Habilita el desarrollo de una política clara y de buenas prácticas de control de TI a través de organizaciones, en el ámbito mundial. Por lo tanto, está orientado a ser la herramienta de gobierno de TI que ayude al entendimiento y a la administración de riesgos asociados con tecnología de información y con tecnologías relacionadas. Según se plantea en la misma normativa del COBIT, en la cuarta edición, su misión es: “Investigar, desarrollar, publicar y promover un conjunto de objetivos de control en tecnología de información con autoridad, actualizados, de carácter internacional y aceptado generalmente para el uso cotidiano de gerentes de empresas y auditores.” 64 COBIT proporciona “prácticas sanas” a través de un marco referencial de dominios y procesos y presenta actividades en una estructura manejable y lógica. Las prácticas sanas de COBIT representan el consenso de los expertos, le ayudarán a optimizar la inversión en información, pero aún más importante, representan aquello sobre lo que usted será juzgado si las cosas salen mal. Estas buenas prácticas se integraron e institucionalizaron para garantizar que las tecnologías de información contribuyan a agregar valor a las compañías. Este conjunto de lineamientos y estándares clasifica los procesos en cuatro dominios de acuerdo con las áreas de responsabilidad a saber: Planificación y Organización, Adquisición e Implementación, Soporte y Servicios y por último, Monitoreo. Estos cuatro dominios se detallan en el COBIT en un conjunto de 34 objetivos de control de alto nivel, uno para cada uno de los procesos de TI. Correspondiendo a cada uno de los 34 objetivos de control de alto nivel, una guía de auditoría o de aseguramiento que permite la revisión de los procesos de TI contra los 302 objetivos detallados de control recomendados por COBIT. Todo ello tiene como propósito asegurar y mejorar continuamente la eficacia y eficiencia de los procesos y actividades de la organización, para garantizar el cumplimiento normativo del sector, asegurar el buen gobierno y protección de los intereses de los involucrados (clientes, consejo directivo, empleados, etc.) y garantizar la confidencialidad, integridad y disponibilidad de la información. Cuando se aplican proporcionan a la gerencia la certeza de su cumplimiento o una recomendación para su mejora. Para mayor comprensión se muestra la siguiente imagen, donde se puede observar todo lo que incorpora este marco, que ha revisado y tomado como referencia para desarrollar las normas de TI actuales. En términos del estudio que se aborda en este documento se delimita al segundo dominio: Adquisición (Desarrollo) e Implementación. 65 Imagen # 6 Procesos de TI según COBIT Fuente: recuperado de la página electrónica, http://www.isaca.org. El Instituto de Administración de las Tecnologías de la Información, inicialmente y luego en colaboración con otras organizaciones internacionales, fue el que se preocupó por plasmar estas mejores prácticas tendientes a garantizar el control y la administración de los riesgos y el eficiente uso y aprovechamiento de las tecnologías de la información. Esta herramienta de administración y control puede ser adoptada por cualquier empresa o entidad como una metodología para realizar procesos de reingeniería o para instaurar métodos de control y evaluación de los procesos tecnológicos que contribuyen con el 66 logro de los objetivos del negocio en el que opera la empresa o institución. Lo importante es que los objetivos de control producto del modelo están dirigidos a la alta gerencia, al personal de informática, al personal de control interno e incluso a la auditoría interna, así que no es exclusivo, sino que es de gran utilidad para las distintas áreas estratégicas de la organización ya que proporciona la certeza de su cumplimiento y/o una recomendación para su mejora. 1.14 Entes fiscalizadores de las tecnologías de información Cuadro # 1 Entes Fiscalizadores de las Tecnologías de Información Fuente: Elaboración propia, basado en información suministrada por el Supervisor de Auditoría de JAPDEVA. Tal como se observa en el cuadro anterior, como resultado de consultas realizadas al Supervisor de Auditoría de JAPDEVA, se entiende que en términos de las tecnologías de información, existen a nivel nacional entidades que regulan el tema, JAPDEVA es un ente del Estado, y como tal es fiscalizado por distintas instancias del gobierno, así como organizaciones privadas involucradas en el manejo de los sistemas y tecnologías de la información, en primera instancia se refiere a la Contraloría General de la República, y el otro caso es la Asociación Costarricense de Auditoría en Informática (ACAI), que funge más a nivel de cooperación que fiscalización. Asimismo, a lo interno la institución es fiscalizada por el Departamento de Auditoría y recientemente la Unidad de Control Interno, dependencia recién instaurada en la institución. Interno Nacional Internacional Instituto de Administración de las Tecnologías de Información (ITGI) Asociación de Auditores de Procesamiento Electrónico de Datos (ISACA) Project Management Institute (PMI) Internacional Organization of Standardization (OSI) Entes fiscalizadores de las Tecnologías de la Información Departamento Auditoría Unidad de Control Interno Contraloría General de la República (CGR) Asociación Costarricense de Auditoría en Informática (ACAI) 67 Mientras que en el ámbito internacional se refiere a aquellas organizaciones internacionales que han tomado en cuenta este tema tan importante para las empresas, como lo son las tecnologías de información; regulan y se aseguran del buen manejo de los sistemas de información a lo largo del mundo. El Instituto de Administración de las Tecnologías de Información (ITGI) y la Asociación de Auditores de Procesamiento Electrónico de Datos (ISACA, en inglés Information Systems Audit and Control Association), por ejemplo, ambas entidades se han encargado de mejorar las prácticas de auditoría de las tecnologías de información. Por otro lado, está Project Management Institute (PMI), Internacional Organization of Standardization (OSI); el primero especializado en asuntos de proyectos y el segundo en la calidad de los procesos de negocio. Las herramientas principales por utilizar son las normas o referencias de las mejores prácticas, las locales son el manual sobre normas técnicas de control interno relativo a los sistemas de información computarizados, este instrumento se aplicará como parámetro de referencia local, dado que es la normativa que se encontraba vigente cuando se desarrolló e inició el proceso de implementación del SIOPJ, y al compararlo con lo tomado en cuenta al diseñar los módulos del sistema en estudio, sea posible detectar si cumple con la norma o si es necesario realizar algún ajuste para que se adapte a ella, o en su defecto si cumple, pues que exista un documento formal que lo respalde este hecho. El mismo procedimiento se realizará para el caso de las normativa actual: las normas técnicas para la gestión y el control de las tecnologías de información, de manera que se garantice que se aplica una buena práctica y además generará confiabilidad y mayor eficiencia en la labor portuaria dentro del Complejo Limón – Moín, en lo que respecta al manejo de las tecnologías de la información. 68 CAPÍTULO II: ANTECEDENTES Y DESCRIPCIÓN DE JAPDEVA 2. Antecedentes de la institución Recuperado de la página electrónica de la institución, www.japdeva.go.cr el 3 de junio 2011 (ver anexo # 7), se muestra la evolución de la historia de JAPDEVA. Como autoridad portuaria desde su creación hasta la fecha, ha mejorado totalmente la infraestructura portuaria, convirtiéndose en uno de los puertos más reconocidos de América Latina, la número 15 en el ranking de carga movilizada en contenedores (TEUS), según datos del año 2010 de la CEPAL (se observa en anexo # 8), recuperado en la página electrónica http://www.eclac.org/cgi- bin/getProd.asp?xml=/Transporte/noticias/noticias/1/42881/P42881.xml&xsl=/Transport e/tpl/p1f.xsl&base=/transporte/tpl/top-bottom.xsl . 2.1 Marco legal de la institución La entidad fue creada mediante la Ley No. 3091 del 18 de febrero de 1963, por Ley Orgánica de la Junta de Administración Portuaria y de Desarrollo Económico de la Vertiente Atlántica, posteriormente reformada mediante la Ley N° 5337 del 27 de agosto de 1973, publicada en Alcance 120 en La Gaceta N° 170 del 11 de septiembre de 1973. Fue creada como ente autónomo del Estado, con carácter de utilidad pública, tiene dos componentes esenciales, de los cuales se deriva su denominación: • Lo que denominamos "JAP" se refiere a una administradora portuaria con las características típicas de las autoridades portuarias latinoamericanas de la época; y • El componente "DEVA" significa que es una entidad de desarrollo regional para el área geográfica que su Ley determina. Según el Departamento de Planificación General, esta institución por ley está obligada a construir, conservar y operar los puertos de esta región de Costa Rica y debe promover el 69 desarrollo socio-económico integral, rápido y eficiente de la Vertiente Atlántica de Costa Rica. Su condición de institución autónoma de derecho público le confiere personería jurídica, patrimonio propio e independencia administrativa. Sin embargo, maneja sus relaciones con el Poder Ejecutivo a través del Ministerio de Obras Públicas y Transportes, que se constituye en su ente rector. El Presidente Ejecutivo de la institución tiene la representación judicial y extrajudicial, con las atribuciones de un apoderado generalísimo conforme al artículo 1253 del Código Civil. JAPDEVA se rige por un Consejo de Administración que debe actuar con apego a la Constitución Política, a las leyes, a los tratados y convenios internacionales y los reglamentos vigentes, siendo sus miembros responsables de su gestión en forma total e ineludible. Para definir el marco legal institucional en que debe desarrollarse, debemos enmarcar los límites jurídicos entre los cuales se encuentra y los vínculos que se establecen para esta institución: 1. Constitución Política. 2. Tratados internacionales. 3. Convenios internacionales. 4. Convención Sobre el Mar Territorial y la Zona Contigua Nº 5031. 5. Convención Interamericana Contra el Terrorismo Nº 8446. 2. Convenio de las Naciones Unidad Contra la Corrupción. 3. Convenio Do Belem do Pará Nº 7499. 4. Ley Orgánica de JAPDEVA Nº 5337 5. Ley de Planificación Nacional Nº 5525. 6. Ley General de la Administración Pública, Nº 6227. 7. Ley de la Administración Financiera de la República y Presupuestos Públicos, Nº 8131. 8. Reglamento a la Ley de la Administración Financiera de la República Nº 32988-H- MP-PLAN. 9. Ley para el Equilibrio Financiero del Sector Público, Nº 6955. 10. Ley de la Autoridad Reguladora de los Servicios Públicos, Nº 7593. 11. Ley de Salarios de la Administración Pública Nº 2166. 12. Ley de Aguinaldos para Servidores de Instituciones Autónomas Nº 1981. 13. Ley Sobre Riesgos del Trabajo Nº 6727. 14. Ley de Contratación Administrativa Nº 7494 y su reglamento. 70 15. Reglamento General de la Contratación Administrativa Nº 25038-H. 16. Ley Orgánica de la Contraloría General de la República Nº 7428. 17. Ley General de Control Interno, Nº 8292. 18. Ley contra la Corrupción y el Enriquecimiento Ilícito en la Función Pública, Nº 8422 y su reglamento. 19. Ley Contra el Hostigamiento Sexual en el Empleo y la Docencia Nº 7476. 20. Ley del Sistema Nacional de Archivos Nº 7202. 21. Ley de Protección al ciudadano del exceso de requisitos y trámites administrativos, Nº 8220. 22. Ley de Protección al Trabajador Nº 7983. 23. Ley de Tránsito por Vías Públicas y Terrestres Nº 7331. 24. Ley Reguladora de la Jurisdicción Contencioso–Administrativa Nº 3667. 25. Ley de Notificaciones, Citaciones y otras Comunicaciones Oficiales. 26. Código de Trabajo. 27. Estatuto del Servicio Civil Nº 1581. 28. Código Penal. 29. Código Procesal Penal. 30. Código Civil. 31. Código Procesal Civil. 32. Código Agrario. 33. Reglamento a la Ley de Protección al Ciudadano del Exceso de Requisitos Nº 32565-MEIC. 34. Reglamento para el Registro y Control de Bienes de la Administración Nº 30720-H. 35. Reglamento para la Utilización del Sistema de Compras Gubernamentales Nº 32717-H. 36. Reglamento sobre el Refrendo de las Contrataciones de la Administración Pública Nº RCO-33. 37. Reglamento para Contratos de Concesión de Gestión de los Servicios Públicos Portuarios Nº 30064-MOPT. 38. Reglamento a la Emisión de Zarpe a las Embarcaciones de Bandera Nacional Nº 28742-MOPT. 39. Reglamento a la Ley de Certificados y Firmas Digitales Nº LG-77 del 2 de abril 2006. 40. Reglamento a la Ley Nº 7202 del Sistema Nacional de Archivo Nº 24023-C. 41. Decreto Nº 31845 MOPT sobre Seguridad Portuaria. 42. Pago de Dietas a Miembros de las Juntas Directivas de Instituciones Nº 3065. 43. División Territorial Administrativa de la República de Costa Rica Nº 25677-G-01. 44. Código de Trabajo. 45. Convención Colectiva de Trabajo de JAPDEVA. 46. Manual de Normas para el Ejercicio de la Auditoría Interna en el Sector Público Nº M-1-2004-CO-DDI. 47. Manual Sobre Normas Técnicas que Deben Observar las Unidades de Auditoría Interna. 48. Manual sobre Normas Técnicas de Control Interno relativas a los Sistemas de Información Computarizados de la CGR, 1995 49. Directrices y Lineamientos Generales del Gobierno Central y de la Contraloría General de la República 71 50. Normas Técnicas para la Gestión y el Control de la Tecnologías de Información (N- 2-2007-CO-DFOE). 51. Normas de Control Interno para el Sector Público (N-2-2009-CO-DFOE). 2.2 Filosofía de la institución El espíritu de la creación de esta institución fue entregarle a una entidad la administración de los puertos y que se encargara de promover el desarrollo de la provincia de Limón, así como administrar las tierras y los canales del norte. Tanto la misión como la visión que plantea JAPDEVA se encuentran en la página electrónica http://www.japdeva.go.cr/adm_portuaria/Informacion%20general.html, y se consignan a continuación. 2.2.1 Misión Somos una empresa pública de servicios a agencias navieras, importadores y exportadores que ejerce como autoridad portuaria, facilitadora del comercio exterior en condiciones de alta competitividad, que promueve el desarrollo socioeconómico de Limón. 2.2.2 Visión Ser una autoridad portuaria líder a nivel latinoamericano, que garantice altos niveles de competitividad en servicios portuarios y promotora del desarrollo integral de la provincia de Limón. 2.3 Políticas institucionales Las políticas de JAPDEVA normalmente se enmarcan en las políticas de Gobierno, específicamente siguiendo las pautas del Plan Nacional de Desarrollo (PND), el cual es aquel que contempla los planes y la visión de trabajo de los cuatro años de cada gobierno en ejercicio y es publicado por el Ministerio de Planificación. Adicionalmente y en el orden de importancia se rige por el Plan Regional de Desarrollo. 72 En este sentido, el PND 2011-2014 “María Teresa Obregón Zamora” es el vigente, en este se observa que la acción estratégica de JAPDEVA es la modernización de los puertos de Limón-Moín, su objetivo: mejorar la eficiencia operativa de los puertos de la zona Atlántica, por medio de infraestructura portuaria que coadyuve con la competitividad del país y la meta del período 2011-2014 es disminuir en 8 horas (40%) el tiempo de inactividad de los buques que arriban a los puertos de Limón y Moín. Recuperado de la página electrónica de Casa Presidencial http://www.casapres.go.cr/web/docs/plannacional.pdf. Y en cuanto a la planificación regional, actualmente se está ejecutando por parte de la Administración de Desarrollo de JAPDEVA, la actualización de este Plan, mediante la contratación de una consultoría para reformular el Plan Regional de Desarrollo a un Plan Regional de Competitividad Territorial de la Región Huetar Atlántica, Visión 2011- 2021. Las políticas institucionales fueron aprobadas por unanimidad por el Consejo de Administración de JAPDEVA, en acuerdo 390-10 SESIÓN ORDINARIA No. 29-2010 CELEBRADA EL 19 DE AGOSTO, 2010, ARTÍCULO V-b), para el período 2011- 2014, las cuales fueron plasmadas en el oficio SG 788-2010 del 24 de agosto, 2010; recuperados del Departamento de Prensa y Relaciones Públicas, se pueden observar en el anexo # 9. Se subdividen en 3 grupos: Políticas de Gestión, Desarrollo Portuario y Desarrollo Socioeconómico. El presente trabajo sirve de apoyo para una buena orientación hacia la aplicación de la política de gestión y la de desarrollo portuario, puesto que afecta directamente la mejora operativa y la mejora de los sistemas tecnológicos; lo que se puede lograr a través de establecer un mecanismo de revisión y control, que pueda ser utilizado por la auditoría y por la administración. 73 2.3. 1 Prioridades institucionales Según se indica en el Plan Operativo Institucional (POI) de JAPDEVA, documento recuperado en el Departamento de Planificación General, se formularon dos prioridades institucionales para el período 2011: 1. El complejo Portuario Limón-Moín será aliado para la competitividad del país aumentando la productividad con infraestructura, equipo, tecnología y una logística portuaria de primer nivel, para satisfacer las exigencias de los mercados nacionales e internacionales. 2. El desarrollo socio-económico integral, rápido y eficiente de la Vertiente Atlántica estará enfocado a mejorar la calidad de vida de las comunidades y se realizará dentro del marco estratégico definido en el Plan Regional de Desarrollo (Plan Regional de Competitividad Territorial de la Región Huetar Atlántica, visión 2011-2021). En términos generales, la primera prioridad institucional es la que está alineada con los objetivos y el aporte que se pueda ofrecer mediante el presente trabajo de investigación, al tratarse de las recomendaciones de mejora del desarrollo y la implementación de las tecnologías de la información de JAPDEVA. 2.4 Objetivos estratégicos Los objetivos estratégicos, tomados igualmente del POI de JAPDEVA, son concordantes con las prioridades y logros que pretende alcanzar la institución en el corto, mediano y largo plazo y son los siguientes: 1. Mejorar la calidad del servicio portuario con la disminución del tiempo de espera de las naves. 2. Mejorar la competitividad mediante la ampliación de la infraestructura y equipamiento del complejo portuario Limón / Moín. 74 3. Desarrollar el Plan Regional de Competitividad Territorial de la Provincia de Limón para impulsar el desarrollo de los cantones de la provincia de Limón. El primer objetivo estratégico es el que se encuentra alineado directamente con el estudio que se realiza mediante este documento, y a su vez con el objetivo general de tecnología de la información, el cual se desglosa a través de los objetivos que se detallan en el Plan Estratégico de TI, que se encontraba vigente al momento de la conclusión del desarrollo del sistema, se detallan a continuación. 2.5 Objetivos de tecnología de información El departamento de informática de la Institución ha cumplido un rol muy importante y ha estado realizando aportes mayores, dado que actualmente se ha equipado de más personal profesional que maneja una visión un poco diferente a lo que se veía hace algunos años. Actualmente no cuenta con un plan informático, ya que el nuevo plan presentado para el período 2010-2014 fue rechazado por la Junta Directiva, por ende hay ausencia de una planificación estratégica de esta área de trabajo por ahora. La actual jefatura, que recién se reincorporó a la Institución, indica que está en el proceso de desarrollo. El último Plan Informático de JAPDEVA data del período 2004-2008, documento ubicado en los archivos del departamento de informática de la institución, cuyo autor es el jefe anterior -Ing. Gilberto Charles- e incorporaba los siguientes objetivos estratégicos para este departamento, que se puede decir son los que están vigentes, pero desactualizados. 2.5.1 Objetivo general  Modernizar e integrar los sistemas operativos, administrativos y de apoyo para la prestación de servicios y el cobro eficiente y oportuno. 75 2.5.2 Objetivos específicos  Desarrollar los sistemas de información basados en redes locales enlazados de microcomputadoras.  Diseñar los módulos que faciliten la comunicación entre JAPDEVA y los clientes.  Rediseñar la propuesta de la estructura de redes para la institución.  Implementar la seguridad en la red.  Determinar las necesidades y requerimientos de sistemas de información de las diferentes unidades.  Adquirir y/o desarrollar el software que satisfaga las necesidades y requerimientos informáticos de la institución.  Capacitar al personal técnico del Departamento en los nuevos sistemas de información.  Elaborar un plan de capacitación en conjunto con el Centro de Formación y Capacitación de JAPDEVA (CENFOCAP) para los usuarios de los equipos y de los nuevos sistemas de información. Se destaca que los objetivos mencionados en ese momento están muy alineados con los propósitos que se persiguen a través del sistema en estudio. 2.5.3 Plan de desarrollo de sistemas El Departamento informático, tal como se mencionó anteriormente, no tiene un plan de desarrollo de sistemas para el período actual, por las razones que se indicaron. No obstante, de acuerdo con el que estaba vigente al momento de la conclusión del SIOPJ, tiene como objetivo general: Modernizar e integrar los sistemas operativos, 76 administrativos y de apoyo para la prestación de servicios y el cobro eficiente y oportuno. Contempla el desarrollo de nuevos sistemas, entre ellos: o Sistema Integrado de Operaciones Portuarias de JAPDEVA (SIOPJ). o Sistema Integrado Administrativo - Financiero de JAPDEVA (SIAFJ). o Sistema Integrado de Recursos Humanos de JAPDEVA. o Sistema de Servicios Generales de JAPDEVA. o Sistema Integrado Administrativo Financiero de la Administración Desarrollo de JAPDEVA. o Sistema Integrado de Mantenimiento de Equipos y Activos de JAPDEVA (SIMEAJ). Estos proyectos significan una inversión de poco más de setecientos cincuenta mil dólares, que comprende inversiones en redes de datos, servidores y equipo de apoyo y periféricos, licencias, equipo de traslado, el software entre otros; en el mismo plan se propone modificar la estructura organizacional del departamento informático, que se constituiría en las siguientes áreas:  Una jefatura,  Cuatro departamentos (Soporte Técnico y Operaciones, Redes y Equipos de Comunicación, Sistemas y Servicio al Cliente),  Siete secciones (Mantenimiento de Equipos, Equipos y Protocolos de Comunicación, Atención al cliente, Sistema Integrado Operaciones Portuarias, Operación y Control, Sistemas Administrativos Financieros, Internet, Intranet, Extranet y Sitio Web). Asimismo, este plan anterior implicaba variar la categoría del departamento hacia una división con subordinación directa de la Gerencia Portuaria, esto significaría una modificación adicional a la estructura organizativa de JAPDEVA; a pesar de que el plan fue aprobado por la Administración, este último punto no fue aprobado ni ejecutado por la Administración. 77 2.6 Estructura organizacional de JAPDEVA La estructura organizacional formal vigente de la Junta de Administración Portuaria y de Desarrollo Económico de la Vertiente Atlántica (JAPDEVA) fue aprobada por acuerdo de Junta Directiva en su artículo V-G, sesión N° 43 – 89 ordinaria del 07 de diciembre de 1989. En el año 1992 la entidad realizó una solicitud de reestructuración al Ministerio de planificación y Política Económica, la cual fue aprobada temporalmente por este ministerio en oficio D.M. – 0169-93, del 25 de febrero de 1993, en cumplimiento de la ley N° 5525 y Decreto Ejecutivo N° 14311 y N° 17592. Pero esta no se implementó por causa de la no aprobación de la Junta Directiva de la institución. Por esta razón se dice que la estructura de JAPDEVA es piloto y que hasta la actualidad no se ha establecido una estructura definitiva que refleje su funcionalidad. No obstante, en estos momentos se está gestando la reestructuración por parte de la Administración, con lo que se espera se resuelva esta deficiencia. Posteriormente, se aprueba mediante acuerdo No. 394-05 (Artículo II-c de la Sesión Ordinaria No. 27-2005, celebrada el 21 de julio del 2005), la constitución de la Dirección Integral de Seguridad; está funcionando en la práctica pero no se encuentra representada en la estructura de la organización (ver anexo # 10). Asimismo, se aprueba a través del acuerdo No. 1111-07 (Artículo V-a de la Sesión Ordinaria No. 43-2007, celebrada el 06 de diciembre del 2007 la creación de la Gerencia General, y la Subgerencia de Desarrollo (ver anexo # 11), los cuales fueron ratificados por el ente fiscalizador en este caso MIDEPLAN mediante oficio DM-532- 07. Por lo tanto la estructura organizacional de JAPDEVA, que data desde 1989, no refleja la realidad actual, ya que se han realizado e implementado cambios significativos, no obstante es la que se presenta en la página web institucional, http://www.japdeva.go.cr/adm_portuaria/organigrama.html, y se plasma en los siguientes diagramas. 78 Diagrama # 3a Estructura Organizacional de JAPDEVA General Fuente: tomada de la página electrónica de JAPDEVA http://www.japdeva.go.cr/adm_portuaria/organigrama.html 79 Diagrama # 3b Estructura Organizacional Administración de Desarrollo Fuente: tomada de la página electrónica de JAPDEVA http://www.japdeva.go.cr/adm_portuaria/organigrama.html 80 Diagrama # 3c Estructura Organizacional Dirección de Ingeniería (División Portuaria) Fuente: tomada de la página electrónica de JAPDEVA http://www.japdeva.go.cr/adm_portuaria/organigrama.html 81 Diagrama # 3d Estructura Organizacional Dirección de Ingeniería (División de Ingeniería) Fuente: tomada de la página electrónica de JAPDEVA http://www.japdeva.go.cr/adm_portuaria/organigrama.html 82 Diagrama # 3e Estructura Organizacional Dirección de Ingeniería (División de Maquinaria y Equipo) Fuente: tomada de la página electrónica de JAPDEVA http://www.japdeva.go.cr/adm_portuaria/organigrama.html 83 Diagrama # 3f Estructura Organizacional Dirección Administrativa Financiera Fuente: tomada de la página electrónica de JAPDEVA, http://www.japdeva.go.cr/adm_portuaria/organigrama.html 84 JAPDEVA cuenta oficialmente con la estructura organizacional que se mostró anteriormente en los diagramas #3a, en el nivel más alto se encuentra la Junta Directiva, seguido de este en un nivel staff (asesor) se encuentra la Auditoría, que juega un papel muy importante en el tema que se desarrolla a lo largo de este trabajo, acerca de las tecnologías de la información. Seguido en el orden jerárquico está la Presidencia Ejecutiva, que también cuenta con algunos niveles staff, tales como el Departamento de Planificación, Departamento Legal, Prensa y Relaciones Públicas; luego está la Gerencia General, a la cual se le llama Administración Superior y cuenta con 68 funcionarios. Se encuentra organizada en dos gerencias desde el punto de vista funcional: la Gerencia Portuaria y la Gerencia de Desarrollo, con sus respectivas subgerencias; actualmente hay un total de 1513 plazas presupuestadas, de la cuales 1407 están ocupadas a marzo 2011, según información suministrada por el Departamento de Planificación. La administración portuaria se desagrega en dos Direcciones (Dirección de Ingeniería Portuaria y la Dirección Administrativa Financiera) (ver en los diagramas # 3c, 3d, 3e y 3f), estas a su vez en tres Divisiones y seguidamente en once Departamentos, por último en sesenta y cuatro secciones, con un total de 1158 empleados. La Administración de Desarrollo (ver diagrama # 3b) se encuentra apoyada por cuatro Departamentos según la estructura aprobada por MIDEPLAN, Promoción de Desarrollo, Asistencia Técnica, Operaciones y Administrativo, para un total de 181 funcionarios. 2.6.1 Estructura operacional de JAPDEVA La estructura operacional se encuentra bajo la tutela de la Gerencia Portuaria, que es donde se da toda la operación y atención a los buques. Cabe aclarar que en este caso el enfoque será en la división portuaria–operaciones portuarias, la cual se divide en las dos Intendencias: Limón y Moín, cada una de ellas funciona muy diferente, dadas las diferencias en las condiciones de equipamiento (ver diagramas #4 y # 5). Lo anterior, se constituye como una deficiencia, al no ser homogéneos los dos complejos portuarios. 85 Si se observa la estructura organizativa oficial del puerto, se puede notar que está desactualizada, no se incluyen todas las funciones y aún gran parte no está plasmado allí, es decir, no refleja la realidad. No obstante, con la información obtenida mediante entrevista con el intendente Karl Mc Queen del 4 de julio 2011 se pudo esquematizar la organización funcional operativa actual de ambos complejos portuarios. Diagrama # 4 Estructura Operacional Intendencia Moín Fuente: Elaboración propia con base en información proporcionada en entrevista con el Intendente Karl Mac Queen el día 4 de julio 2011. Documentación Contenedores y Carga General Supervisión Portuaria Misceláneos Operadores de equipos INTENDENCIA MOÍN 86 Diagrama # 5 Estructura Operacional Intendencia Limón Fuente: Elaboración propia con base en información proporcionada en entrevista con el Intendente Karl Mac Queen el día 4 de julio 2011 INTENDENCIA LIMÓN Documentación Contenedores y Carga General Control de Operaciones Disposición de Patios Supervisión Portuaria Port Control Tránsito y Control de Patios Operadores de equipos Supervisión y Chequeo 87 2.6.2 Estructura Informática de JAPDEVA La estructura informática que se detallará a continuación pertenece a la gerencia portuaria y se encuentra bajo la División Financiera Contable. Según entrevista no estructurada al Jefe del Departamento de Informática, en la actualidad se compone de tres secciones: Soporte técnico, Análisis y programación, Operación y control, lo cual no permite el adecuado desarrollo y atención a los usuarios internos. Las nuevas tendencias exigen que se creen áreas específicas para cubrir ciertos problemas de tecnología de la información y comunicaciones, tal es el caso de las redes y los sitios electrónicos, para nombrar algunos. Es por esto que se busca reestructurar este departamento para poder cubrir las necesidades de todos los usuarios. Diagrama # 6 Estructura Organizacional Actual del Departamento de Informática Junta Directiva Presidencia Ejecutiva Gerencia Desarrollo Gerencia Portuaria Dirección Administrativa Financiera Dirección Operaciones Portuarias Dirección Ingeniería División Financiera División Administrativa Departamento Informática Sección Soporte Técnico Sección Análisis y Programación Sección Operación y Control Organización Actual de Departamento de Informática Fuente: Depto. Informático JAPDEVA. 88 No obstante la división por secciones, el Departamento de Informática se distribuye físicamente en cinco áreas de trabajo (exceptuando la jefatura), la jefatura planteó modificar la estructura organizativa mediante una propuesta de manera que prevalezcan como secciones. En el diagrama # 7 se observa gráficamente () la distribución, de la misma fuente ya mencionada. - Área de equipos: En esta se encuentra localizado el equipo principal de JAPDEVA como: el servidor, el rack con los routers, switch, hubs, firewall, aire acondicionado, etc. A pesar de esto, se requiere su redistribución para un mayor aprovechamiento del espacio y seguridad de los equipos. - Área de Operación y Control: Cuenta con sólo tres colaboradores, sin embargo es la que representa la de mayor espacio por persona. Ocupa más espacio debido a las funciones que realizan y a la cercanía indispensable al área de equipos para mejor acceso. - Área de Soporte Técnico: Se compone de cuatro funcionarios, pero su distribución es dispersa, ocasionando una débil relación entre su personal, lo cual se refleja en la coordinación y ejecución de actividades. - Área de Análisis y Programación: Lo compone el mayor número de técnicos, actualmente son 7, en contraste con el espacio asignado, el cual es muy reducido. - Área de Jefatura: La oficina de la jefatura del departamento se encuentra en el fondo, mientras que la de la secretaria está en la entrada, lo que ocasiona una pobre comunicación entre ambas partes; se compone de 3 empleados. - Área de Redes: No tiene ubicación física, actualmente los dos técnicos están ubicados dentro del área de Análisis y Programación; ya que fue creada internamente por una necesidad institucional, no existe en el organigrama. 89 Diagrama # 7 Distribución Física Departamento de Informática Fuente: Depto. Informática JAPDEVA. 90 Además, es importante indicar que como instancia de alto nivel existe el comité gerencial de informática, se giró instrucción de su creación en primera instancia en la sesión No.2-88 del 14 setiembre de 1988 (anexo #18). Varios años después, en la sesión No. 19-96 del 20 de mayo de 1996 (anexo # 19), el Consejo de Administración aprueba la creación de este comité con sus integrantes y su respectivo reglamento interno de trabajo. Posteriormente, se modifica la conformación del comité, en la sesión No. 25-2000 del 29 de junio del 2000 (anexo # 20); en el sentido de generalizar sus integrantes por puesto y no por personas. Cabe decir, que a pesar de contar con este comité y su respectivo reglamento de trabajo interno, no se han materializado sus funciones en la institución, es decir está inactivo; contradictorio a las necesidades y oportunidades de mejora de las tecnologías de información que presenta JAPDEVA. 2.7 Público meta El mercado meta al que se dirige JAPDEVA se refiere no sólo a sus clientes y otros usuarios del área portuaria, sino a los beneficiarios de las distintas comunidades de la provincia, en términos de la proyección hacia el desarrollo de sus seis cantones. 2.7.1 Clientes portuarios Recuperado del registro de clientes y usuarios que mantiene el Departamento de Mercadeo, seguido se mencionan la mayoría de los clientes de JAPDEVA, los cuales se clasifican en líneas navieras, líneas de cruceros, agencias y representantes navieros, agencias aduanales, empresas bananeras, compañías estibadoras, exportadores, empresas de químicos, empresas de transportes, entre otros usuarios ocasionales. 2.7.1.1 Líneas navieras Crowley Liner Services Inc:, Maersk Line, Horn Line, Seatrade Line (Seacat Line),Seaboard Marine, Dole Ocean Liner Express, Great White Fleet ltd., Hamburg Sud line, Compañía Sudamericana de Vapores (CSAV), CMA CGM, Hapag Lloyd, Evergreen Line, Navesco Line, CCNI – Compañía Chilena de navegación inter-oceánica, E.W.L. – Europe West Indies Lines, Aliança Line, Mitsui O.S.K. Lines (MOL), Zim Line, APL. 91 2.7.1.2 Líneas de cruceros Princess Cruises, Holland America Line, Costa Crociere, Carnival Cruise Lines, Cunard Line Limited (Cunard Line – Seabourn Cruise Line), Silversea Cruises, ltd., Fred Olsen Cruise Lines, Hapag Lloyd Cruises (Hapag Lloyd Ag), Voyage of Discovery Cruises, New World Shipping Company N.V. Princess Cruises, Sea Cloud Cruises, Norwegian Cruise Line, Celebrity Cruises Inc., V. Ships, Royal Caribbean International, Crystal Cruises, P & O Cruises, Swan Hellenic Discovery Cruising, Seeturs. 2.7.1.3 Agencias navieras Maersk de Costa Rica S.A., Seaboard Mariner, Smith International S.A., Marítima Interoceánica S. A., Agencia Aduanal S.A., Agencias Unidas S.A., DHL Logistics, Humberto Alvarez , ILG Logistics. 2.7.1.4 Agencias aduanales Agencia Aduanal S.A., Agencia Aduanal BIMI S.A. (BIMISA), Expeditors Mar y Tierra S.A. (Agencia Aduanal Mar y Tierra), Agencia de Aduanas E y E, Operaciones Aduaneras Rápidas S.A. (OPAR), Irex Aduanera, Aeromar, DHL Aduanas S.A., (Marina Intercontinental S.A.) MARINSA - ILG Logistics, Neptuno - ILG Logistics, Humberto Álvarez, Transitaria S.A., Codesa, Aduanera Castro Fallas, Aduaneros Aral S.A., Agencia Aduanal SICSA, Agencia de Aduanas y Carga Meta, Agencia Aduanal Siete Mares, S.A., Sociaco, Correduría Aduanera y de Vapores Intermar S.A., Dinámica Agencia de Aduanas S.A. 2.7.1.5 Empresas bananeras Compañía Bananera del Atlántico (COBAL) – CHIQUITA, Jamaica Producers Group Limited, Standard Fruit co. (DOLE), Comercializadora Bacori (BANACOL), Seldeca - del Monte Products International Inc. 92 2.7.1.6 Compañías estibadoras Servicios Portuarios del Atlántico S.A. (SERPORATLA), Estibadora del Caribe, Servinave, Estibadora Limonense, Agencia Aduanal Naviera y Vapores Coopeutba, CADESA (Carga y Descarga de C.R. S.A.), Comercializadora Anfo S.A., Copeunitrap R.L. 2.7.1.7 Exportadores Tico Fruit. 2.7.1.8 Empresas de químicos Exxon Mobil Quimical, Recope, Transmerquín. 2.7.1.9 Empresas de transportes Crowley Liner Services Inc, Maersk Line, Yumbo Cargas Internacionales S.A. (Interlogic Service S. A.), Transportes H y H, Almacenes fiscales: Telisa, Alcaribe, Flogar, T U Terminales Unidas (Corporación Abromar). 2.7.2 Beneficiarios del desarrollo Como resultado de consulta telefónica realizada a la jefatura de Promoción y Desarrollo, de la Administración de Desarrollo de JAPDEVA, se obtiene que los beneficiarios del desarrollo son aquellos habitantes o personas que pertenecen a diversas agrupaciones de las distintas comunidades a los cuales se les brindan los servicios y ayudas de promoción de desarrollo (todas las obras y ayudas comunales de impacto) que recibe la población que conforman los cantones de la provincia de Limón, la población de producción agropecuaria, la población indígena de la región, empresas y empresarios turísticos, población agrícola y agro-ecoturística, población con vocación empresarial, municipalidades de la región, cooperativas de agricultores y agroindustriales, otras cooperativas diversas, población de aspectos culturales y deportivos, así como otras entidades gubernamentales. 93 En el período del gobierno actual se ha enfocado a solventar las necesidades y limitaciones de la población indígena que se encuentra a lo largo de la provincia. 2.8 Servicios y tarifas portuarias que ofrece JAPDEVA Los servicios portuarios que brinda JAPDEVA, los cuales se pueden observar en el anexo # 2 y las tarifas que se cobran por cada uno de estos se encuentran plasmados en el pliego de tarifas portuarias publicado en La Gaceta # 211 del 3 de noviembre del 2003 y serán ajustadas en el 2011 (ver anexo # 12). Su subdivisión se indica de seguido. 2.8.1 Servicios a la nave Atención a las naves, estadía de naves, muellaje, atención naves pasajeros, servicio de remolcador, servicio de lancha, estacionamiento en rada portuaria, demora grúa puente. 2.8.2 Servicios a la carga Embarque y desembarque de pasajeros Moín y Limón (pasajeros en tránsito), alquiler de equipo: montacargas, almacenaje, servicio de movilización de contenedores, servicio de contenedores refrigerados, operador de montacargas, carga recibida fuera de manifiesto, consolidación y desconsolidación de contenedores, estacionamiento de contenedores y furgones, apertura de bodegas y chequeo de mercancías. 2.8.3 Otros servicios Alquiler de áreas (cánones), suministro de agua potable, derecho de concesión de uso de instalaciones (a compañías estibadoras), demoras compañía naviera, demoras compañía estibadora, derechos de explotación de servicios conexos, derecho para vehículos automotores que movilizan turistas. 94 CAPÍTULO III: ANTECEDENTES Y SITUACIÓN ACTUAL DEL SISTEMA INTEGRADO DE OPERACIONES PORTUARIAS DE JAPDEVA (SIOPJ) 3.1 Antecedentes del SIOPJ Según la entrevista realizada al Intendente del Puerto de Limón, Lic. Karl Mc Queen y dos funcionarios del Departamento de Informática, el Ing. Jaime Londoño y el Ing. Jorge Pizarro (en abril del 2011), que se detalla en el anexo # 13, desde que se traspasa la administración de los puertos de la Northen Railway Co. a JAPDEVA, a finales de los 60, hasta hoy, las operaciones portuarias se han manejado manualmente. Se han hecho una serie de esfuerzos a través de los años mediante los cuales solo se ha logrado automatizar parcialmente. En los 70 se incorporó el sistema mecanizado con tecnología IBM, principalmente para los procesos del área administrativa (planificación, presupuesto, contabilidad). Ya en los 80, como resultado de una consultoría, se diseña el sistema de operaciones portuarias, llamado tradicional (POPER), que se usa actualmente. Este ha sufrido grandes modificaciones, tratando de ajustarlo a las necesidades de la demanda de servicios portuarios, los cuales han ido evolucionado en el tiempo (de carga predominantemente convencional a carga contener izada), no así las tecnologías de información mediante las cuales la institución maneja el tema operativo. En los 90 se diseña un nuevo sistema y se prueba en un 85%, pero no se ejecutó por falta de decisión tanto administrativa como de la Junta Directiva en ese momento. Nuevamente en el 96 se hacen intentos para modernizar la tecnología informática de JAPDEVA, principalmente para su área sustantiva que es la operativa, en este caso mediante el ofrecimiento del gobierno francés de donar un sistema estandarizado mundialmente (EDI), y otra vez se deja pasar la oportunidad. Por último, tres años después el gobierno panameño, por intereses estratégicos ofrece donar otro sistema, en este caso JAPDEVA debía a portar $35.000, pero tampoco se finiquitó, igualmente por falta de visión y decisión. Finalmente, en el año 2000, colapsa el sistema tradicional, generando cuellos de botella importantes, aunado a sus limitaciones tales como el ser meramente registral, que requiere 95 la captura manual y luego la digitación de esa información; por ello se procede a iniciar el desarrollo del SIOPJ, proyecto que concluye a finales del 2005, según la perspectiva del grupo de técnicos desarrolladores. Para el 2006 se inician las pruebas y en el 2007 arranca con la implementación del primer módulo: Reunión de usuarios, y hasta hoy no se ha podido implementar por completo el resto del sistema. 3.1.1 Descripción del sistema de operaciones portuarias tradicional Este es el sistema vigente, consiste en un sistema modular, cuya base de datos está en una arquitectura jerárquica, donde los módulos dependen unos de otros; es meramente registral y no tiene interrelación un módulo con el otro, ni enlace con la página electrónica. Según se tomó de la información recopilada de la entrevista a funcionarios del departamento informático, su infraestructura tecnológica está soportada en un lenguaje COBOL, en una base de datos DMS2 (webanable), los equipos originales donde se corrió fueron IBM y UNYSIS, no obstante se ha venido cambiando la infraestructura tecnológica. Consta de 7 módulos principales, con sus respectivos submódulos y aplicaciones internas. Se mencionan a continuación, en el diagrama # 8, los módulos con su función principal. Diagrama # 8 Esquema del Sistema de Operaciones Portuarias Tradicional Sistema de Operaciones Portuarias de JAPDEVA (TRADICIONAL) Módulo #1 Estadísticas Portuarias Incorpora actividades desde el punto de vista operacional, desde aquí se graba la información inicial de la embarcación, es decir con este se inicia la operación con la captura de todos los datos de tiempos de arribo y zarpe, las características del barco, entre otros; aquí se asigna el número de Arribo y Zarpe (AZ) y es del que se alimentan los demás módulos. Módulo #2 Oficial Contenedores Se captura manualmente y registran en el sistema todas las operaciones y actividades referentes a la carga contenerizada. Módulo #3 Oficial Mercadería General Se relaciona con la captura y registro de todas las operaciones y actividades referentes a la carga no contenerizada, es decir la carga general o convencional. Continúa 96 Continuación Módulo #4 Montacargas (Equipo carga y descarga) Es aquel en que se captura todas las actividades de la carga paletizada, en lingotes, bultos, etc. Lo que tiene que ver con la carga general y/o frigorífica que utiliza equipo de montacargas. Módulo #5 Facturación En este se realizan las proformas antes del inicio de toda demanda de servicio y donde se liquidan los cobros de los servicios portuarios brindados. Módulo #6 Marino y Grúa Marino Involucra el control del cobro de remolcadores e incluye un módulo de consultas y bitácoras. Módulo #6 Operaciones Portuarias Es un módulo de consultas para la Gerencia (PEOPER), mediante el cual se extraen los reportes como insumo para las estadísticas del puerto. Fuente: Elaboración propia, basado en entrevistas a Jaime Londoño, Jorge Pizarro, Depto. Informática. 3.1.2 Descripción del SIOPJ Tal como menciona Palacios, René (JAPDEVA) (2006) en el “Manual del Técnico, Sistema Integrado de Operaciones Portuarias de Japdeva (SIOPJ)”: “El SIOPJ es el Sistema Integrado de Operaciones Portuarias de Japdeva. Esta administra toda la información de las operaciones que se realizan en los puertos de Limón y Moín. Abarca desde la recepción de la información previa de los servicios solicitados hasta el zarpe de la nave. Además el sistema sigue procesando información una vez después del zarpe, ya que realiza la evaluación del rendimiento de naves, el análisis de la cantidad de servicios que se prestó, el cobro y la liquidación de los servicios prestados”. (p. 5) Es un sistema de información basado en redes locales enlazado a microcomputadoras y handhelds. Es un sistema modular, con un lenguaje Oracle, su base de datos tiene una estructura relacional. Cabe decir que se trata del mismo sistema tradicional, pero actualizado, ya que agrega tecnología para eliminar los procesos de captura de datos y registros manuales. 97 3.1.3 Objetivos general y específicos del SIOPJ Igualmente tomado del Manual del técnico del SIOPJ, donde cita: Objetivo General:  El SIOPJ tiene como objetivo modernizar e integrar los sistemas de operaciones portuarias para la prestación de los servicios y el cobro eficiente y oportuno. Objetivos Específicos:  Desarrollar un sistema de información basado en redes locales enlazados a microcomputadoras y handhelds.  Implementar un sistema de captura electrónica de manifiestos que permita agilizar el proceso de la operación.  Disminuir la utilización de formularios impresos en un 80% mediante módulos de consultas.  Registrar el personal, las naves, la carga, la maquinaria y el equipo que participa en las operaciones portuarias. 3.1.4 Alcance y requerimientos El SIOPJ tiene como alcance fundamental, abarcar las operaciones portuarias de JAPDEVA y las entidades con las que tiene relación directamente, como lo indica en uno de sus objetivos específicos, busca disminuir considerablemente el gasto de papel dentro de la institución. Tabla # 2 Infraestructura Tecnológica del SIOPJ SOFTWARE HARDWARE Motor de Base de Datos Oracle 9i Computadora Personal Sistema Operativo Windows XP/2000/98 Hand Help Software de Desarrollo Oracle Developer 6i Videobeam Fuente: Elaboración propia con base en información recuperada de entrevista con el Ing. Walter Lamsick, realizada el 19 de abril 2011. 98 3.1.5 Plataforma El SIOPJ es un sistema desarrollado en la plataforma de ORACLE Developer, herramienta que proporciona un entorno de desarrollo adecuado para crear aplicaciones. Permite crear formularios con una interfaz amigable para los usuarios, donde pueden visualizar y manipular la información de la base de datos. Eso fue obtenido de entrevista no estructurada al desarrollador Ing. Walter Lamsick, realizada el 19 de abril del 2011. La arquitectura de ORACLE ofrece soluciones a través de la aplicación de la tecnología de información que satisface las necesidades tanto de la empresa como de los usuarios. 3.1.6 Módulos del SIOPJ y diagnóstico de la implementación El Sistema Integrado de Operaciones Portuarias de JAPDEVA está compuesto por los siguientes procesos (módulos) y sus correspondientes subprocesos, según se indica en el Manual del técnico, Sistema Integrado de Operaciones Portuarias de Japdeva (SIOPJ), documento que se puede obtener en el Departamento Informático. A continuación se muestra el formato esquemático del sistema, en el diagrama # 9. Adicionalmente en la tabla # 3, se indica el diagnóstico de la condición actual del sistema SIOPJ, en términos del porcentaje de implementación de cada uno de los módulos, información que fue recopilada de la aplicación del cuestionario a los usuarios. 99 Diagrama # 9 Detalle Modular del SIOPJ Fuente: Elaboración propia, con base en el Manual del SIOPJ. 100 Tabla # 3 Diagnóstico del SIOPJ Módulo Descripción Diagnóstico 1. Programar Llegada Semanal de Naves (Reunión de Usuarios) En este se elaboran, modifican, reprograman e imprimen los programas semanales de llegada de buques a los distintos puestos de atraque de la zona portuaria tanto de Limón como Moín. También se proforman los servicios portuarios a brindar, asimismo se autorizan o cancelan las naves. Implementado en un 100%, opera y se generan los productos; fue entregado oficialmente mediante oficio DCI-058-2007 del 26 de marzo del 2007. Se formalizó por urgencia como una necesidad, ya que se iniciaría en las aduanas el uso del sistema TIC@, cuyo requerimiento principal era el número de AZ. 2. Coordinar Operaciones Portuarias (Marcar Vapores) Se realizan las siguientes actividades: la coordinación con la Sección de Atraque y Desatraque, se comunica la marca de inicio de operaciones a las secciones relacionadas con la operación, se coordina la disponibilidad de los equipos y los operadores de esos equipo, se hace la marca de los vapores en sus puestos de atraque y además se revisa el reporte de operaciones. Ya está en uso en un 100%, sin embargo no se generan los productos. Este módulo no está implementado (0%), ni ha sido entregado de forma oficial. 3. Planificar y Supervisar Operaciones Se realizan las actividades de coordinación, planificación, supervisión de las operaciones. Donde se incluye atracar y desatracar la nave del puesto, remolcar la nave hacia el puesto de atraque o hacia bahía, suplir el equipo de carga y descarga, controlar la carga y descarga de contenedores y la mercadería a la nave, controlar el ingreso, salida y ubicación de la mercadería, contenedores y furgones en la Zona Portuaria para una operación más fluida y eficiente. No ha sido implementado (0%), es uno de los módulos sujetos de estudio. 4. Chequear Mercadería Llegadas a Puerto Involucra el proceso de control de la mercadería que entra y sale de los patios y bodegas del puerto, se planifica y asigna personal para el chequeo, se chequea la carga y descarga de contenedores y mercadería de vapores, también se chequea la entrada, salida y pesaje de mercaderías y vehículos de la No está implementado (0%). Está pendiente el desarrollo de algunas aplicaciones y tareas tales como: ajustes en la infraestructura, la instalación de hardware y el mapeo de las zonas de almacenaje, así como su codificación en el sistema. Continúa 101 Continuación zona, se resguarda y controla la mercadería que entra a las bodegas y patios, además se elabora un reporte de chequeo adicional 5. Procesar Información para el cobro de Servicios Portuarios Se aplican las tarifas de los servicios prestados a los contenedores, se actualiza la información de los servicios, se digita los datos de la nave, la mercadería llegada a puerto, se lleva el proceso de liquidación de la carga reportada contra la recibida. Además se captura electrónicamente los datos de la aduana y/o de los usuarios, insumo esencial de alimentación del sistema. Se está usando el módulo en un 10%; corresponde a los procesos 5, 6 y 8 del diagrama # 9. Se creó la ventanilla única en el Departamento de Facturación, pero no ha sido entregado oficialmente, tiene 0% implementación. 6. Facturar Servicios Se refiere al cobro de los servicios portuarios, puede ser por liquidación o por despacho directo. Está habilitado, pero no se usa el módulo, 0% implementación, porque depende de todos los anteriores. 7. Monitoreo SIOPJ Es una aplicación de consultas para los mandos medios y otros usuarios de alto nivel o de seguimiento del sistema. Está habilitado, pero pocos usuarios lo usan, el módulo tiene 0% implementación. Fuente: Elaboración propia, con base en el Manual del Técnico del SIOPJ, René Palacios e información recopilada de los usuarios y a desarrolladores a junio 2011. 102 3.1.6.1 Módulos: Planificar y supervisar operaciones y Procesar información para el cobro de servicios Los dos módulos analizados mediante este trabajo de investigación corresponden a los destinados a manejar la documentación e información de prácticamente el 75% del proceso de la operación portuaria. Dado esto, se considera importante considerar la percepción de los usuarios acerca de ellos, lo que seguidamente se detalla 3.1.6.1.1 Usuarios de los módulos Según se recopila del cuestionario realizado al Intendente Portuario, el 14 de junio del 2011, los usuarios del SIOPJ en general son todos los funcionarios operativos. En el caso de los módulos específicos en estudio: Planificar y supervisar operaciones, y Procesar información para el cobro de servicios, existen usuarios internos y externos, a saber:  Internos: Los colaboradoes de Documentación Contenedores, Control de Operaciones, Disposición de patios y Documentación Carga General, en las Intendencias, el intendente o asistente jefatura o designado, supervisores y cheques encargados a las diferentes funciones de nave y de patio.  Externos: Representantes Navieros, Representantes Compañías Estibadoras y los Representantes de los Transportistas, Agencias Aduanales, Aduana. 3.1.6.1.2 Análisis comparativo del diseño y resultados de los módulos Planificar y supervisar operaciones y Procesar información para el cobro de servicios versus los requerimientos de los usuarios y la demanda de servicios del puerto Según consultas realizadas a los intendentes de cada complejo portuario, mediante entrevista no estructurada, así mismo consultas y entrevistas telefónicas con el actual coordinador del proyecto de implementación; se recopilan las siguientes percepciones por parte del usuario: 103 o Hasta el momento no ha sido posible realizar las pruebas totales de los módulos 3 y 5 ya diseñados, según los procesos de la operación (en el campo), para poder comprobar si lo que solicitó el usuario se cumplió, ya que es un sistema nuevo sujeto a prueba y error. o Los que desarrollaron y están liderando el proceso de modificaciones y ajustes, así como la implementación, no conocen del área operativa, tampoco aceptan correcciones u objeciones por el usuario. o En la cultura indisciplinada de la institución es muy difícil la implementacion de algo nuevo, por la automática protección de su estatus quo, a ser posiblemente desplazado, lo que se demuestra por medio de una gran reacción negativa al proceso de implementacion de alguna manera, mostrando una gran resistencia al cambio y al uso de la tecnología de la información o Nunca existió un plan completo que contemplara la totalidad de los requerimientos para la implementacion, por la misma inexperiencia al respecto. o Se han creado falsas expectativas sobre lo que el sistema puede hacer, sin haber comprobado su verdadera efectividad. o Ha sido inadecuada la capacitación e inducción del sistema, no fue contemplada la culminación de las fases antes de pasar a la siguiente, ni se dio una adecuada complementación y aceptación por parte del usuario, no se consideró el verdadero paralelo comparativo, para su real aprobación y funcionamiento al menos en un porcentaje muy aceptable, tratándose de ingresos por servicios y su verdadero control antes , durante y después de la ejecución de los servicios prestados. o El sistema debe garantizar el funcionamiento y la mejora en la ejecución de los procesos de gestión y administración de los servicios, los cuales representan la naturaleza de ser de la empresa. 104 o Las pruebas que se han realizado, desde el punto de vista del desarrollador, son favorables, ya que han realizado simulaciones, no obstante desde la óptica del usuario no son suficientes. De todas formas se debe ir al campo y realizar todas las prueba-error necesarias para comprobar que el sistema funciona. Ello para poder evaluar en cuánto se mejoraron los procesos, si se eficientiza la recepción de la información para la prestación de los servicios, en cuánto se podría agilizar esa prestación del servicio en general y el control de la operación, así como el cierre y liquidación de los servicios prestados a los clientes y la generación de todos los insumos para la estadística y la toma de decisiones. o Durante el período de implementación tan extenso, se han generado nuevos requerimientos, entre ellos el enlace con el sistema bancario para la captura del tipo de cambio diario, la interconexión del sistema aduanal TIC@ con el SIOPJ. El primer caso se resolvió hace más de dos años y recientemente en estos meses con miras a culminar en dos meses aproximadamente, se está gestionando la coordinación del segundo, através de una comisión de alto nivel de la dirección general de aduanas y el equipo de trabajo del proyecto de implementación. Actualmente, la administración ha ejecutado algunas acciones que coadyuvan a la implementación final del sistema, entre ellas están: - Se elaboró un plan de proyecto para la implementación del SIOPJ en paralelo con el sistema tradicional (POPER). - Rotación del personal de las Intendencias de cada Complejo Portuario, el de Limón a Moín y viceversa, principalmente con el objeto de lograr una reorganización operativa de la Intendencia de Moín, que tal como se mostró en el diagrama # 4 (del apartado 2.6.1), carece de varias funciones de control y otros a nivel operativo. - Designación de un nuevo coordinador del proyecto, desde julio 2010, capacitado en las competencias de dirección de proyectos y se constituye como patrocinador la gerencia portuaria. 105 - Ajustes al sistema SIOPJ y coordinación con la Dirección de Aduanas para implementar el proceso de interconexión entre JAPDEVA y la aduana, a través de la integración de los sistemas SIOPJ y TIC@, específicamente para permitir la captura de manifiestos electrónicos, así como la entrada y salida de contenedores y mercadería general en los portones de JAPDEVA (esto como un requerimiento nuevo). - La contratación de la ampliación del ancho de banda y la instalación y revisión de la red inalámbrica de Moín. - La solicitud de refuerzo de personal tanto operativo como informático para cubrir el proceso de implementación primero y luego, la operación y mantenimiento. 106 CAPÍTULO IV. RESULTADOS DE LA EVALUACIÓN DEL SIOPJ 4.1. Valoración del módulo de Planificación y supervisión de operaciones y el de Procesar información para el cobro de los servicios portuarios, respecto a las normas de TI de la Contraloría General de la República Con el propósito de establecer un criterio de cumplimiento de las normas locales de TI, se realizará una comparación entre las actividades realizadas al momento del desarrollo del SIOPJ y las contenidas en la norma relativa a los sistemas computarizados vigentes en ese período. Esta normativa incorpora los criterios básicos de control que la Contraloría General de la República establece, para poder evaluar la observancia de los entes públicos regulados por esta, en materia de sistemas de información. En el contexto del período en que se desarrolló el SIOPJ (2001-2004), la norma vigente -tal como se mencionó en el capítulo primero, apartado 1.13.1.1- fue el Manual sobre Normas Técnicas de Control Interno relativo a los Sistemas de Información Computarizados. Para poder aplicar una verificación de cumplimiento respecto a la norma se confronta con la de ese momento, a través de la aplicación de un lista de chequeo y una entrevista no estructurada a los desarrolladores y a los líderes de área usuaria (ver anexos # 14 y #15 respectivamente), para determinar los aciertos o errores que se cometieron y así poder plantear las recomendaciones de mejora necesarias. Asimismo, en el apartado 4.1.2, de esa manera se realiza una comparación con la norma vigente actualmente de la Contraloría, la cual data del 2007, como una forma que complementar las recomendaciones. 4.1.1 Aspectos por evaluar del manual sobre normas técnicas de control interno relaticos a los SIC (desarrollo de sistemas) en cuanto desarrollo del SIOPJ Los aspectos por evaluar no son respecto a toda la normativa, sino que se delimita al capítulo 303 -Desarrollo de Sistemas-, ya que se considera el más significativo para los efectos de este trabajo de investigación. Tal como lo menciona en la normativa Hidalgo Solano, Samuel (noviembre 1995): 107 “El desarrollo de los sistemas de información computarizados (SIC) involucra necesariamente una alta inversión de recursos humanos, materiales, financieros y tecnológicos, que se debe hacer en forma ordenada para un mejor aprovechamiento de los fondos públicos”. (p.1) En este sentido, el capítulo tercero de esta normativa, que es el que se aborda, lo que trata es de guiar las actividades de desarrollo de los sistemas, de manera que se obtenga como resultado, tanto un desarrollo como una implementación y mantenimiento eficiente, eficaz y debidamente controlado. Cada uno de los enunciados que se plantean en los cuadros de resultados son tomados de la norma según Hidalgo Solano, Samuel (1995): Manual sobre Técnicas de Control Interno Relativos a los SIC, que se encuentra en el anexo # 4. 108 Tabla # 4 Resultados de la Evaluación del Desarrollo del SIOJP versus Capítulo III: Desarrollo de Sistemas de la Normativa de la CGR Fuente: Elaboración propia con base en información de Manual Sobre Normas Técnicas de Control Interno Relativos a los SIC (Desarrollo de Sistemas) en cuanto Desarrollo del SIOPJ. Apartado Criterio Sí No Parcial N/A Sí No Parcial N/A 3.01 Desarrollo en concordancia con los planes y las políticas del SIG 25% 25% 50% 100% 3.02 Manual de estándares para el desarrollo de los sistemas de información computarizados 75% 25% 100% 3.03 Proyecto de desarrollo del SIC 50% 50% 100% 3.04 Administrador del proyecto de desarrollo del SIC 25% 25% 50% 100% 3.05 Ciclo de vida para el desarrollo de sistemas (CVDS) 50% 50% 100% 3.05.01 Estudio Preliminar 100% 100% 3.05.02 Estudio de Factibilidad 67% 33% 100% 3.05.03 Análisis y determinación de requerimientos de información 100% 100% 3.05.04 Diseño conceptual del sistema 100% 100% 3.05.05 Diseño físico de sistema 100% 100% 3.05.06 Desarrollo de la programación 100% 100% 3.05.07 Desarrollo de la documentación 33% 67% 100% 3.05.08 Prueba del sistema 33% 33% 33% 100% 3.05.09 Implantación 33% 67% 100% 3.05.10 Evaluación post-implantación 33% 33% 33% 100% 3.06 Procesamiento en paralelo 33% 67% 100% 3.07 Procedimientos de control y rastros de las transacciones 33% 33% 33% 100% 3.08 Participación de los usuarios en el CVDS 100% 100% 3.09 Participación del auditor en el CVDS 33% 33% 33% 100% 3.10 Modificaciones a los Sistemas de Información Computarizados 100% 100% Desarrolladores Usuarios 109 A continuación se explica más detalladamente la información de la tabla # 4. 4.1.1.1 Desarrollo en concordancia con los planes y políticas del Sistema de Información Gerencial (SIG) Tabla # 5 Apartado 3.01 Apartado Criterio Sí No Parcial N/A Sí No Parcial N/A 3.01 El desarrollo del SIOPJ se efectúa teniendo como base fundamental el plan estratégico, el plan anual operativo y las políticas del SIG 25% 25% 50% 100% Desarrolladores Usuarios Fuente: Elaboración propia. En lo que se refiere a este apartado, existe gran discrepancia en lo manifestado por los distintos desarrolladores y encargados del sistema, pues ninguno coincide en el criterio de cumplimiento. Mientras que uno de ellos indica que el sistema sí se fundamentó en los planes y políticas institucionales (plan estratégico y/o plan anual operativo o a las políticas de sistemas de información institucionales), otro indica que fue parcial, es decir, que no hay una observancia total a la norma en este aspecto. Y por último, para los otros dos encargados actuales del proceso de implementación y modificaciones del sistema no está a su alcance responder, ya que no se encontraban involucrados aún en el sistema. Es interesante destacar que el área usuaria categóricamente dice que el inicio del desarrollo del SIOPJ se fundamentó en una solicitud como interés de las intendencias de automatizar los procesos de la operación portuaria y que no se enunció dentro de los planes y políticas de JAPDEVA. 4.1.1.2 Manual de estándares para el desarrollo de los SIC Tabla # 6 Apartado 3.02 Apartado Criterio Sí No Parcial N/A Sí No Parcial N/A 3.02 Se establece y mantiene actualizado un Manual de estándares para el desarrollo de los SIC 75% 25% 100% Desarrolladores Usuarios Fuente: Elaboración propia. 110 La norma establece que el manual de estándares lo constituye el conjunto de procesos y procedimientos que guían la actividad de desarrollo del sistema, por lo que es importante que se incluyan además las etapas del ciclo de vida para el desarrollo de sistemas. Esto debe ser aprobado por la autoridad máxima (en este caso la Junta Directiva), documentado, actualizado y divulgarse oportunamente en la institución. En cuanto a este particular, en el grupo desarrollador dos de ellos mencionan que sí se cuenta con el manual, dos de ellos dicen que no; y para el área usuaria no está a su alcance responder a esta observancia, ya que es de tipo más técnico. 4.1.1.3 Proyecto de desarrollo del SIC Tabla # 7 Apartado 3.03 Apartado Criterio Sí No Parcial N/A Sí No Parcial N/A 3.03 Se preparó un proyecto para cada SIC (SIOPJ), que se pretenda desarrollar, así como para los que sean objeto de modificaciones importantes 50% 50% 100% Desarrolladores Usuarios Fuente: Elaboración propia. Este apartado es de suma relevancia a lo largo del análisis del desarrollo de un sistema, ya que se trata de un plan que incorpora todas las actividades y tareas, tanto las técnicas, que consideran las etapas del ciclo de vida del desarrollo del sistema, como las administrativas, que tienen que ver con las estimaciones de tiempo, recursos financieros, humanos, tecnológicos y materiales que se necesitan para desarrollar un sistema; incluidas las técnicas y herramientas de programación y monitoreo que se aplican en la administración de proyectos. Son críticos los resultados obtenidos en cuanto a la observancia de este apartado de la normativa, ya que dos de los desarrolladores indican que no se trató el desarrollo del sistema SIOPJ como un proyecto, mientras que otros dos indican que fue de manera parcial, es decir muy superficialmente, ya que no se cumple con la planificación y el ordenamiento que supone el manejo de un proyecto. 111 Por otra parte, los líderes del área usuaria consideran que de ninguna manera se trabajó el SIOPJ como un proyecto, con la importancia y relevancia que tiene para la institución el poder manejar las operaciones de una forma automatizada. 4.1.1.4 Administrador del proyecto de desarrollo del SIC Tabla # 8 Apartado 3.04 Apartado Criterio Sí No Parcial N/A Sí No Parcial N/A 3.04 Se nombró un funcionario que tendría la responsabilidad directa de planear, organizar, dirigir, coordinar y controlar el proyecto de desarrollo del SIC 25% 25% 50% 100% UsuariosDesarrolladores Fuente: Elaboración propia. Esta norma considera el principio de responsabilidad delimitada, con el objetivo de que haya una persona que pueda rendir cuentas una vez concluido, probado y evaluado el sistema. Indica que se debe nombrar a un funcionario que tenga las competencias suficientes, que sea el responsable en general de las tareas de administración del proyecto y a la vez sea el enlace entre los usuarios, analistas, programadores y la jefatura del departamento de informática. En este sentido un desarrollador indica que sí se ha nombrado un administrador del proyecto, otro dice que ha sido parcialmente, ya que se han nombrado varios líderes a lo largo del período en que se ha intentado implementar el sistema, en algún momento en forma verbal, otros formalmente, inclusive menciona que durante el período de desarrollo erróneamente se consideró como líder a uno de los desarrolladores. Los otros dos mencionan que no responden porque aún no participaban en el proyecto en el momento del desarrollo del sistema. Por otro lado, los usuarios dicen que no se ha nombrado, ni existe un líder verdadero de este proyecto, inclusive mencionan que en su momento ellos tomaron el liderazgo un tiempo, también erróneamente. 112 Dada la inestabilidad que se observa a este nivel, se comienza a observar los errores serios que se cometió en el proceso de desarrollo e implementación del SIOPJ, el no generar un sentido de responsabilidad y compromiso para el logro de los objetivos del sistema. 4.1.1.5 Ciclo de vida para el desarrollo de sistemas (CVDS) Tabla # 9 Apartado 3.05 í Apartado Criterio S No Parcial N/A Sí No Parcial N/A 3.05 Los sistemas de información computarizados (SIOPJ) se desarrollan siguiendo la metodología del ciclo de vida para el desarrollo de sistemas (CVDS) 50% 50% 100% UsuariosDesarrolladores Fuente: Elaboración propia. Tal como fue mencionado en el capítulo primero en la sección 1.12.5.1, la metodología del ciclo de vida para el desarrollo de sistemas de información es una de las más antiguas, pero que se mantiene su uso en el tiempo, dado que favorece la mejor administración de los proyectos de desarrollo de sistemas de información, permite un mejor control del avance del proyecto y del uso de los recursos (humanos, financieros, materiales, tecnológicos) que se destinan para su ejecución. Se le da especial importancia a este apartado de la norma, por considerar que su correcta aplicación es un factor crítico de éxito del desarrollo e implementación de un sistema de información. Se conforma de 10 pasos básicos que el contralor en su momento consideró como requisito mínimo para aplicar por parte de una entidad sujeta de regulación de la CGR. Sin embargo, se encontró que también hay diferencia de criterio tanto por parte de los desarrolladores como del área usuaria. Dos de los desarrolladores citan que sí se utilizó la metodología de ciclo de vida de desarrollo, los otros dos dicen que no participaron de esa fase de desarrollo del sistema, por lo que no está a su alcance responder; sin embargo, piensan que se realizaron algunas etapas en forma aislada, pero no se siguió un patrón. El 113 grupo usuario anota que no tiene conocimiento de que se haya seguido una metodología de desarrollo de sistema, que guiara el proceso. Llama la atención esta situación, al igual que al anterior acerca de la existencia de un líder que coordinara el desarrollo del sistema; en este caso y aún más crítico es el proceso de planificación, desarrollo e implementación del sistema, el cual no se realizó en una forma consistente, lo que evidencia algunas de las razones por las que no ha tenido éxito la implementación del SIOPJ. Seguidamente, se documentará la comprobación del cumplimiento o incumplimiento por parte de los desarrolladores y participantes del proyecto de cada uno de los 10 pasos del ciclo de vida para el desarrollo de sistemas mencionado en la normativa. 4.1.1.5.1 Estudio preliminar Tabla # 10 Apartado 3.05.01 Apartado Criterio Sí No Parcial N/A Sí No Parcial N/A 3.05.01 El proyecto de desarrollo del SIC inició con un estudio preliminar y se preparó el informe correspondiente en conformidad con las especificaciones que se emitan 100% 100% UsuariosDesarrolladores Fuente: Elaboración propia. Tal como lo detalla la norma, este estudio incluye la documentación del problema o necesidad en cuanto a sistemas de información, además de la viabilidad técnica y económica de emprender el proyecto, asimismo si se considera justificante realizar un estudio de factibilidad. Todos los desarrolladores que se abordaron indican que esta fase sí se cumplió, no obstante los usuarios consideran que no fue así, simplemente se justificó la necesidad, autorizó y se inició de lleno con el proceso inicial del desarrollo del sistema. 114 4.1.1.5.2 Estudio de factibilidad Tabla # 11 Apartado 3.05.02 Apartado Criterio Sí No Parcial N/A Sí No Parcial N/A 3.05.02 De acuerdo con los resultados del estudio preliminar, se elaboró un estudio de factibilidad y se preparó el informe correspondiente de conformidad con las especificaciones que se emitieron 50% 50% 100% Desarrolladores Usuarios Fuente: Elaboración propia. Este estudio es formal, es un mayor detalle del estudio preliminar, incorpora la definición de las alternativas de solución, el establecimiento del costo-beneficio y la factibilidad técnica y económica de emprender el proyecto de desarrollo del sistema nuevo o la adquisición de hardware y software. Dos desarrolladores anotan que este proceso se realizó de forma parcial, es decir no se completó y los otros dos no participaban del proyecto en ese momento. Opuesta es la percepción de los usuarios que dicen que no hubo un estudio de factibilidad que incluyera las distintas opciones posibles para suplir la necesidad de automatizar la operación portuaria. En la revisión documental que se realizó, se observó que tanto el estudio preliminar como el de factibilidad los realizó el departamento de Planificación de la institución; no obstante, se indagó no se fue encontrado un documento que respaldara este hecho. 4.1.1.5.3 Análisis y determinación de requerimientos de información Tabla # 12 Apartado 3.05.03 Apartado Criterio Sí No Parcial N/A Sí No Parcial N/A 3.05.03 Se realizó un análisis del sistema actual y se determinaron y documentaron los requerimientos de información del sistema de información en desarrollo 100% 100% UsuariosDesarrolladores Fuente: Elaboración propia. 115 Esta etapa introduce todas las actividades de recopilación de datos y análisis exhaustivo del sistema actual, documentarlo y determinar todos los requerimientos del nuevo sistema. En este sentido fue homogénea la percepción tanto de los desarrolladores como los usuarios, ambas áreas coinciden en que sí se cumplió a cabalidad esta etapa de la metodología del ciclo de vida. Mediante la revisión de fuente secundaria se observa que prácticamente todo lo que tiene el sistema actual se incorpora al SIOPJ, se mejora y agrega tecnología para que la información se genere en tiempo real. 4.1.1.5.4 Diseño conceptual del sistema Tabla # 13 Apartado 3.05.04 Apartado Criterio Sí No Parcial N/A Sí No Parcial N/A 3.05.04 El diseño conceptual del SIC se documentó y responde a los requerimientos de información determinados 100% 100% UsuariosDesarrolladores Fuente: Elaboración propia. También llamado diseño lógico, se refiere a la descripción funcional y del procesamiento de los datos, considerando la información recopilada en la etapa anterior. En cuanto a esta etapa también coinciden las áreas involucradas, en que sí se ejecutó y documentó. 4.1.1.5.5 Diseño físico del sistema Tabla # 14 Apartado 3.05.05 Apartado Criterio Sí No Parcial N/A Sí No Parcial N/A 3.05.05 El diseño físico del SIC se documentó y ofrece las especificaciones necesarias y suficientes para el desarrollo de los programas 100% 100% UsuariosDesarrolladores Fuente: Elaboración propia. 116 El diseño detallado, como también se le llama, es una ampliación de lo trabajado en el diseño lógico, se trata de todas las especificaciones detalladas que serán usadas para el desarrollo de la etapa siguiente: desarrollo de los programas. En este particular también hay consenso en que el proceso se llevó a cabo en su totalidad y que se documentó, lo cual fue corroborado en el expediente que se revisó en el Departamento de Informática. 4.1.1.5.6 Desarrollo de la programación Tabla # 15 Apartado 3.05.06 Apartado Criterio Sí No Parcial N/A Sí No Parcial N/A 3.05.06 Los programas requeridos por el SIC se desarrollaron de conformidad con las especificaciones definidas en el diseño físico y se preparó la documentación respectiva 100% 100% UsuariosDesarrolladores Fuente: Elaboración propia. Esta es una de las etapas medulares, ya que involucra la codificación, recopilación, pruebas y depuración de los módulos que se hayan desarrollado. Todos los desarrolladores consideran que cumplieron con esta fase, no obstante desde el punto de vista usuario, esa labor fue parcial, ya que no quedaron plasmados en aplicaciones programadas los siguientes procesos: control de patios (planos patios), control carga en bodegas y patios, control de carga en el buque (planos de las naves). 4.1.1.5.7 Desarrollo de la documentación Tabla # 16 Apartado 3.05.07 Apartado Criterio Sí No Parcial N/A Sí No Parcial N/A 3.05.07 La documentación del SIC se concluyó antes de las pruebas 50% 50% 100% UsuariosDesarrolladores Fuente: Elaboración propia. 117 Esta etapa del ciclo se constituye también en un factor clave, ya que se trata de la documentación total del proyecto de desarrollo del sistema, y tiene el objetivo de validar todos los procedimientos realizados lo largo del ciclo de vida de desarrollo del sistema, debe iniciar desde que comienza el proceso de desarrollo y se conforma mediante un trabajo en equipo de los desarrolladores y los usuarios juntos. Hay dos desarrolladores que lo perciben de forma muy optimista e indican que sí se cumplió a cabalidad con este etapa, lo cual los otros dos desarrolladores y el grupo usuario no comparten, ya que consideran que fue parcial, pues aquellas etapas que se omitieron no se documentaron e incluso para algunas que sí se efectuaron no se completó totalmente su documentación antes de que se realizaran las pruebas, también se dieron casos en que se documentó posteriormente, varios años después de la conclusión del desarrollo del sistema e implementación de su primer y único módulo que está en ejecución. Mediante la verificación documental, se constata que el desarrollo del sistema se documentó solo parcialmente. 4.1.1.5.8 Prueba del sistema Tabla # 17 Apartado 3.05.08 Apartado Criterio Sí No Parcial N/A Sí No Parcial N/A 3.05.08 Se realizaron las prueba necesarias al SIC previo a su implantación y se documentaron adecuadamente 25% 25% 50% 100% UsuariosDesarrolladores Fuente: Elaboración propia. El concepto de prueba según Hidalgo Solano, Samuel (1995) es: “La prueba del SIC consiste en una prueba tanto individual o unitaria, como integral de los diferentes programas y de todas las fases y procedimientos manuales y automatizados que conforman el sistema, con el propósito de que este resulte confiable, funcional y en conformidad con las especificaciones establecidas originalmente”. (p. 31) 118 Este aspecto de la norma es de suma importancia para validar el sistema, hay muchísima disimilitud en las percepciones de los usuarios y desarrolladores. Un desarrollador indica muy positivamente que sí se han realizado las pruebas del sistema, otro que al parecer se apega al concepto antes citado, dice que no se han realizado las pruebas totales del sistema y los otros dos desarrolladores, al igual que los usuarios consideran que ha sido en forma parcial la ejecución de las pruebas, ya que se realizaron algunas en forma aislada, otras mediante simulaciones realizadas por los funcionarios del área informática y otras pocas con los usuarios mismos del sistema. En general, por lo investigado y revisado documentalmente, se observa que no se han realizado pruebas integrales del sistema para poder evaluar y validar su funcionalidad, confiabilidad y conformidad con los requerimientos solicitados por el área usuaria. 4.1.1.5.9 Implantación Tabla # 18 Apartado 3.05.09 Apartado Criterio Sí No Parcial N/A Sí No Parcial N/A 3.05.09 La implantación se llevó a cabo conforme a un plan establecido y bajo un control adecuado 25% 75% 100% UsuariosDesarrolladores Fuente: Elaboración propia. La implantación incluye la instalación del hardware y software del sistema, las conversiones y migraciones de sistema, las capacitaciones tanto de usuarios como de otras personas que vayan a utilizar el sistema. Se refiere a la puesta en marcha del nuevo sistema de información de forma integral. Esta es una de las etapas finales y más delicadas del ciclo de desarrollo de un sistema, requiere que un plan adecuado y documentado para que se lleve a cabo con éxito. El área usuaria y uno de los desarrolladores consideran que no ha sido implementado el SIOPJ, a pesar de todos los intentos que se han realizado y de que hay un solo módulo 119 funcionando. Los otros tres desarrolladores indican que ha sido una implementación parcial, dado que los módulos 1 y 2 se ejecutan. 4.1.1.5.10 Evaluación post-implantación Tabla #19 Apartado 3.05.10 Apartado Criterio Sí No Parcial N/A Sí No Parcial N/A 3.05.10 Posterior a la implantación del SIC, se realizó una evaluación a fin de determinar si ha logrado satisfacer los objetivos establecidos dentro de la relación de beneficio costo esperado 25% 25% 50% 100% UsuariosDesarrolladores Fuente: Elaboración propia. Esta es la última fase del ciclo de desarrollo, se ejecuta posterior a la operación del sistema por un período determinado (6 meses, 1 año), plazo suficiente para verificar si se lograron los objetivos del sistema, hasta que concluya esta fase el administrador del proyecto termina su responsabilidad de rendir cuentas por él. No hubo acuerdo en cuanto al grupo de desarrolladores, uno considera que no se ha realizado una revisión de este tipo, por cuanto no se ha logrado implementarse en su totalidad. 4.1.1.6 Procesamiento en paralelo Tabla # 20 Apartado 3.06 Apartado Criterio Sí No Parcial N/A Sí No Parcial N/A 3.06 Se ejecutó el procesamiento en paralelo del antiguo sistema con el nuevo SIC sea complejo, de importancia estratégica o según el criterio del administrador del proyecto 25% 75% 100% UsuariosDesarrolladores Fuente: Elaboración propia. 120 Este proceso es una ampliación de las pruebas, es la puesta en marcha del sistema nuevo y el actual simultáneamente, requiere de muchos recursos, pero es importante su aplicación para asegurarse del buen funcionamiento del nuevo sistema. Tal fase es importante para poder controlar las conversiones y migraciones de los sistemas. No fue positiva la percepción que tuvieron los funcionarios consultados, uno de los desarrolladores considera que no se ha realizado un procesamiento paralelo del SIOPJ, con el involucramiento de todos los actores, los otros perciben que ha sido parcial. Del mismo modo lo ven los usuarios. A juzgar por lo que cita la norma, no es posible afirmar que se haya hecho un procesamiento en paralelo del sistema, solamente se han realizado simulaciones. 4.1.1.7 Procedimientos de control y rastros de las transacciones Tabla # 21 Apartado 3.07 Apartado Criterio Sí No Parcial N/A Sí No Parcial N/A 3.07 Los SIC incluyen los procedimientos de control y rastros de las transacciones que sean necesarios 25% 50% 25% 100% UsuariosDesarrolladores Fuente: Elaboración propia. Esta norma lo que indica es que los sistemas deben incorporar los procedimientos de control que permitan la confiabilidad, tales como las pistas de auditoría y otras rutinas de control adicionales. En lo que respecta a este particular no está al alcance de los usuarios el responder a este enunciado, pues es meramente técnico. Por otra parte, el grupo desarrollador no tiene un consenso en ese sentido, pues mientras uno cita que sí se incluyeron, otro menciona que fue parcialmente y los otros dos que no. 121 4.1.1.8 Participación de los usuarios en el CVDS Tabla # 22 Apartado 3.08 Apartado Criterio Sí No Parcial N/A Sí No Parcial N/A 3.08 Se contó con la participación activa de los usuarios en las diveresas etapas del CVDS 100% 100% UsuariosDesarrolladores Fuente: Elaboración propia. La participación dinámica y comprometida de los usuarios a lo largo de todo el proceso de desarrollo es imprescindible y permite garantizar que se satisfacen las necesidades de información y que llenan las expectativas de los usuarios. Los desarrolladores aseveran que durante todas las etapas de la metodología aplicada se dio un involucramiento fuerte de los usuarios, sin embargo, estos consideran que si bien su participación fue de suma relevancia y muy activa en las primeras etapas del ciclo de vida de desarrollo del SIOPJ, también hubo muchos momentos en que no se les consideró su aporte u observaciones, a pesar de que los hacían. 4.1.1.9 Participación del auditor en el CVDS Tabla # 23 Apartado 3.09 Apartado Criterio Sí No Parcial N/A Sí No Parcial N/A 3.09 Durante el CVDS el auditor fungió como asesor o consejero del administrador del proyecto y en general del equipo de desarrollo 25% 25% 50% 100% Desarrolladores Usuarios Fuente: Elaboración propia. Esta norma considera que el auditor mantenga un acompañamiento al administrador del proyecto, durante todo el proceso del ciclo de vida de desarrollo del sistema, a través de un rol como asesor, que garantice la buena marcha de cada etapa mediante una evaluación una vez que concluya cada fase. 122 La Auditoría de la institución, según lo indica uno de los desarrolladores, sí participó a lo largo del CVDS, otro dice que en forma parcial, es decir que inicialmente asesoró, pero luego se apartó del proceso, de hecho como no había un solo líder no hubo una estabilidad suficiente para que se ejecutara ese proceso. 4.1.1.10 Modificaciones a los SIC Tabla # 24 Apartado 3.10 Apartado Criterio Sí No Parcial N/A Sí No Parcial N/A 3.10 Las modificaciones a los SIC en operación son autorizadas, controladas, aprobadas y documentadas adecuadamente 100% 100% UsuariosDesarrolladores Fuente: Elaboración propia. Es una ampliación al enunciado de documentar el sistema, en este caso se refiere a que haya un adecuado registro de cambios y/o modificaciones del sistema durante todas las etapas del CVDS, con su respectiva justificación, autorización y/o aprobación según fue necesario en el orden cronológico que se dio. Coinciden todos los desarrolladores en que esta tarea se ha ejecutado parcialmente, es decir, hubo cambios que se hicieron sobre la marcha y que no se documentaron. Entre tanto, los usuarios aclaran que no es de su alcance esta tarea, por lo tanto no responden a este apartado. 4.1.2 Aspectos por evaluar de las Normas técnicas para la gestión y el control de las tecnologías de información (implementación de tecnologías de información) en cuanto al desarrollo e implementación del SIOPJ La administración pública en la gestión institucional de las tecnologías de información tiene como ente fiscalizador a la Contraloría General de la República, que se ha tomado la tarea de emitir las normas, criterios y demás herramientas de control pertinentes. La normativa vigente en materia de sistemas de información, tal como se mencionó en el apartado 1.13.1, son las Normas Técnicas para la Gestión y el Control de las TI, recuperadas en la página 123 electrónica de la CGR. El acatamiento de estas normativas por parte de las instituciones públicas sujetas a la fiscalización de la Contraloría es de carácter obligatorio desde su vigencia (junio 2007), sin embargo este ente contralor otorgó un período de dos años para su completa puesta en marcha en las distintas entidades públicas incluida ella misma, es decir a partir de julio 2009. Fungió como modelo al realizar la labor de normalización justo en ese período de gracia, como resultado de este proyecto, se emitió un informe llamado: “Normas técnicas en tecnologías de información y comunicación” Informe final versión 1.0.0, que se encuentra publicado en la página electrónica de la CGR. Siendo JAPDEVA un ente de esa categoría, se procede en este documento a someter a la institución, mediante el ejercicio de verificación de que durante el proceso de desarrollo e implementación del SIOPJ, específicamente los módulos del sistema en estudio (Planificación y supervisión de operaciones, y Procesar información para el cobro de servicios portuarios), se haya apegado a las normativas vigentes en su período de desarrollo (tal como fue realizado en el apartado 4.1.1); sin embargo, puesto que sigue pendiente su implementación (a pesar de tener alrededor de 7 años de estar listo, según lo aseguran los técnicos informáticos), algunas modificaciones y el desarrollo de aplicaciones adicionales, se considera importante aplicar un diagnóstico respecto a la norma actual N-2-2007-CO- DFOE, arriba mencionada, que es la que debe cumplirse actualmente. Por limitaciones de tiempo y otros, el alcance de este estudio específicamente es la verificación del capítulo III de la normativa: Implementación de Tecnologías de Información, que consta de cuatro apartados (se pueden observar en el anexo # 5). Este análisis se utilizará como un diagnóstico para poder evaluar el cumplimiento o incumplimiento de la institución, en cuanto a los aspectos que detalla la normativa en el capítulo mencionado. Se aplica igualmente a través de una lista de chequeo, en este caso solamente se consultó a un desarrollador y a un líder del grupo usuario. Los resultados serán insumo para plantear las mejoras pertinentes a la gestión de desarrollo e implementación del SIOPJ (que sigue inconcluso), y que sirva como herramienta para evaluar los demás módulos del sistema en estudio, así como futuros sistemas por desarrollar o adquirir por parte de JAPDEVA. 124 Lo anterior por cuanto no hay una guía o instrumento metodológico disponible por parte de la Contraloría, para la verificación de la norma, así se corroboró mediante consulta telefónica al Sr. Gino Ramírez Solís, de la Secretaría Técnica Unidad de Infraestructura de la Contraloría, el día 7 de junio del 2011, que indica que hay un borrador de criterios para la evaluación de la norma que contempla solo los dos primeros capítulos (1. Normas de aplicación general y 2. Planificación y organización). Por esto se procedió a construir una lista de chequeo, basada en los enunciados que exige cada apartado del capítulo 3. Además, se revisa como marco de referencia, la metodología utilizada por la CGR para implementar la norma de forma global en su informe final de julio del 2009 (documento recuperado de la página electrónica de la CGR, el 1 de julio 2011). Se considera de vital importancia poder evaluar la implementación de las normas de tecnologías de información en JAPDEVA, ya que a pesar de que han sido sujetas de auditorías internas y revisiones, incluso de la Contraloría, no son notorias las mejoras que se han dado en la institución en este tema de la gestión de las tecnologías de información. Se espera que este ejercicio sirva como modelo y la herramienta pueda ser aplicada y complementada en adelante para toda solución de software desarrollada y modificada a lo interno por parte del Departamento de TI de esta institución, o adquirida vía el proceso de contratación administrativa; en este caso no sólo el capítulo de la norma que se aborda en esta investigación, sino la norma completa. Los aspectos por evaluar en cuanto a la norma actual contemplan: las consideraciones generales de implementación de TI, la implementación de software, la implementación de la infraestructura tecnológica y la contratación de terceros para la implementación y mantenimiento de software e infraestructura, todos aspectos del capítulo 3. Se aclara que, a pesar de que las normas técnicas de gestión y control de la Contraloría en su capítulo tercero incorporan el aspecto de la contratación, en el caso del SIOPJ -que es un sistema desarrollado en la institución, por analistas y programadores de JAPDEVA- no se analizará como tal este apartado a pesar de que se completó la lista de chequeo, puesto que la 125 implementación y el mantenimiento del sistema no será contratado externamente, será realizado por el equipo del área de TI. A continuación se mostrarán los hallazgos del diagnóstico (tabla # 25), realizado mediante la aplicación de la lista de chequeo que se observa en el anexo # 16. 126 4.1.2.1 Consideraciones generales de la implementación del módulo Tabla # 25 Hallazgos de la Verificación del Capítulo III: Implementación de Tecnologías de Información/ Consideraciones Generales de la Implementación de TI versus SIOPJ Fuente: Elaboración propia con base en norma actual N-2-2007-CO-DFOE. 127 El objetivo de la observancia de este criterio es que la organización debe implementar y mantener las Tecnologías de Información requeridas en concordancia con su marco estratégico, planificación, modelo de arquitectura de información e infraestructura tecnológica. Tabla # 26 Apartado 3.1.a Fuente: Elaboración propia. Ambas áreas coinciden en que se cumple con justificar, autorizar y documentar las solicitudes de nuevos sistemas, solo que el usuario indica que es en forma parcial. Tabla # 27 Apartado 3.1.b Fuente: Elaboración propia. No coinciden el área usuaria con el desarrollador, el primero considera que no se manejan los desarrollos de sistemas como verdaderos proyectos, mientras que el desarrollador dice que sí cumple de forma parcial con este apartado de la norma. El respaldo documental de este proyecto se dio parcialmente, pues el Departamento Informático -quien lo desarrolló-, documentó parte durante el proceso de desarrollo y otra parte una vez construida la solución de software, como es usual en las empresas según lo SÍ NO Parcial N/A SÍ NO Parcial N/A a) Se adoptan políticas sobre la justificación, autorización y documentación de solicitudes de implementación o mantenimiento de Tecnologías de Información. X X 3.1.a Desarrollador Usuario SÍ NO Parcial N/A SÍ NO Parcial N/A b) Se establece el respaldo claro y explícito para los proyectos de TI, tanto del jerarca como de las áreas usuarias. X X 3.1.b Desarrollador Usuario 128 menciona la teoría. En este caso, las fases del desarrollo del sistema se documentaron parcialmente, y no obedecen a una metodología clara y explícita, pues el Departamento de TI, y por ende la institución, no tiene una política ni una metodología propia formal, ni aplica ninguna de las que se conocen en la teoría de los sistemas de información, ni la de la CGR, a pesar de que afirman que lo hacen. En la documentación del expediente del SIOPJ, se observa que tienen conocimiento de que hay una metodología de desarrollo, la mencionan como parte de su plan de trabajo, pero no la aplican de forma oportuna y ordenada. Tabla # 28 Apartado 3.1.c Fuente: Elaboración propia. Ambos consideran que la participación de los usuarios en todas las etapas de desarrollo del sistema fue parcial. Es decir, a pesar de que hubo intervención del área usuaria, no fue la suficiente. Tabla # 29 Apartado 3.1.d Fuente: Elaboración propia. SÍ NO Parcial N/A SÍ NO Parcial N/A c) Se garantiza la participación activa de las unidades o áreas usuarias, las cuales deben tener una asignación clara de responsabilidades y aprobar formalmente las implementaciones realizadas. X X 3.1.c Desarrollador Usuario SÍ NO Parcial N/A SÍ NO Parcial N/A d) Se instauran líderes de proyecto con una asignación clara, detallada y documentada de su autoridad y responsabilidad. X X 3.1.d Desarrollador Usuario 129 En este caso el usuario indica que el nombramiento de un líder fue parcial, ya que han variado al líder del proyecto en varias oportunidades, mucho más ahora en la etapa actual en que se intenta implementar en un 100% el sistema. Por otro lado, el desarrollador dice que no se ha instaurado un sólo líder el proyecto de desarrollo del sistema que lo inicie y finalice y sea evaluado para que pueda rendir cuentas No se instauró un líder de proyecto con una asignación clara, detallada y documentada de su autoridad y responsabilidad, durante el desarrollo, ni para administrar el proyecto a nivel de su implementación una vez que estuvo listo, ni desde que se inició su proceso de desarrollo. Actualmente, se están realizando los últimos esfuerzos para implementar el sistema, y recientemente se nombró a un coordinar para esta última etapa de puesta en marcha y evaluación. Sin embargo, la deficiente la coordinación y comunicación son limitantes fuertes para llevar a buen puerto la implementación. Tabla # 30 Apartado 3.1.e Fuente: Elaboración propia. Hay consenso entre el área usuaria y los desarrolladores en que esta etapa no se consideró con la seriedad que se debe, pues no se tomaron en cuenta las alternativas que había en el mercado para satisfacer la necesidad de automatizar el proceso operativo de los puertos. Tampoco se llevó a cabo ni se documentó en las etapas de planificación y análisis, un estudio de perfil o de factibilidad completo (de acuerdo con criterios técnicos, económicos, operativos y jurídicos) de las alternativas de solución posibles para suplir la necesidad del nuevo sistema. SÍ NO Parcial N/A SÍ NO Parcial N/A e) Se analizan las alternativas de solución de acuerdo con criterios técnicos, económicos, operativos y jurídicos, y lineamientos previamente establecidos. X X 3.1.e Desarrollador Usuario 130 Tabla # 31 Apartado 3.1.f Fuente: Elaboración propia. El desarrollador afirma que cumple con este apartado de la norma, mientras que el usuario indica que no, ya que a pesar de que ellos como especialistas en el tema operativo se han dado a la tarea de trasladar los conocimientos en este tema, aún existen vacíos y desconocimiento. Además que, por cuanto no se realizaron estudios preliminares ni de factibilidad formales, los requerimientos no se establecieron bajo un contexto de costo- beneficio. Tabla # 32 Apartado 3.1.g Fuente: Elaboración propia. El desarrollador dice que cumplió con este apartado de la norma, sin embargo el usuario cree todo lo contrario, puesto que se han dado muchas debilidades en el proceso de desarrollo e implementación del sistema, justamente dado que no se aseguraron específicamente los recursos técnicos y de recurso humano suficiente para enfrentar una labor tan demandante como esa. SÍ NO Parcial N/A SÍ NO Parcial N/A f) Se cuenta con una definición clara, completa y oportuna de los requerimientos, como parte de los cuales debe incorporar aspectos de control, seguridad y auditoría, bajo un contexto de costo-beneficio. X X Desarrollador Usuario 3.1.f SÍ NO Parcial N/A SÍ NO Parcial N/A g) Se toman las previsiones correspondientes para garantizar la disponibilidad de los recursos económicos, técnicos y humanos requeridos. X X Desarrollador Usuario 3.1.g 131 Tabla # 33 Apartado 3.1.h Fuente: Elaboración propia. Al igual que el apartado anterior, el desarrollador se muestra muy positivo, al afirmar que sí se realizaron las estrategias de implementación para garantizar el éxito de los objetivos del SIOPJ. Opuesta es la posición del usuario, quien cita que evidentemente no se siguió una estrategia o plan de implementación claro, que asegurara la ejecución del nuevo sistema en el tiempo previsto, prueba de ello es que desde que se inició la puesta en marcha con el primer módulo (en el 2007), ya se llevan cuatro años de intentos de continuar con este proceso de implementación del resto de la solución informática. Tabla # 34 Apartado 3.1.i Fuente: Elaboración propia. Tampoco coinciden el desarrollador y el usuario, el primero menciona que sí promueve la independencia de proveedores, mientras el segundo considera que esto no se cumple, ya que a pesar de que se haya desarrollado internamente el sistema, se requirió adquirir externamente otros requerimientos para que pueda ponerse a funcionar el programa. SÍ NO Parcial N/A SÍ NO Parcial N/A h) Se formulan y ejecutan estrategias de implementación que incluyan todas las medidas para minimizar el riesgo de que los proyectos no logren sus objetivos, no satisfagan los requerimientos o no cumplan con los términos de tiempo y costo preestablecidos. X X Desarrollador Usuario 3.1.h SÍ NO Parcial N/A SÍ NO Parcial N/A i) Se promueve su independencia de proveedores de hardware , software, instalaciones y servicios. X X Desarrollador Usuario 3.1.i 132 Como resultado de la revisión documental se pudo verificar que se compró hardware, se contrataron licencias para soportar la plataforma del software, se amplió la banda de transmisión de datos, entre otros. Estas adquisiciones requirieron contratarse con terceros. 4.1.2.2 Implementación de software Tabla # 35 Hallazgos de la verificación del Capítulo III: Implementación de tecnologías de información/ Implementación de software vs SIOPJ SI NO Parcial N/A SI NO Parcial N/A a. Observar lo que resulte aplicable de la norma 3.1anterior. X X b. Desarrollar y aplicar un marco metodológico que guíe los procesos de implementación y considere la definición de requerimientos, los estudios de factibilidad, la elaboración de diseños, la programación y pruebas, el desarrollo de la documentación, la conversión de datos y la puesta en producción, así como también la evaluación post- implantación de la satisfacción de los requerimientos. X X c. Establecer los controles y asignar las funciones, responsabilidades y permisos de acceso al personal a cargo de las labores de implementación y mantenimiento de software. X X d. Controlar la implementación del software en el ambiente de producción y garantizar la integridad de datos y programas en los procesos de conversión y migración. X X e. Definir los criterios para determinar la procedencia de cambios y accesos de emergencia al software y datos, y los procedimientos de autorización, registro, supervisión y evaluación técnica, operativa y administrativa de los resultados de esos cambios y accesos. X X f. Controlar las distintas versiones de los programas que se generen como parte de su mantenimiento. X X 3.2 Implementación de software Desarrollador Usuario Fuente: Elaboración propia con base en norma actual N-2-2007-CO-DFOE. 133 En este particular, el objeto es que la institución debe implementar el software que satisfaga los requerimientos de sus usuarios y soporte efectivamente sus procesos, específicamente en cuanto a la planificación de la operación portuaria para el caso de los dos módulos en estudio, donde ambos se efectúan antes y durante la operación portuaria. Tabla #36 Apartado 3.2.a Fuente: Elaboración propia. En cuanto al software se dan las mismas limitaciones que se mencionaron en el enunciado de consideraciones generales, por lo que el desarrollador promedia como parcial este primer apartado, pero el usuario indica que la aplicación de la mayoría de los argumentos allí enunciados no se cumplen, y algunos solo superficialmente. Tabla # 37 Apartado 3.2.b Fuente: Elaboración propia. SÍ NO Parcial N/A SÍ NO Parcial N/A a) Se observan los aspectos aplicables de la norma anterior (3.1) en cuanto al software X X 3.2.a Desarrollador Usuario SÍ NO Parcial N/A SI NO Parcial N/A b) Se desarrolla y aplica un marco metodológico que guíe los procesos de implementación y considere la definición de requerimientos, los estudios de factibilidad, la elaboración de diseños, la programación y pruebas, el desarrollo de la documentación, la conversión de datos y la puesta en producción, así como también la evaluación post-implantación de la satisfacción de los requerimientos. X X 3.2.b Desarrollador Usuario 134 Según el criterio técnico, el desarrollador cita que sí concluyó el proceso de desarrollo del sistema y que aplicó la metodología de ciclo de vida para el desarrollo del sistema, sin embargo el usuario indica lo contrario. Asimismo, mediante la documentación recopilada y la información de fuentes primarias, se evidencia que mencionan que usaran ese método (ver anexo # 17), pero en la práctica no se siguió un marco metodológico para las distintas etapas de su desarrollo, es decir, no se trabajó ordenada y consistentemente basado en una metodología tal como la del ciclo de vida de desarrollo del sistemas o cualquier otra conocida en el ambiento informático, para el caso de los dos módulos analizados del SIOPJ. Tabla # 38 Apartado 3.2.c Fuente: Elaboración propia. En este apartado específico, tanto el desarrollador como el usuario están de acuerdo en que se establecieron los controles y aspectos de seguridad del sistema. Tabla # 39 Apartado 3.2.d Fuente: Elaboración propia. SÍ NO Parcial N/A SÍ NO Parcial N/A c) Se establecen los controles y asignan las funciones, responsabilidades y permisos de acceso al personal a cargo de las labores de implementación y mantenimiento de software. X X 3.2.c Desarrollador Usuario SÍ NO Parcial N/A SÍ NO Parcial N/A d) Se controla la implementación del software en el ambiente de producción y se garantiza la integridad de datos y programas en los procesos de conversión y migración. X X 3.2.d Desarrollador Usuario 135 A pesar de que el desarrollador asevera que sí controló el proceso de implementación del SIOPJ, el usuario no lo considera así, puesto que sólo hay un módulo de seis funcionando. Incluso los dos módulos en estudio no están implementados, ni se ha logrado realizar un proceso paralelo, donde se pueda asegurar que hay una garantía de que no se afecte la integridad de los datos. Tabla #40 Apartado 3.2.e Fuente: Elaboración propia. El que desarrolló el sistema asegura que se han manejado correctamente los cambios y accesos al SIOPJ, mientras que el área usuaria considera que ha sido parcial, que inclusive hay solicitudes de modificaciones en las que se ha omitido su ejecución. Tabla # 41 Apartado 3.2.f Fuente: Elaboración propia. Mientras que el área desarrolladora cita que sí han controlado las diferentes versiones de los programas, el usuario aclara que no se aplica evaluar este apartado, dado que ni se ha SÍ NO Parcial N/A SÍ NO Parcial N/A e) Se definen los criterios para determinar la procedencia de cambios y accesos de emergencia al software y datos, y los procedimientos de autorización, registro, supervisión y evaluación técnica, operativa y administrativa de los resultados de esos cambios y accesos. X X 3.2.e Desarrollador Usuario SÍ NO Parcial N/A SÍ NO Parcial N/A f) Se controlan las distintas versiones de los programas que se generen como parte de su mantenimiento. X X 3.2.f Desarrollador Usuario 136 podido implementar los dos módulos investigados: Planificar y supervisar operaciones y Procesar información para el cobro de servicios portuarios, ni el SIOPJ como tal en un 100%, tal como se menciona anteriormente en el apartado 4.1.1.5.6, en el comentario del usuario, donde indica que aún quedan pendientes aplicaciones por programar para completar el desarrollo del sistema nuevo, por lo que no se puede hablar de versiones todavía. 4.1.2.3 Implementación de infraestructura tecnológica Tiene como objeto lograr que la infraestructura y la arquitectura tecnológica estén en concordancia con el software desarrollado. Tabla # 42 Hallazgos de la Verificación del Capítulo III: Implementación de Tecnologías de Información/ Implementación de la Infraestructura Tecnológica versus SIOPJ Fuente: Elaboración propia con base en norma actual N-2-2007-CO-DFOE. Tabla # 43 Apartado 3.3.a Fuente: Elaboración propia. SÍ NO Parcial N/A SÍ NO Parcial N/A a. Se adquiere, instala y actualiza la infraestructura necesaria para soportar el software de conformidad con los modelos de arquitectura de información e infraestructura tecnológica y demás criterios establecidos. X X b. Se observan los aspectos contemplados en la norma 3.1, en términos de la infraestructura tecnológica. X X 3.3 Implementación de la infraestructura tecnológica Desarrollador Usuario SÍ NO Parcial N/A SÍ NO Parcial N/A a) Se adquiere, instala y actualiza la infraestructura necesaria para soportar el software de conformidad con los modelos de arquitectura de información e infraestructura tecnológica y demás criterios establecidos X X 3.3.a Desarrollador Usuario 137 En ese sentido para el sistema en análisis, y particularmente para el caso de los dos módulos sujetos de estudio, sí se cumple con adquirir, instalar y actualizar la infraestructura necesaria para soportar el software de acuerdo con los modelos de arquitectura de información e infraestructura tecnológica y demás criterios. Tabla # 44 Apartado 3.3.b Fuente: Elaboración propia. En este caso sí se nombra un coordinador del mismo departamento de TI como líder para implementar la infraestructura tecnológica, sin embargo, no se analizan las alternativas posibles. Al igual que en el primer apartado 4.1.2.3 no se realizan los estudios preliminares y de factibilidad para tomar las decisiones de adquisición de la infraestructura tecnológica, así como los demás detalles de la norma 3.1 que no se cumplen en cuanto al software. SÍ NO Parcial N/A SÍ NO Parcial N/A b) Se observan los aspectos contemplados en la norma 3.1, en términos de la infraestructura tecnológica X X 3.3.b Desarrollador Usuario 138 4.1.2.4 Contratación de terceros para la implementación y mantenimiento del software e infraestructura Tabla # 45 Hallazgos de la Verificación del Capítulo III: Implementación de Tecnologías de Información/ Contratación de Terceros para la Implementación y Mantenimiento de Software e Infraestructura Versus SIOPJ Fuente: Elaboración propia con base en norma actual N-2-2007-CO-DFOE. Para el SIOPJ no se contratan terceros, pues el mismo departamento de TI realiza el desarrollo, la implementación y el mantenimiento del sistema. Sin embargo, se verifica la norma 3.4, dado que también aplica para los casos en que la misma empresa desarrolle su software. SÍ NO Parcial N/A SÍ NO Parcial N/A a. Se observan los aspectos aplicables de las normas 3.1, 3.2 y 3.3 en cuanto a contratación. X X b. Existe una política relativa a la contratación de productos de software e infraestructura. X X c. Toda vez que se requiera, se cuenta con la debida justificación para contratar a terceros o desarrollar la implementación y mantenimiento de software e infraestructura. X X d. Toda vez que se requiera, se cuenta con la debida justificación para contratar a terceros o desarrollar la implementación y mantenimiento de software e infraestructura. X X e. Se establecen, verifican y aprueban formalmente los criterios, términos y conjunto de pruebas de aceptación de lo contratado o desarrollado; sean instalaciones, hardware o software. X X Desarrollador Usuario 3.4 Contratación de terceros para la implementación y mantenimiento de software e infraestructura 139 Tabla # 46 Apartado 3.4.a Fuente: Elaboración propia. Según el desarrollador este primer apartado no es aplicable para el caso del SIOPJ. De igual manera el usuario cree que no se observaron los aspectos de este enunciado. Tabla # 47 Apartado 3.4.b Fuente: Elaboración propia. Hay consenso en la percepción de cumplimiento de este apartado de la norma, tanto el desarrollador como el usuario consideran que no hay una política específica relativa a la contratación de TI, simplemente se maneja a través de los mismos procedimientos y estándares del proceso de contratación administrativa general de la institución y conforme el juicio de la jefatura del departamento. A pesar de que existe un comité gerencial de informática, cuya constitución se dio mediante la sesión ordinaria N° 02-88, artículo VI inciso 2, del 14 de setiembre de 1988 y lo integra la gerencia, se encuentra inactivo, por lo tanto no ejerce sus roles, entre los cuales está el establecer políticas de TI. SÍ NO Parcial N/A SÍ NO Parcial N/A a) Se observan los aspectos aplicables de las normas 3.1, 3.2 y 3.2 en cuanto a contratación. X X 3.4.a Desarrollador Usuario SÍ NO Parcial N/A SÍ NO Parcial N/A b) Existe una política relativa a la contratación de productos de software e infraestructura X X 3.4.b Desarrollador Usuario 140 Tabla # 48 Apartado 3.4.c Fuente: Elaboración propia. El desarrollador percibe positivamente este aspecto, en el tanto que el usuario menciona que ha sido parcial, ya que la mayoría de las veces, la justificación se inclina hacia el aspecto técnico informático únicamente, cuando en realidad debe ser razonado de manera integral y en especial desde la necesidad propiamente, que en este caso es tanto operativa como administrativa. Tabla # 49 Apartado 3.4.d Fuente: Elaboración propia. En este sentido ambos coinciden en que se aplica, ya que es parte del procedimiento de contratación administrativa general que se practica en la institución. No obstante, claro está que para el SIOPJ solo se empleó para el caso del hardware y otros componentes de la infraestructura, donde hubo necesidad de adquirirlos de terceros. SÍ NO Parcial N/A SÍ NO Parcial N/A c) Toda vez que se requiera, se cuenta con la debida justificación para contratar a terceros o desarrollar la implementación y mantenimiento de software e infraestructura. X X 3.4.c Desarrollador Usuario SÍ NO Parcial N/A SÍ NO Parcial N/A d) Se establecen procedimientos o guías para la definición de los “términos de referencia” que incluyan las especificaciones y requisitos o condiciones requeridos o aplicables, así como para la evaluación de ofertas. X X 3.4.d Desarrollador Usuario 141 Tabla # 50 Apartado 3.4.e Fuente: Elaboración propia. Aunque el desarrollador cita que cumple con esta parte de la normativa, el usuario cree que se hace de forma parcial, porque el proceso de pruebas está inconcluso, así como la aceptación del sistema. 4.2 Valoración de los módulos Planificar y supervisar operaciones, y Procesar información para el cobro de los servicios portuarios, respecto a las mejores prácticas del Perú, en cuanto a ciclo de vida de desarrollo de sistemas Específicamente en el tema del ciclo de vida de desarrollo del sistema y su aplicación a los módulos en estudio, así como el sistema integralmente o cualquier otro que desarrolle o contrate JAPDEVA y siendo un tema que introduce el capítulo tercero tanto de la normativa vigente al momento del desarrollo del SIOPJ (apartado 1.13.1.1), como la norma vigente actualmente (apartado 1.13.1.2), esta fue el área en el que se encontró mayor debilidad al desarrollar el sistema nuevo, aspecto al que se le restó importancia por parte de los desarrolladores pues se automatizó un sistema de trabajo que se llevaba a cabo manual y empíricamente, con el apoyo del sistema actual (tradicional), sin seguir una metodología propia de la institución o alguna que la teoría informática ofrece. Por ello, para profundizar en este particular, y como resultado de consultas realizadas a personeros de la CGR, se tomó como referencia el programa de auditoría del ciclo de vida del desarrollo de los sistemas aplicado a nivel latinoamericano, por el Perú; recuperado de la página electrónica de la contraloría de ese país (http://www.contraloria.gob.pe/wps/portal/portalcgr para su uso como herramienta de SI NO Parcial N/A SI NO Parcial N/A e) Se establecen, verifican y aprueban formalmente los criterios, términos y conjunto de pruebas de aceptación de lo contratado o desarrollado; sean instalaciones, hardware o software. X X 3.4.e Desarrollador Usuario 142 apoyo en la propuesta de esta memoria, por lo que en este apartado no se aplicará tal como se hizo en los puntos 4.1.1 y 4.1.2. Se considera como un factor crítico de éxito en el impulso de cualquier proyecto de tecnología de la información, el uso de una guía clara, ya sea de ciclo de vida del sistema o de desarrollo del proyecto informático, al mismo tiempo que sirva de insumo para la evaluación del proceso una vez que el sistema se haya desarrollado o modificado, y el caso del SIOPJ no es la excepción. Se adjunta, en el anexo # 3, check list que plantea el Gobierno peruano, como una referencia para el trabajo del Departamento de Tecnología de Información, la Auditoría, la Unidad de Control Interno o cualquier otra instancia de la administración de JAPDEVA que requiera dar seguimiento al tema de desarrollo de sistemas de información. 143 CAPÍTULO V. CONCLUSIONES, RECOMENDACIONES Y PROPUESTA DE NORMALIZACIÓN E IMPLEMENTACIÓN DEL SIOPJ 5.1 Conclusiones - De acuerdo con el marco conceptual planteado en este documento, los puertos del Complejo Portuario Limón-Moín son marítimos según su ubicación y mixtos según su función económica. Se puede decir que atiende buques tanto de primera como segunda generación, según los servicios que presta y la capacidad instalada que presentan. Moviliza carga principalmente contener izada, aproximadamente el 60% de la mercancía que pasa por estos puertos. Y se constituye en el principal puerto del país, ya que trasiega más del 80% de la carga movilizada por Costa Rica. - Es relevante indicar que dos de los componentes importantes de las terminales portuarias son las tecnologías y sistemas de información y el recurso humano. Ambos son los mejores aliados de la administración en general, y por tanto de la administración de la operación portuaria, para el logro de sus objetivos estratégicos. - JAPDEVA es la autoridad portuaria del Caribe costarricense, se constituye en un puerto operador, que a pesar de pertenecer a un cluster portuario, no tiene una conexión a nivel de sistemas de información con todo el resto de empresas, entidades de gobierno, clientes y usuarios, entre otros. - JAPDEVA ocupa el puesto # 15 en el ranking latinoamericano y del Caribe, en cuanto a la movilización de TEUS, según datos del 2010 de la CEPAL. Sin embargo, en el nivel del índice de competitividad global ostenta el lugar # 56 según el Foro Mundial de Economía (recuperado de la página electrónica http://72.52.156.225/Estudio.aspx?Estudio=indice-competitividad). Para mejorar esta condición, así como para alcanzar los objetivos del país y los estratégicos y específicos de la institución analizada, debe procurar una mejora sustantiva y 144 continua en el manejo de sus tecnologías de información (ya que es uno de los factores que lo potencian). - Las tecnologías de información son un factor que potencia la productividad, eficiencia y competitividad de un puerto, y por ende, su imagen, dado que, cuanto más actualizado esté de acuerdo a las nuevas tendencias del medio, más se reducen los tiempos de manipulación de la carga que se moviliza y más se incrementan los rendimientos de operación. - La planificación de una operación portuaria en una terminal de carga se da antes, durante y después de esa operación. Involucra varios procedimientos y documentos, que son los que se transmiten a través de un sistema de información. En el caso del Complejo Portuario Limón-Moín, los módulos 3 y 5 del SIOPJ, sujetos de estudio de esta investigación, principalmente se aplican antes y durante la operación y ello representa aproximadamente un 75% del total de la operación en términos relativos. - JAPDEVA, por su característica de ser un ente autónomo del gobierno, cuenta con una estructura de planificación que sigue los parámetros de los entes del gobierno que lo regulan, entre ellos MIDEPLAN, Ministerio de Hacienda, Contraloría General de la República; el primero orienta las políticas gubernamentales (PND), objetivos estratégicos, objetivos institucionales, etc. El segundo, las políticas presupuestarias y otros, y la última es un ente fiscalizador que controla varias áreas del quehacer de las instituciones públicas, entre estas las tecnologías de la información, por ende es quien regula a JAPDEVA en esa materia a nivel local. - La Contraloría General de la República dicta normas, criterios y otros, que son de acatamiento obligatorio. La normativa vigente en el período de desarrollo del SIOPJ exigía que se cumpliera con una metodología de desarrollo de sistemas y la norma actual exige tanto esto como que se cumpla con una metodología de administración de proyectos. Con ninguno de los dos requerimientos cumple el Departamento Informático, y por ende, tampoco la institución como tal. 145 - JAPDEVA no cuenta con un Plan Estratégico de TI para el período vigente (el último data del 2008) ni tiene un plan de desarrollo de sistemas de información claro, pues no hay políticas establecidas al respecto. Si bien se tiene un comité gerencial de informática, instancia que debería coordinar la gestión de los sistemas, no se encuentra activo, aunque fue creado por el Consejo de Administración. - No hay un ordenamiento estructural y funcional claro en JAPDEVA (incluso su presidente ejecutivo actual ha indicado en los medios de comunicación que el vigente es piloto, nunca se finiquitó el definitivo). El funcionamiento en la práctica no se encuentra plasmado en el organigrama oficial, inclusive a lo interno no están claros, por ejemplo el área operativa no es homogénea en un complejo portuario y el otro (Moín y Limón, diagramas #4 y #5). Además, la estructura del departamento informático no refleja su realidad funcional. - JAPDEVA se ha mantenido con sistemas de procesamiento de información manuales, porque no se han tomado las decisiones ni se han dado acciones claras, ordenadas y definitivas para automatizar totalmente los sistemas de información, en especial aquellos en los cuales se maneja toda la operación portuaria. Al contrario, se han dejado pasar varias oportunidades de contar con sistemas. - El sistema de operaciones tradicional (POPER) actual está trazado en un esquema modular, jerárquico, en un lenguaje informática desactualizado (Cobol), no compatible con los sistemas de redes actuales, como el internet; ni se interrelaciona un módulo con otro, tampoco con los otros sistemas financiero-contables, condición necesaria para cerrar todo el proceso administrativo de la operación portuaria. - Según la evolución histórica de la institución, el SIOPJ surge como una conjugación de la necesidad de resolver problemas de cuellos de botella en los procesos operativos y el aprovechamiento de un aporte académico de dos de sus analistas de programación; no como el resultado una planificación estratégica, ni de una política de sistemas de información de JAPDEVA. 146 - El SIOPJ igualmente es un sistema modular, pero desarrollado mediante diagramas de flujos de datos, en una plataforma de Oracle Developer, que utiliza hardware de apoyo (como los son los hand help), que permite la captura en línea y tiempo real de los datos, lo cual es mucho más actualizado que el sistema tradicional mencionado; sin embargo, no corresponde a las mejores opciones que están en la vanguardia en cuanto a TI en el ámbito portuario regional o latinoamericano. Concluido este estudio, se puede decir que corresponde al mismo sistema tradicional, con valor agregado en términos de la tecnología que se le incorpora y la eliminación de algunos procesos registrales y de captura manual de información. - El SIOPJ cuenta con 6 módulos programados y el séptimo (Módulo gerencial) pendiente de desarrollar. Sin embargo, solo el primero -Reunión de usuarios- está implementado, aceptado y recibido por los usuarios (según oficio DCI-58-2007, del 26 de marzo de 2007). Los demás módulos no, a pesar de estar concluidos de acuerdo con la perspectiva de los técnicos desarrolladores a finales del 2005, y desde el 2006 listos para realizar las pruebas necesarias para su debida implementación. En la actualidad no ha sido posible implementar los restantes 5 módulos, no se están utilizando en un 100%. En el siguiente cuadro se muestra el porcentaje de uso de los distintos módulos según la perspectiva del desarrollador y del usuario. En general se puede decir que solo se usa en promedio un 26 %. 147 Cuadro # 2 Condición del SIOPJ, en Términos del Porcentaje de Uso al 30 de Junio del 2011 - Los módulos 3: Planificar y supervisar operaciones y 5: Procesar información para el cobro de servicios portuarios, son los analizados en este documento. Sin embargo, ninguno de los dos se ha implementado, aunque recientemente se han realizado algunas acciones para ponerlos en marcha. En general se documentó un plan de implementación paralelo exclusivo para el complejo portuario de Moín. En el caso del módulo 3, se coordinó la programación y actualización del equipo de hand help (hardware de captura de datos en línea). Se amplió el ancho de banda para mejorar la velocidad de transmisión de datos y se contrató la instalación y revisión de la red inalámbrica en Moín, para la utilización del equipo de hand help. En cuanto al módulo 5, se estableció la ventanilla única en la sección de facturación, mediante el traslado del personal de la intendencia de Limón, además se están realizando las gestiones y la coordinación para lograr la interconectividad SIOPJ- TIC@. - La evaluación realizada a los módulos 3 y 5 analizados en esta investigación, se hace tanto respecto a la normativa de 1996 (vigente al momento del desarrollo del SIOPJ), como a la normativa actual (2007). En el primer caso se observó que JAPDEVA, a través de su departamento informático, cumplió con alrededor del Módulo Nombre del Módulo Porcentaje de uso s/ Desarrolladores Porcentaje de uso s/ Usuarios 1 Reunión de usuarios 100% 100% 2 Marcar vapores 100% 0% 3 Planificar y supervisar operaciones 10% 0% 4 Chequear mercancías llegadas al puerto 0% 0% 5 Procesar información 0% 0% 6 Facturar servicios 0% 0% 35% 17% Condición del SIOPJ, en términos del porcentaje de uso al 30 de junio del 2011 148 50% de la normativa. Y en cuanto al segundo caso, la norma N-2-2007-CO-DFOE, la CGR exige, desde julio del 2009, que las instituciones públicas bajo su fiscalización estén conforme a esta regulación. Sin embargo, JAPDEVA no ha realizado las acciones ni tomado las decisiones pertinentes para apegarse a la norma. - Según los desarrolladores del SIOPJ, este se hizo basado en el modelo clásico del ciclo de vida de desarrollo de un sistema de información, ya que a pesar de ser más oneroso y tomar mayor tiempo su elaboración, es uno de los que permiten asegurar el éxito del proyecto de desarrollo. No obstante, lo mencionan en documentos tales como informes observados a través del expediente del SIOPJ, pero no se evidencia que se haya respetado cada una de las etapas que postula este modelo, más bien parece un proceso empírico el que se utilizó. - Existen discrepancias de criterios en cuanto a los resultados que ha presentado el sistema, ya que los usuarios se encuentran insatisfechos, puesto que solo se han creado expectativas del sistema, pero no ha sido posible verlo en operación, ni se han podido completar las pruebas, ni se han realizado paralelos. - El SIOPJ ha carecido de un plan de proyecto global (con lo que ha contado es con un plan de trabajo, que no es lo mismo), asimismo de un plan de implementación completo, que incorpore todos los aspectos de gestión, administración y de recursos en general, pero especialmente los humanos, solo se han generado cronogramas de actividades aislados, secuencias de trabajo, entre otros, la mayoría elaborados por los mismos desarrolladores, y en otros casos por los distintos coordinadores que se han asignado a lo largo del período del 2007 al 2011. Actualmente hay un plan de implementación que data de octubre del 2010 (ver anexos # 21 y # 22), el cual ha sufrido actualizaciones en su cronograma y aún así se encuentra desfasado en el tiempo, pero es el que se presenta más completo. No obstante, todavía no se contemplan aspectos tan importantes como la cultura organizacional, la administración del cambio, la divulgación y comunicación en ese plan de implementación. 149 - Una vez aplicado el ejercicio de comparación de las actividades realizadas en el proceso de desarrollo del SIOPJ (durante el período set-2000 a ene-2006), con la normativa de la Contraloría General de la República: Manual sobre normas técnicas de control interno relativas a los SIC, en cuanto al desarrollo de sistemas, así como una vez revisada la documentación del expediente del SIOPJ, y todo lo recopilado a lo largo de la investigación, se concluye lo siguiente: a) Hay inconsistencias en el proceso de planificación estratégica del Departamento Informático, no hay un plan estratégico de sistemas de información actualmente, no está funcionando la instancia del alto nivel que dicta las políticas de tecnologías de información, como lo es el Comité Gerencial de Sistemas. Por lo tanto, las discrepancias encontradas al emitir un criterio de cumplimiento respecto a esta norma de parte de los desarrolladores y usuarios se deben a que ignoran estos aspectos. b) También hay incongruencias en el cumplimiento de la norma 3.02, ya que no se encuentra documentado un manual de estándares para el desarrollo de sistemas, en este caso al menos debería mantenerse un manual o guía metodológica del CVDS, que fuese conocido tanto por los funcionarios del departamento de informática, como por los usuarios. Esto no se operacionaliza, a pesar de que en su mayoría los desarrolladores indiquen que lo conocen o que lo usan. c) Se incumple tanto la norma 3.03 como la 3.04. , pues no se prepara el desarrollo del SIOPJ como un proyecto formal ni se le asigna un administrador del proyecto con las competencias y la experiencia necesarias para obtener un desarrollo e implementación exitosos. La designación de coordinadores se ha dado posterior a la conclusión del diseño, únicamente para liderar el proceso de implementación, lo cual ha sido irregular, pues se han nombrado más de tres con el actual y todavía no ha tenido resultados positivos. d) En cuanto a la norma 3.05 que introduce todo el ciclo de vida de desarrollo del sistema, se observa el cuadro siguiente. 150 Cuadro # 3 Cuadro Resumen de la Evaluación del CVDS Mediante este cuadro resumen se puede notar que, desde la perspectiva del desarrollador, se cumplen estos procesos que exige la norma en un 57%, y en general consideran que el resto ha sido parcial, no se apega o no se aplica. Sin embargo, desde el punto de vista del usuario apenas se cumple la norma en un 40%, en términos generales. e) Es claro que no se ha ejecutado un procesamiento en paralelo del sistema actual con el nuevo en producción/operación del puerto. Este es un paso crítico del CVDS que no se ha logrado realizar desde que se menciona que se concluye con el desarrollo del SIOPJ. Se han hecho varios intentos de hacer pruebas de toda la operación de barcos específicos, lo que no corresponde a un paralelo; no obstante, ni estas pruebas se han podido realizar con éxito cuando se programan, para poder evaluar el sistema correctamente, en cuanto a su funcionalidad y la satisfacción del usuario. Sí No Parcial N/A Sí No Parcial N/A 3.05 Ciclo de vida para el desarrollo de sistemas (CVDS) 50% 50% 100% 3.05.01 Estudio Preliminar 100% 100% 3.05.02 Estudio de Factibilidad 67% 33% 100% 3.05.03 Análisis y determinación de requerimientos de información 100% 100% 3.05.04 Diseño conceptual del sistema 100% 100% 3.05.05 Diseño físico de sistema 100% 100% 3.05.06 Desarrollo de la programación 100% 100% 3.05.07 Desarrollo de la documentación 33% 67% 100% 3.05.08 Prueba del sistema 33% 33% 33% 100% 3.05.09 Implantación 33% 67% 100% 3.05.10 Evaluación post-implantación 33% 33% 33% 100% 57% 10% 27% 7% 40% 20% 30% 10% Desarrolladores Usuarios Promedio Cuadro resumen de la evaluación del CVDS Apartado Criterio 151 f) No hay consistencia en cuanto al criterio de los procedimientos de control y rastros y/o pistas de auditoría. Más de la mitad de los desarrolladores consideran que no se cumple o se realiza parcialmente; esto genera poca confiabilidad en el sistema. g) Durante el período de desarrollo del SIOPJ sí se dio una participación alta y una interacción dinámica de los usuarios con los desarrolladores, en ambas direcciones. Pero al aproximarse la conclusión y en el lapso transitorio de las pruebas e implementación, se ha dado cierto divorcio, puesto que se le ha restado interés a una gran cantidad de observaciones y solicitudes de modificaciones o de requerimientos pendientes de programar que han solicitado, según asevera uno de los intendentes portuarios. h) No hubo un acompañamiento consistente por parte de la auditoría, desde que inició el proceso de desarrollo del SIOPJ hasta su implementación. La labor ha sido más una serie de revisiones del proceso para verificar su cumplimiento con las etapas, y sus respectivos informes, que una tarea de asesoría y aseguramiento de la conclusión e inicio de cada etapa del CVDS, como lo recomienda la norma. i) El manejo de los cambios al sistema ha sido inconsistente, algunos se han realizado, de ellos no todos han sido documentados, y a otros simplemente no se les ha dado curso, según indican los usuarios. Es decir, no hay un adecuado control de las modificaciones al SIOPJ, desde que se desarrolló. El ejercicio que se realizó al comparar la normativa actual fue con el propósito de poder aportar a las recomendaciones, no para emitir un criterio de cumplimiento o no, ya que no es la que estaba vigente cuando se desarrolla el sistema. Sin embargo, es relevante conocer en qué áreas se deben realizar mejoras o ajustes para cumplir en la actualidad con las exigencias de la CGR. De este análisis se puede concluir lo que se detalla en el siguiente cuadro. 152 Cuadro # 4 Cuadro Resumen Evaluación de la Normativa N-2-2007-CO-DFOE Del cuadro anterior se observan los siguientes resultados: En general, en cuanto a las consideraciones generales, se debe realizar grandes esfuerzos para tratar de seguir un ordenamiento estandarizado para el desarrollo y la implementación de sistemas de información en JAPDEVA. A pesar de que muy positivamente los desarrolladores consideran que cumplen en un 56% con la normativa actual de TI, la percepción del usuario es otra; siendo los que deben recibir a satisfacción el producto, mencionan que se cumple solo en forma parcial un 33% de los puntos que involucra este apartado de la norma. Cuadro # 5 Cuadro Resumen Evaluación de la Normativa N-2-2007-CO-DFOE En cuanto a la normativa de implementación de software se refiere, también hay trabajo que realizar en esa área, pues desde la perspectiva del que recibe el sistema (el usuario) es pobre. Considera que se acata la norma en un 17%, y el otro 17% en forma parcial, por lo que en este caso hay mucha oportunidad de mejora. SÍ NO Parcial N/A SÍ NO Parcial N/A Resultado Promedio 56% 22% 22% 67% 33% Cuadro Resumen Evaluación de la normativa N-2-2007-CO-DFOE 3.1 Consideraciones generales de la implementación de TI Desarrollador Usuario SÍ NO Parcial N/A SÍ NO Parcial N/A Resultados promedio 83% 17% 17% 50% 17% 17% 3.2 Implementación de software Desarrollador Usuario Cuadro Resumen Evaluación de la normativa N-2-2007-CO-DFOE 153 Cuadro # 6 Cuadro Resumen Evaluación de la normativa N-2-2007-CO-DFOE En el caso de la implementación de infraestructura tecnológica que soporte el software, también hay posibilidad de realizar acciones de mejora en los procedimientos que realiza el departamento informático de la institución, ya que coinciden tanto usuarios como desarrolladores en que se logra cumplir solo en un 50% con los apartados que conforman esta normativa. Cuadro # 7 Cuadro Resumen Evaluación de la normativa N-2-2007-CO-DFOE Por último, y en lo referente a la contratación de terceros, tanto para hardware como software, de manera optimista el desarrollador indica que se logran cumplir todos los aspectos que incorpora este apartado en un 80%, mientras que el usuario cree que hay muchísima oportunidad de mejorar en este punto específico, puesto que en promedio indican que solo hay concordancia con la norma en un 20%, y otro 20% parcialmente. Al culminar con este trabajo de investigación se logra el objetivo propuesto de indicar las acciones de mejora y las recomendaciones de modelos, herramientas y guías, listas de chequeo, etc.; para que el Sistema de Operaciones Portuarias de JAPDEVA (SIOPJ), y en adelante otros sistemas de información en proceso de desarrollo o nuevos, se apeguen a la SÍ NO Parcial N/A SÍ NO Parcial N/A Resultados Promedio 50% 50% 50% 50% 3.3 Implementación de la infraestructura tecnológica Desarrollador Usuario Cuadro Resumen Evaluación de la normativa N-2-2007-CO-DFOE SÍ NO Parcial N/A SÍ NO Parcial N/A Resultados Promedio 80% 20% 20% 60% 20% 3.4 Contratación de terceros para la implementación y mantenimiento de software e infraestructura Desarrollador Usuario Cuadro Resumen Evaluación de la normativa N-2-2007-CO-DFOE 154 normativa general de las tecnologías de información emitida por la Contraloría General de la República, si se aseguran el uso de estos recursos por parte de los responsables de TI y la JAPDEVA en general. Cada uno de los objetivos específicos se abordaron y alcanzaron al: Ubicar en contexto el marco teórico que sustentó el desarrollo de la investigación y describir el estado de la situación, tanto de JAPDEVA como del SIOPJ. Identificar, mediante la verificación de los módulos Planificar y supervisar operaciones, y Procesar información para el cobro de los servicios portuarios, las concordancias, y las inconsistencias respecto a la normativa de la CGR de 1995 y la normativa actual del 2007. Se logra citar las acciones de mejora, no sólo a los módulos estudiados, sino poderlo extrapolar a todo el sistema SIOPJ, para que se propicie su debida implementación. Y se logra examinar el modelo de evaluación y control instaurado por la CGR, así como sus guías metodológicas, para recomendar su aplicación adaptada al negocio y tipo de institución de servicios que constituye JAPDEVA. 5.2 Recomendaciones 5.2.1 Generales  Girar las instrucciones para reactivar el funcionamiento el comité gerencial de sistemas, considerando la asignación de acuerdo con los puestos que se acordó. Esto con el fin de que se inicie un proceso de diagnóstico y planificación estratégica de sistemas de información y se dicten todas las políticas pertinentes a TI.  Coordinar y concluir las correcciones necesarias a la estructura de la institución en general, y específicamente el área operativa y el de tecnologías de información, de 155 manera que favorezca la puesta en marcha del SIOPJ, según lo identificado en este trabajo de investigación.  Agilizar los procesos de modernización tecnológica para poder mejorar la productividad, eficiencia y por ende la competitividad de los puertos del Caribe costarricense.  Asignar, responsable y comprometidamente, los recursos presupuestarios para el logro de cada uno de los objetivos, metas y actividades que se plantearan más adelante en la propuesta de acciones de mejora.  Se recomienda abortar el proyecto de implementación del SIOPJ si en un período razonable (entre 12 y 18 meses), no está al 100% en funcionamiento. Además, en un plazo de aproximadamente 6 meses realizar una evaluación del avance, si es favorable, continuar y si es desalentador, tomar las previsiones para iniciar un proceso de estudios preliminares para determinar la viabilidad y factibilidad de adquirir un nuevo sistema mediante el modelo de subcontratación. 5.2.2. Recomendaciones relativas a la normativa de SIC, 1996 En cuanto al manual sobre normas técnicas del control interno relativas a los SIC, dado que fue derogado según el artículo cuarto de la nueva normativa N-2-2007-CO-DFOE, se considerarán aquellas acciones de mejora que aporten a esta última y las que contribuyan al objeto de lograr documentar totalmente el SIOPJ, dado que aún está en un proceso de implementación.  Documentar el manual de estándares de sistemas de información: se sugiere adoptar y adoptar la guía metodológica del ciclo de vida de desarrollo de sistemas de información, tomando la del gobierno peruano como referencia y ajustarlo a las necesidades y al tipo de negocio que maneja JAPDEVA, como lo es el portuario. 156  Completar los requerimientos de cada uno de los apartados de la norma que se encuentren parcialmente aplicados o que no se cumplen, documentarlos adecuadamente, dada la condición estratégica del sistema.  Utilizar como instrumento modelo de verificación y control las listas de chequeo postuladas en este trabajo de investigación, para realizar auditorías o seguimientos a los distintos sistemas. 5.2.3. Recomendaciones relativas a la normativa de TI, 2007 En cuanto a las normas técnicas para la gestión y el control de las TI, dado que es la normativa a que está obligada JAPDEVA y toda entidad pública sujeta de fiscalización de la CGR, se considerarán aquellas acciones de mejora y medidas que se deben tomar para normalizar el SIOPJ y todo sistema que está en desarrollo actualmente o lo estará en el futuro.  Utilizar como modelo de planificación la Guía metodológica para el desarrollo de proyectos de TI de la Contraloría General de la República y asignar los recursos para que el personal del departamento de informática de JAPDEVA y aquellos funcionarios que participen en el desarrollo de un sistema (como coordinador del proyecto, usuario, etc.), reciban los conocimientos necesarios para aplicar la norma.  Continuar con el proceso de ejecución del plan de implementación paralelo del SIOPJ/POPER en Moín y luego trasladarse al puerto de Limón. Realizar algunas modificaciones y actualizaciones a dicho plan, incorporando acciones claras que aporten a la administración del cambio y coadyuven a la mejora de la cultura organizacional y la correcta divulgación y comunicación al resto de la institución.  Que el coordinador del proyecto de implementación paralelo, guíe su accionar mediante la guía metodológica para el desarrollo de proyectos de TI de la CGR, que corresponde al anexo NTP-7 del Informe final de las Normas Técnicas en TI y comunicaciones. A pesar de que ya inició el proceso, es recomendable que se 157 detenga y asuma un modelo de trabajo para asegurar el éxito, que en este caso es el que recomienda la entidad reguladora de TI en este tema.  Realizar las labores necesarias para incluir los procedimientos de control y pistas de auditoría.  Aplicar en adelante el instrumento de evaluación llamado lista de chequeo de la normativa, además se recomienda elaborar las listas de chequeo adicionales de los capítulos 4 y 5 de la normativa actual, basado en el mismo ejercicio; asimismo utilizar la guía borrador de evaluación que contempla el capítulo 1 y 2 (se puede solicitar al funcionario encargado de la CGR). De esta manera poder utilizarlos para identificar los incumplimientos al realizar una verificación general al SIOPJ, para generar las acciones de mejora adicionales.  Realizar el mismo ejercicio que se le aplique al SIOPJ a cada uno de los sistemas que se encuentren en proceso de desarrollo o implementación en JAPDEVA.  Se sugiere implementar el modelo de proyecto de implementación de la CGR, plasmado en el informe final de las normas técnicas en tecnologías de información y comunicaciones, de julio del 2009 (se puede recuperar en la página electrónica de la CGR), para lograr por ende la total normalización institucional 5.3 Propuesta de normalización e implementación del SIOPJ 5.3.1 Objetivos de la propuesta Objetivo General Plantear las acciones, actividades, herramientas y demás recomendaciones para que los módulos en estudio -Planificar y supervisar operaciones y Procesar información para el cobro de servicios portuarios del SIOPJ- y el sistema en general estén en concordancia con las normas de TI de la CGR, en cuanto al desarrollo e implementación de tecnologías de información adquiridas y/o desarrolladas por JAPDEVA. 158 Objetivos Específicos:  Normalizar el SIOPJ.  Proponer los modelos de evaluación concordantes con la normativa actual.  Lograr que se implemente el SIOPJ en un 100% en un período razonable.  Detallar las acciones administrativas y técnicas para la puesta en marcha del SIOPJ. 5.3.2 Metas de la propuesta Metas Específicas  Lograr que los módulos Planificar y supervisar operaciones y Procesar información para el cobro de servicios portuarios y el sistema en general estén conforme a las normas técnicas para la gestión y el control de las tecnologías de información, en cuanto al desarrollo y la implementación, en un período de 6 meses como máximo.  Modelos, metodologías y herramientas (listas de chequeo), para la evaluación del SIOPJ y otros sistemas desarrollados y/o adquiridos.  Plan y cronograma de implementación de los módulos Planificar y supervisar operaciones y Procesar información para el cobro de servicios portuarios del SIOPJ y el sistema en general.  Planteamientos de las acciones de mejora adicionales para la implementación del SIOPJ. 5.3.3 Delimitación El alcance de esta propuesta es precisamente citar las acciones y actividades que se recomienda que realicen o coordinen los responsables de la administración de JAPDEVA en esta materia, no se trata de plantear cómo lo realizarán. Se aclara que el ejercicio realizado a los dos módulos estudiados se usará para extrapolarlo a todo el sistema, por ende las recomendaciones y propuesta de acciones están dirigidas al SIOPJ en general. 159 5.3.4 Resultados esperados Normalización del SIOPJ. Implementación del SIOPJ. Normalización de los sistemas de información de JAPDEVA. 5.3.5 Planteamiento de requerimientos de mejora al sistema SIOPJ y JAPDEVA, conforme a las normas locales de tecnologías de información  Girar la directriz de que el comité gerencial de sistemas se involucre en la coordinación (liderazgo) del proceso de normalización.  Iniciar el proyecto de aplicación de la norma N-2-2007-CO-DFOE al menos en tres meses, y con un plazo de duración similar al trabajado por la Contraloría (2 años o menos).  De forma paralela aplicar las herramientas de evaluación a cada uno de los sistemas que se están desarrollando e implementando, por ejemplo el Sistema Integrado de Recursos Humanos o el Sistema Integrado de Servicios Generales, entre otros nuevos desarrollos. 5.3.6 Detalle de las acciones y requerimientos de mejora para la implementación del SIOPJ  Ejecutar el plan del proyecto de implementación del paralelo SIOPJ-TIC@ ya formulado y realizar el debido seguimiento, para que se cumpla en un período perentorio no mayor a ocho meses, puesto que lleva 10 meses.  Realizar los cambios y ajustes (agregar o redistribuir el personal) pertinentes a la estructura organizativa de los complejos portuarios de Limón y Moín, asimismo del departamento informático, para la buena puesta en marcha del sistema.  Incorporar la contratación de un motivador con experiencia en cambios organizacionales, para generar una serie de charlas por grupos al área operativa principalmente, con el tema “sensibilización al cambio”, que involucre simulaciones del sistema. 160  Valoración y estrategias de control de los riesgos asociados al proyecto de implementación paralela, entre ellos la contraimplementación, que según citan Laudon K. y Laudon J. (2004):“Es una estrategia deliberada para frustrar la implementación de un sistema de información o una innovación en una organización”. (p. 435)  Propiciar, en coordinación con el departamento de prensa y relaciones públicas, un programa constante de divulgación y comunicaciones de los avances del proyecto, para involucrar y comprometer a toda la institución.  Lograr el apoyo y un verdadero compromiso de la Administración en el esfuerzo de implementación del paralelo, para evitar que se repitan los ciclos que ha tenido el SIOPJ, cuando se retoma y se aborta constantemente. 5.3.7 Mecanismos de evaluación  Las listas de chequeo.  Las listas de criterios de la normativa.  Guía metodológica para el desarrollo de proyectos de TI de la CGR.  Guía metodológica para la evaluación del ciclo de vida de desarrollo de sistemas de información, tomada el del gobierno peruano como referencia.  Cronogramas de actividades con sus responsables, con su debido seguimiento.  Período límite para la ejecución de la normalización del SIOPJ y JAPDEVA y la implementación del SIOPJ. 5.3.8 Recursos Los recursos financieros los debe presupuestar tanto el departamento informático como la gerencia portuaria, o al menos solicitar las modificaciones presupuestarias necesarias, con el fin de asegurar la puesta en marcha. 161 BIBLIOGRAFÍA LIBROS Aguilar, A. (2002). Globalización y Capitalismo. México: Plaza & Janés. Alvarado Cordero, Eduardo Federico. (1998). Mejoramiento Operación Portuaria. Puerto Limón: Centro de Formación y Capacitación de Japdeva (CENFOCAP). (MOPT- INCOP-JAPDEVA). Cendrero Agenjo, Benjamín y Tryols Mateu, Sebastian. (2008). El transporte: Aspectos y Tipología. Delta Publicaciones Universitarias. COBIT®. (2000). The COBIT Audit Guidelines, Cobit Steering Committee and the IT Governance Institute TM. Tercera edición. Comité Directivo de COBIT y Systems Audit and Control Foundation (Traducción al español por Gustavo A. Solís Montes). (1998). Cobit Objetivos de control. 2da Edición. CISA. Conferencia de las Naciones Unidas sobre Comercio y Desarrollo (UNCTAD). (1982). Mejorando el Rendimiento Portuario. Administración de las Operaciones de Carga General. Libro de Trabajo, Capítulo siete: Planificación de las Operaciones. Nueva York: Naciones Unidas. Contraloría General de la República, Dirección General de Auditoría, Grupo de Auditoría de Sistemas. Programa de Auditoría para la evaluación del Ciclo de Vida del Desarrollo de los Sistemas. Contraloría General de la República. (2007). Normas Técnicas para la gestión y el control de las Tecnologías de Información. (N-2-2007-CO-DFOE). Contraloría General de la República. (2009). Normas de Control Interno para el Sector Público”. (N-2-2009-CO-DFOE). La Gaceta No.26. Costa Rica: Imprenta Nacional. Fernández Alarcón, Vincenç. (2007). Desarrollo de Sistemas de Información. Una Metodología basada en el modelado. Editorial Edicions UPC. Fernández Chaves, Flory. (2006). Guía para la elaboración y desarrollo del anteproyecto de graduación. Universidad de Costa Rica. IT Governance Institute (2005) Cobit 4.0 (El Trabajo). Objetivos de control, Directrices Gerenciales, Modelos de Madurez. Estados Unidos de América. 162 JAPDEVA (Israel G.). (2003). Reglamento Portuario. Departamento de Prensa y Relaciones Públicas de JAPDEVA. JAPDEVA (Palacios Castañeda, René. (2006). Manual del Técnico, Sistema Integrado de Operaciones Portuarias de Japdeva (SIOPJ), versión 2.0. Departamento de Informática, Sección de Análisis y Programación. JAPDEVA (Palacios Castañeda, René. (2008). Manual para el Usuario SIOPJ. Planificación y Supervisión de Operaciones. Departamento de Informática, Sección de Análisis y Programación. JAPDEVA (Palacios Castañeda, René. (2008). Manual para el Usuario S.I.O.P.J, Procesar Información. Departamento de Informática, Sección de Análisis y Programación. JAPDEVA. Departamento de Planificación General. El porqué y para qué de JAPDEVA. Laudon, Kenneth C. y Laudon Jane P. (2004). Sistema de Información Gerencial (Octava Edición). México: Pearson Educación. Lemus Revolorio, Ernesto Amilcar. (1990). Curso Básico Operativo, Nuestro lugar de Trabajo: El Puerto” M.1, M.2; M.3, Manual del Participante. Centro de Capacitación Comisión Portuaria Nacional de Guatemala (CPNG). Oficina Internacional del Trabajo (OIT), División de Industrias Marítimas. (2000). Programa de Desarrollo para Trabajadores Portuarios (PDP), Unidades C.1.1, C.1.2, C.1.4, C.1.5, C.2.1. C.2.2, C.2.3, C.3.2, C.1.4, C.6.1, C.6.2,C.6.3, S.1.2 y S.2.5. Rosenberg, Jerry M. (1992). Diccionario de Administración y Finanzas. Grupo Editorial Océano. Secretaría de la Conferencia de las Naciones Unidas sobre Comercio y Desarrollo Ginebra (UNCTAD). (1984). Desarrollo Portuario. Manual de Planificación para los países en desarrollo. Segunda edición revisada y aumentada). Nueva York: Naciones Unidas. Secretaría de la Conferencia de las Naciones Unidas sobre Comercio y Desarrollo Ginebra (UNCTAD). (2005). El transporte Marítimo en 2005. Nueva York: Naciones Unidas. Terry, George R. y Franklin, Stephen G. (1985). Principios de Administración. Cuarta edición. México: Compañía Editorial Continental. REVISTAS Santibáñez, L. (2008). “Logística y Transporte Marítimo”. “La gestión logística integral de los puertos juega un rol clave en el desarrollo del país”. En Revista CAMAE. 163 TRABAJOS DE GRADUACIÓN Estrada Llaquet, José Luis. (2007). Tesis Doctoral: Mejora de la competitividad de un puerto por medio de un nuevo modelo de gestión de la estrategia aplicando el cuadro de mando integral. Universidad Politécnica de Madrid. González Cancelas, María Nicoleta. (2007). Tesis Doctoral: Metodología para la determinación de parámetros de diseño de terminales portuarias de contenedores a partir de datos de tráfico marítimo., Universidad Politécnica de Madrid. Murcia Cuenca, Juan Manuel. (2004). Tesis Doctoral: El futuro tecnológico de las terminales marítimas de vehículos: La integración de sus sistemas de información. Universidad Politécnica de Catalunya FUENTES DE INTERNET Ministerio de Fomento, Puertos del Estado, http://www.apmarin.com/download/216_opsp1.pdf http://www.cepal.org/cgi- bin/getProd.asp?xml=/socinfo/noticias/noticias/0/27970/P27970.xml&xsl=/socinfo/tpl/p1f. xsl&base=/socinfo/tpl/top-bottom.xslt UNCTAD Administración Moderna de Puertos. http://r0.unctad.org/trainfortrade/euframes/ptpen/M5b_demo_PM_v2007.pdf?id=2106 Cartilla Transporte Marítimo para Exportación http://www.promexico.gob.mx/PDF/PROEXPORTCartillaMaritima.pdf Cartilla Transporte Marítimo para Exportación http://www.promexico.gob.mx/PDF/PROEXPORTCartillaMaritima.pdf Reglamento de Operaciones. PDSUR 0-0083-(REV-08). Terminal Intercontinental del Sur S.A. TISUR, Matarani, noviembre 2010. http://www.tisur.com.pe/assets/REOP-Rev8.pdf Buques de guerra y buques mercantes. http://es.wikipedia.org/wiki/Buque http://books.google.co.cr/books?id=Sqm7jNZS_L0C&pg=PA7&lpg=PA7&dq=desarrollo+ de+sistemas+de+informaci%C3%B3n&source=bl&ots=Hv2E7dxDzF&sig=EQb5e92kcJk4 POyucw9R0UAqxdU&hl=es&ei=Z8ZbSvytHsigjAeFksEb&sa=X&oi=book_result&ct=res ult&resnum=6 164 http://creangel.com/webmaster/noticias/?p=34 http://documentos.cgr.go.cr/content/dav/jaguar/documentos/cgr/Sistemas/Normas_Tecnicas /Informe%20NTI_doc.pdf http://documentos.cgr.go.cr/content/dav/jaguar/documentos/cgr/Sistemas/Normas_Tecnicas /Informe%20NTI_A_7.pdf http://jaguar.cgr.go.cr/content/dav/jaguar/documentos/cgr/foe/documentos/elegidos/normas _ti_gaceta119.pdf Programa de Auditoría para la evaluación del Ciclo de Vida del Desarrollo de los Sistemas, Contraloría General de la República de Perú, Dirección General de Auditoría, Grupo de Auditoría de Sistemas. http://www.contraloria.gob.pe/wps/portal/portalcgr PND 2011-2014 “María Teresa Obregón Zamora http://www.casapres.go.cr/web/docs/plannacional.pdf Foro Económico Mundial, Índice de competitividad global 2010-2011 http://72.52.156.225/Estudio.aspx?Estudio=indice-competitividad 165 Anexo Metodológico Algunos tipos de investigación son la observación, la investigación aplicada y la descriptiva. Esta última será la que se aplique para el presente estudio y se refiere a la recopilación de datos, su ordenamiento y análisis, donde se introducen las verificaciones o comparaciones necesarias para finalmente anotar las conclusiones de la investigación y formular las debidas recomendaciones. También es importante destacar que el método usado es de tipo cualitativo, ya que se trata de información lógica de los procedimientos de una operación plasmada en una solución informática y no de datos numéricos. Este trabajo de investigación consta de cinco capítulos, el primero incorpora el marco teórico, donde se establece el estado de la situación del tema portuario, el de los sistemas de información y su interrelación. El segundo describe las características de la institución en que se llevará a cabo. En el tercero se identifica el sistema de información que se trata en el estudio y se establece un diagnóstico de su situación actual. En el siguiente capítulo se ejecuta el ejercicio de verificación de las normas locales de los sistemas de información en contraposición a los procedimientos plasmados en los módulos Planificar y supervisar operaciones y Procesar información para el cobro de servicios portuarios. El quinto y último capítulo presenta las conclusiones y recomendaciones y propone los requerimientos de mejora a los módulos en estudio o solución tecnológica completa, para lograr su normalización. Para el desarrollo de esta investigación serán utilizadas tanto fuentes primarias como secundarias, se recurrirá a la investigación de campo y a la documental, en la cual está centrada la primera parte de este trabajo y básicamente se utilizará para el marco teórico y la descripción de la empresa y el sistema por analizar. 166 Para el desarrollo de la verificación se usarán fuentes documentales, y entrevistas no estructuradas a funcionarios involucrados (usuarios) y a los desarrolladores, consultas telefónicas y vía correo electrónico a expertos. Para realizar las valoraciones y comparaciones y para las recomendaciones finales, se aplicaron las listas de chequeo elaboradas con la información de la normativa de sistemas de información, se revisarán las plantillas de los módulos y se hará observación directa del funcionamiento del módulo mediante simulación, apoyado con la aplicación de las listas de chequeo de la normativa local actual. También se hace uso del proyecto de normalización de la Contraloría General de la República y de la lista CVDS del gobierno de Perú. Tomando en cuenta la información de la Guía para la Elaboración y Desarrollo del Anteproyecto de Graduación de la Universidad de Costa Rica (2006), este trabajo se clasifica como una investigación descriptiva, de tipo bibliográfica y de campo para aplicar a una Evaluación del Sistema Integrado de Operaciones Portuarias de JAPDEVA (SIOPJ) y propuesta de normalización informática, cuyo producto final será el planteamiento de las acciones de mejora u otras recomendaciones para lograr que el puerto llegue a implementar un sistema de información integral que obedezca a las normas locales de sistemas de información y cuente con un modelo o metodología de apoyo para la formulación y administración de nuevos proyectos de desarrollo de sistemas, auditorías y controles que se ajusten a la institución para una mejora continua en el proceso de adquisición y/o el desarrollo y la implementación de los sistemas tecnológicos de información, para asegurar la eficiencia, eficacia y economía en la utilización de los recursos y su gestión en general; así como el reflejo de una mayor productividad y competitividad del Complejo Portuario Limón - Moín. 167 Tabla Resumen Objetivos Investigación Métodos y Técnicas Instrumentos y Fuentes Indicadores 1. Citar los conceptos teóricos que sustentan el desarrollo de la investigación y ubicar el estado de la situación tanto de JAPDEVA como del SIOPJ. Descriptiva Investigación bibliográfica, entrevistas a expertos en el tema portuario y a funcionarios de JAPDEVA, consultas al Superintendente portuario y a los diseñadores y analistas del SIOPJ. Libros, tesis, enciclopedias, manuales, folletos, guías, reglamentos, revistas, sitios web, documentos de la institución. Definiciones importantes para entender el contexto de la investigación, la descripción de las herramientas y estándares por utilizar. Reseña de la institución y un diagnóstico general del SIOPJ. 2. Verificar si los módulos Planificar y supervisar operaciones, y Procesar información para el cobro de los servicios portuarios, se desarrollaron de acuerdo con la Descriptiva y documental Análisis documental, entrevistas no estructuradas y consultas al Superintendente portuario y a los diseñadores y analistas del SIOPJ, listas de chequeo, hojas de trabajo, Consultas directas a los diseñadores del programa. Entrevistas no estructuradas a los usuarios, asesoría del profesor guía y contraparte. Cuadros comparativos, hallazgos y resultados de la evaluación. Continúa 168 Continuación normativa de la CGR de 1996 y la actual. tablas y cuadros. Hojas de verificación del sistema, manuales técnicos del sistema y manuales del usuario, metodologías tomadas de internet. 3. Proponer las acciones de mejora a los módulos Planificar y supervisar operaciones y Procesar información para el cobro de los servicios portuarios para su debida implementación. Descriptiva y documental Resultado del análisis bibliográfico, documental, ensayo de los resultados de las entrevistas no estructuradas, hojas de trabajo y guías, entrevistas a personeros del puerto. Hojas de trabajo, check list, notas escritas de las Consultas al Superintendente, consultas a expertos, cotejo de la información bibliográfica versus la del módulo, revisión documental, recopilación didáctica de las guías de Auditoría. Resultados de la aplicación de las check list, cuadros y de las Hallazgos y resultados de la comparación del sistema a través de las listas de chequeo cualitativas. Esbozo de los requerimientos recomendados, detalle de conclusiones y recomendacion es una vez realizado el análisis. Continúa 169 Continuación herramientas adicionales para identificar los requerimientos para ajustar el sistema a las normas, detalle documental. entrevistas a expertos y a usuarios del sistema. Intendentes portuarios locales, resultados de la investigación. 4. Establecer un modelo de evaluación y control concordantes con las normas de la CGR, tanto para el SIOPJ como para los nuevos sistemas que adquiera o desarrolle JAPDEVA. Descriptiva y documental Resultado del análisis bibliográfico, documental, guías de auditoría, entrevistas a funcionarios de la CGR, listas de chequeo, metodologías de trabajo de la CGR. Consultas a expertos de la CGR, cotejo de la información bibliográfica versus la de los módulos, revisión documental, recopilación didáctica de las guías de Auditoría. Resultados de la investigación. Hallazgos y resultados de la comparación del sistema a través de las listas de chequeo cualitativas. Detalle de conclusiones y recomendacion es una vez realizado el análisis. 170 Anexos Complementarios ANEXO # 1 Naves Atendidas Complejo Portuario Limón/Moín D E P A R T A M E N T O D E P L A N I F I C A C I Ó N G E N E R A L , E S T A D Í S T IC A S Li c d a . R o c i ó V a l v e r d e R o j a s, M D E; rvalverde @ j a p d e v a . g o . c r 171 ANEXO # 2 SERVICIOS PORTUARIOS DE JAPDEVA SERVICIOS Y TASAS: 1- ATENCIÓN A LAS NAVES: Son todos los servicios que JAPDEVA brinda a las embarcaciones, desde el momento en que se establece la primera comunicación por radio a su arribo a puerto, hasta el momento en que se cierra la última comunicación al zarpar del puerto. Comprende uso de rompeolas, dragados, faros, boyas, balizas, canales de acceso, pilotaje y traslado de piloto. Su cobro se establece de dos formas que no son excluyentes: 1) cuota fija, que representa un monto único por buque y 2) cuota variable por tonelada de Registro Bruto (TRB) de cada buque. 2- ESTADÍA: Es la permanencia de una nave en el sitio de atraque, empieza a contabilizarse desde el momento en que se recibe la primera espía de atraque y se da por terminada cuando se larga la última espía al desatracar. Comprende los servicios de utilización de muelle, amarre y desamarre. Su cobro se establece por metro de eslora por hora o fracción. 3- EMBARQUE Y DESEMBARQUE DE PASAJEROS MOÍN Y LIMÓN: Es el cobro que se aplica por el uso de las instalaciones portuarias a los pasajeros en tránsito que viajan en las embarcaciones turísticas (cruceros), ya sea que se embarque o desembarquen. Su cobro es en dólares por pasajero embarcado o desembarcado. 4- MUELLAJE: (Tonelada Bruto) Es el derecho que pagan los navieros o su representante por todas las cargas o mercancías de importación y exportación por la utilización de los muelles e instalaciones portuarias. Su 172 cobro se establece por Tonelada Métrica, o fracción exceptuando los vehículos, maquinaria y equipo, chasis y las taras que se cobra por unidad y de acuerdo a su peso. 5- TARIFA ÚNICA PARA NAVES DE PASAJEROS: Es el cobro que se hace por el arribo de naves pasajeras a los puertos de Limón/Moín. Es la tarifa única que se aplica a todas las naves cruceros por el arribo al puerto, la cual contempla tres tarifas en una, (atención a las naves, estadía, y remolcaje). Esta tarifa se establece por un período máximo de doce horas. Después de las doce horas, pagarán el equivalente a un doceavo de la tarifa original por hora o fracción adicional. 6- ALQUILER DE ÁREAS: Consiste en el alquiler de áreas dentro de la zona portuaria a aquellas empresas que utilicen espacios físicos para ofrecer servicios conexos a los prestados por JAPDEVA, quedando a criterio de JAPDEVA el otorgamiento de dichos arrendamientos. Su cobro se establece por metro cuadrado. 7- SERVICIO DE REMOLCADOR: Consiste en el servicio de asistencia operativa durante las maniobras de atraque, desatraque y/o movimientos de naves dentro del área portuaria. Comprende la ayuda que brindan los remolcadores a las naves durante las maniobras de atraque y desatraque o por cualquier maniobra náutica dentro del puerto, su cobro se establece por Tonelada de Registro Bruto de la nave. Esta se aplica una sola vez en maniobras de atraque y desatraque. El número de remolcadores a utilizar queda a criterio de JAPDEVA dependiendo de las características de la nave y/o las condiciones meteorológicas a la hora de brindar el servicio, todo a criterio de JAPDEVA. 7.4- SERVICIO DE REMOLCADOR AL COSTADO DEL MUELLE: 173 Es el servicio que consiste en sostener una nave al costado del muelle durante la operación de carga y descarga con remolcador bajo condiciones climatológicas adversas que atenten contra la seguridad de las naves y las instalaciones portuarias. Su cobro es por hora o fracción por remolcador. 7.5- SERVICIO DE REMOLCADOR PARA MANIOBRAS FUERA DE RADA: Este servicio se dará en caso de extrema urgencia cuando se requiera remolcar una nave con problemas de operación y emergencia. Su cobro es por hora o fracción y tendrá una facturación mínima de una hora de servicio. 8- ALQUILER DE EQUIPO: (MONTACARGAS) Es el servicio de arrendar, cuando el usuario lo requiere, el equipo propiedad de JAPDEVA, para las labores de carga y descarga, almacenamiento y despacho de mercancías y su movilización. Para las labores de carga y descarga al costado del buque, así como el recibo de mercadería en bodegas y patio, su cobro se establece por hora o fracción y por capacidad de equipo una vez solicitado por el cliente. Para la entrega o despacho de mercadería en bodegas y patios su cobro es por tonelada; además tendrá una facturación mínima de 20, 50 y 72 toneladas para los montacargas con capacidad de 2 a 3.4 tons, de 3.5 a 9.9 tons. y de más de 10 tons. respectivamente. Cuando se movilicen contenedores con montacargas, les será aplicada la tarifa que se fija por movilización de straddler carrier y por movimiento. 9- ALMACENAJE: Consiste en la facilitación de instalaciones tales como bodegas o patios para que las mercancías sean resguardadas. Su cobro se establece por tonelada métrica bruta después del periodo de gracia otorgado por el puerto, el cual será de 5 días hábiles. Transcurridos los días de gracia, se cobrarán las siguientes tarifas: Primeros 10 días tarifa normal, más de 10 días se cobra un recargo de 20% de la tarifa por día. Las mercancías peligrosas, deberán estar debidamente etiquetadas según el código de mercancías IMDG y OMI, si estas fuesen almacenadas dentro del puerto, pagarán una tarifa igual a las demás mercancías. Si hubiese omisiones en el etiquetado o no hay entrega oportuna de documentación de soporte, se cobrará un recargo adicional de $10 por tonelada o fracción por día, desde el momento de la recepción. 10- SERVICIO DE AGUA POTABLE: Consiste en el abastecimiento de agua potable a las naves cuando estas la solicitan, su cobro se establece por metro cúbico. 174 11.1 SERVICIO DE MOVILIZACIÓN DE CONTENEDORES Y FURGONES CON STRADDLER CARRIER: Consiste en el recibimiento, movilización y entrega de los contenedores y furgones dentro del área portuaria, utilizando el equipo de transferencia straddler carrier de JAPDEVA. Su cobro se establece por movimiento y por unidad. 11.2-SERVICIO DE CABEZALES: Es el servicio asistido por cabezal, utilizado para la movilización de furgones y/o contenedores en el área portuaria. Su cobro es por movimiento y por unidad. 11.3-.SERVICIO DE GRÚA PÓRTICA: Es el servicio de carga y descarga de contenedores, maniobras a bordo y movilización de tapas de escotillas con la grúa del Puerto. Su cobro se establece por movimiento de contenedor y por unidad. 11.4- SERVICIO DE GRÚA PÓRTICA POR HORA /FRACCIÓN: Consiste en la operación asistida por Grúa Puente en donde se utilice equipo especial (gancho doble, gancho sencillo, las extensiones para los espreader). Cuando la cantidad de contenedores a movilizar en determinada etapa de operación no alcance un mínimo de 20 contenedores su cobro es por hora o fracción. 11.5-. SERVICIO DE CARGA Y DESCARGA DE CONTENEDORES Y FURGONES: Es el cobro fijo que se le imputa a los clientes, por la planificación de la operación y los patios, asociados con la carga y descarga en los puertos de Limón y Moín, sea esta grúa nave o grúa puerto, esta incluye los movimientos a bordo. 11.6- RECIBO Y DESPACHO DE FURGONES Y CONTENEDORES: Es el servicio de recibir y entregar contenedores y furgones utilizando equipo de JAPDEVA. Su cobro es por unidad movilizada. 12- SERVICIO DE ENERGÍA PARA REFRIGERACIÓN DE CONTENEDORES Y/O FURGONES: Consiste en el servicio de suministro de energía eléctrica a los contenedores o furgones que lo requieran, a través de las instalaciones que para tal efecto han sido colocadas en el área portuaria. Su cobro es por hora o fracción, la facturación mínima es de diez horas o fracción. Por cada hora o fracción adicional tendrá un recargo del 10% de la tarifa original. 13- SERVICIO DE LANCHA: Es el servicio que se brinda a través de las lanchas propiedad de JAPDEVA, para el traslado de personas del muelle a los buques u otros sitios. Su cobro se establece por viaje 175 (ida y regreso), siendo su duración máxima de una hora. Por cada hora o fracción adicional pagará de más el 50% de la tarifa original. 14- OPERADOR DE MONTACARGAS: Es el cobro que se aplica por la prestación del operador, para que utilice el equipo de montacargas privado cuando por razones de insuficiencia de equipo la Autoridad Portuaria no disponga de ellos. Además cuando el servicio de alquiler del equipo de montacargas, da inicio después o termina antes de la hora solicitada de la operación del buque, ese lapso será cobrado como servicio operador. Su cobro se establece por hora o fracción. 15- CARGAS RECIBIDA FUERA DE MANIFIESTO: Es el cobro que se aplica a aquella carga de importación que se recibe en el puerto y que no aparece en la documentación oficial (Manifiesto de Carga). Su cobro se establece por contenedor lleno o vacío, por tonelada o fracción. 16- DEMORA GRÚA PÓRTICA (CUANDO OPERACIÓN ES POR MOVIMIENTO): Se aplicarán cobros por demoras de grúa puente a los clientes (Compañías de estiba o navieras) cuando habiéndose iniciado las operaciones por JAPDEVA, éstas incurran en demoras de más de 15 minutos durante la operación del buque. Estas se contabilizarán de manera acumulativa y a partir de ahí, su cobro es por hora o fracción. 17- CONSOLIDACIÓN Y DESCONSOLIDACIÓN DE CONTENEDORES Y FURGONES: Es un derecho que se paga para cargar (consolidación) y/o descargar (desconsolidación), de las mercaderías dentro de las instalaciones portuarias. Su cobro se establece por unidad consolidada o desconsolidada. 18- ESTACIONAMIENTO DE CONTENEDORES, FURGONES, CUREÑAS, VEHÍCULOS Y OTROS: Es el cobro que se aplica por la permanencia de contenedores, furgones, cureñas y/o vehículos en el área portuaria. Su cobro es por día o fracción por cada unidad. El período de gracia se establece en tres días. 176 19-. ESTADÍA EN FONDEADERO DE RADA PORTUARIA: Es el cobro que se le hace a los buques por permanecer fondeados dentro de la rada portuaria. La rada es la delimitación de la zona marítimo portuaria para la protección de las instalaciones y los buques que deseen permanecer en aguas protegidas. Su cobro se establece de la siguiente manera: a) Barcos que permanezcan en la rada portuaria deberán pagar la tarifa establecida por costo fijo de atención a las naves, y tendrán (3) tres días de gracia bajo este régimen. b) Después del período de gracia pagarán 20% por día de la cuota fija de atención a naves. Para embarcaciones menores de 300 TRB. Pagarán un monto fijo por día o fracción por permanecer en rada o en dársena portuaria. 20- DERECHO DE CONCESIÓN DE USO DE INSTALACIONES (ESTIBADORAS) Es el derecho que deben pagar las Compañías Estibadoras que operan en los muelles de Limón o Moín por cada tonelada de mercadería movilizada, ya sea de importación, exportación o transbordo. 21- DEMORAS NAVES COMPAÑÍAS NAVIERAS: Es el cobro que hace JAPDEVA, a las Compañías Navieras, por aquellos tiempos inactivos en la operación de las naves atribuibles a su responsabilidad. Su cobro se establece por metro de eslora por hora. 22- DEMORAS NAVES COMPAÑÍAS ESTIBADORAS: Es el cobro que hace JAPDEVA, a las Compañías Estibadoras por aquellos tiempos inactivos en la operación atribuibles a su responsabilidad. Su cobro se establece por metro de eslora por hora. 177 23- APERTURA Y CHEQUEO EN BODEGAS Y PATIOS: Es el cobro que se aplica por la utilización del personal en la salida y entrada de mercancías y cargas en las bodegas y patios de JAPDEVA, a solicitud del cliente. Comprende los servicios de chequeo, operador y vigilancia. Su cobro se establece por hora o fracción. 24.25.26- DERECHOS PARA LA EXPLOTACIÓN DE SERVICIOS CONEXOS: Es el cobro que se le aplica a todos aquellas personas físicas o jurídicas que utilizan las instalaciones portuarias para brindar servicios a terceros tales como: alquiler de áreas, mantenimiento a buques, venta de combustible, avituallamiento a buques, transporte turístico, descarga de desechos u otros. 178 ANEXO # 3 Lista de información requerida para evaluación de los controles del ciclo de vida del desarrollo de sistemas CONTRALORIA GENERAL DE LA REPUBLICA DEL PERÚ DIRECCIÓN GENERAL DE AUDITORÍA GRUPO DE AUDITORÍA DE SISTEMAS LISTA DE INFORMACIÓN REQUERIDA PARA EVALUACIÓN DE LOS CONTROLES DEL CICLO DE VIDA DEL DESARROLLO DE SISTEMAS OBSERVACIONES Seguidamente se presentan algunas consideraciones de interés para la fase de estudio y evaluación de la estructura de control interno del presente estudio. Los asuntos por determinar se catalogan del siguiente modo: SI: corresponde a un elemento particular que existe en la entidad, y que cuenta con respaldo documental, técnico o administrativo razonable y verificable. NO: corresponde a un elemento particular que no existe en la entidad, o que no cuenta con respaldo documental, técnico o administrativo razonable y verificable. N/A: corresponde a un elemento particular que no aplica como factor o parámetro de control para la entidad o ambiente sujeto de estudio. REF. P/T: nomenclatura para las referencias a los papeles de trabajo que sustentan la labor realizada por los auditores. 179 CONTENIDO: # ASUNTO METODOLOGÍA DEL CICLO DE VIDA DEL DESARROLLO DE SISTEMAS (CVDS) SI NO N/ A REF. P/T METODOLOGÍA DEL CICLO DE VIDA DEL DESARROLLO DE SISTEMAS Y RESPONSABILIDADES ASOCIADAS Metodología del Ciclo de Vida del Desarrollo de Sistemas Se cuenta con una metodología de ciclo de vida del desarrollo de sistemas (CVDS), por escrito, actualizada y debidamente aprobada por la administración superior (v.gr. manual, circular, otros documentos). La metodología CVDS detalla un enfoque estructurado y concuerda con las prácticas generalmente aceptadas del entorno informático. Cada fase de la metodología permite criterios de medición sobre sus productos finales. Cada fase requiere revisión y no se procede con la siguiente hasta no contar con la aprobación del usuario y la gerencia (oficios, informes, memorandos). Se identifican claramente los requerimientos de planificación para cada fase de la metodología. Se cuenta con procedimientos para controlar los cambios de requerimientos a lo largo del proceso CVDS (listas de requerimientos por tipo y usuario). El personal informático, gerencial y usuario están familiarizados con la metodología y cuentan con entrenamiento en cuanto a su aplicación (oficios, informes, planes y programas de entrenamiento). La metodología es de uso obligatorio en la entidad 180 # ASUNTO METODOLOGÍA DEL CICLO DE VIDA DEL DESARROLLO DE SISTEMAS (CVDS) SI NO N/ A REF. P/T (manuales, circulares, oficios, etc...). Se permiten desviaciones en el uso de la metodología solamente en casos excepcionales y con autorización documentada. La metodología CVDS incluye requerimientos y normas para las tareas de programación y documentación de sistemas, bases de datos, operaciones y actividades del usuario. La metodología CVDS considera elementos de tecnología actuales, tales como: a)La aplicación de herramientas de productividad b)Modelación de bases de datos c)Telecomunicaciones d)Computación de usuario final e)Prototipos y objetos f)Selección e instalación de software comercial. g)Otros. La metodología CVDS aprobada se utiliza en la organización (evidencia: circulares, informes, diseños de sistemas, etc...). La metodología tiene un alcance suficiente (cubre aspectos de planificación, diseño, desarrollo, implantación, mantenimiento, contratación externa, compra de paquetes, etc...), se encuentra actualizada (revisión durante el último año), y permite adaptaciones al medio tecnológico. Roles y responsabilidades Se cuenta con un estatuto emitido por la administración en donde se detallen los papeles, deberes y responsabilidades de los diversos participantes en el proceso CVDS. 181 # ASUNTO METODOLOGÍA DEL CICLO DE VIDA DEL DESARROLLO DE SISTEMAS (CVDS) SI NO N/ A REF. P/T Los papeles de los participantes del CVDS incluyen: a. Comité de Sistemas b. Departamentos Usuarios c. Equipo de proyecto d. Grupo de control de calidad e. Auditoría interna f. Personal de operaciones informáticas g. Otros. Existen mecanismos de control en cada fase para decidir sobre la continuación a otra fase, la modificación de metas, el cambio de esfuerzos de desarrollo o la descontinuación del proyecto. Los roles y responsabilidades del equipo de proyecto se encuentran por escrito y claramente definidas. El administrador del proyecto tiene autoridad para decidir sobre: a. Uso del personal b. Uso de recursos varios c. Programación de tareas d. Costos y presupuestos e. Asuntos técnicos. Se selecciona personal clave de los departamentos usuarios para participar en el equipo de proyecto (factores: experiencia, formación académica, recomendación superior). Las responsabilidades asignadas a los usuarios participantes concuerdan con sus capacidades técnicas. El grupo de control de calidad participa en el proyecto (documentos probatorios). La auditoría interna participa en 182 # ASUNTO METODOLOGÍA DEL CICLO DE VIDA DEL DESARROLLO DE SISTEMAS (CVDS) SI NO N/ A REF. P/T el proyecto (documentos probatorios). La metodología CVDS considera medidas para: a.Mantener adecuada segregación de funciones b.Evitar conflictos de intereses c.Asegurar controles de supervisión adecuados. Actualización de la Metodología CVDS La administración revisa periódicamente la metodología CVDS para mantener su vigencia, e incorporar técnicas y procedimientos actualizados. La revisión de la vigencia de la metodología CVDS se realiza mediante un procedimiento autorizado y técnicamente funcional. Se mantienen registros de las revisiones y modificaciones de las medidas de control y procedimientos de la metodología CVDS. Los departamentos usuarios están satisfechos con la aplicación y los productos de la metodología CVDS (evidencia: documentos, oficios, etc...). INICIO DEL PROYECTO Definición del proyecto Se cuenta con documentos que detallen la definición, naturaleza y alcance de cada proyecto de desarrollo, adquisición o modificación de sistemas de información. Puede concretarse en una solicitud de servicio escrita, del usuario, donde se considera: a)Definición de objetivos 183 # ASUNTO METODOLOGÍA DEL CICLO DE VIDA DEL DESARROLLO DE SISTEMAS (CVDS) SI NO N/ A REF. P/T b)Descripción de servicios solicitados y razones fundamentales c)Lista de departamentos y sistemas que se afectarán con el servicio solicitado d)Estimación preliminar de costos, beneficios y ahorros, así como la fecha estimada de finalización. Antes de iniciar un proyecto CVDS se establece por escrito el alcance y propósito del trabajo. Se cuenta con una solicitud escrita para iniciar un proyecto CVDS para cada sistema de la entidad. La solicitud de inicio de un proyecto de CVDS incluye: a)Razones para realizar el proyecto b)Declaración del problema que será resuelto c)Declaración de la necesidad del nuevo sistema o de modificaciones a uno existente, expresada en términos de incrementar la capacidad organizacional de alcanzar metas d)Un análisis de las deficiencias de los sistemas existentes e)Las oportunidades resultantes para incrementar la economía y eficiencia de las operaciones f)La necesidad de seguridad o de control interno que será satisfecha por el proyecto g)Descripción del entorno del proyecto h)Alcance del proyecto i)Restricciones del proyecto j)Beneficios esperados del proyecto 184 # ASUNTO METODOLOGÍA DEL CICLO DE VIDA DEL DESARROLLO DE SISTEMAS (CVDS) SI NO N/ A REF. P/T k)Patrocinador o usuarios del sistema del proyecto Las solicitudes de proyectos concuerdan con la planificación de sistemas del DSI y con las prioridades establecidas por el Comité de Sistemas. Participación del área usuaria en el inicio del proyecto El área usuaria afectada por un proyecto de sistemas participa en la definición y autorización del proyecto. Las bitácoras y minutas del Comité de Sistemas evidencian el alcance y participación del área usuaria en relación con la definición y autorización de diversos proyectos de sistemas de información. Los presupuestos y cronogramas de trabajo de diversos departamentos usuarios proveen suficiente asignación de personal para los proyectos CVDS en que se involucran dichas unidades. Membresía y responsabilidades del equipo del proyecto CVDS Cada proyecto CVDS cuenta con documentos que detallen el nombre del líder del proyecto, los nombres de los participantes del equipo de trabajo y la definición clara de sus responsabilidades (evidencia: documento formal de asignación). EL personal asignado al equipo de proyecto cuenta con experiencia y capacitación adecuadas (evidencia: cursos de capacitación, nivel académico suficiente, más de tres años de práctica profesional, certificaciones de entrenamiento, documentos del expediente 185 # ASUNTO METODOLOGÍA DEL CICLO DE VIDA DEL DESARROLLO DE SISTEMAS (CVDS) SI NO N/ A REF. P/T personal, etc...). Las áreas usuarias asignan personal calificado para los equipos de proyectos CVDS (evidencia: certificaciones de capacitación, experiencia comprobable, recomendación superior). Las personas asignadas a los equipos de trabajo, de parte de las áreas usuarias: a)Poseen entendimiento de las necesidades de sus áreas y del producto final deseado en el proyecto b)Poseen habilidad para trabajar en equipo c)Conocen el alcance y objetivos del proyecto al que han sido asignados. Definición de los requerimientos de información Se cuenta con las descripciones de los sistemas actuales y éstas sirven para estudiar las necesidades de los sistemas o modificaciones propuestos. Se identifican los aspectos de los sistemas actuales que serán modificados por las nuevas aplicaciones. Se cuenta con descripciones del sistema nuevo que expliquen las actividades de entrada, proceso y salida. Los requerimientos que debe satisfacer el nuevo sistema han sido evaluados por el DSI, para determinar si están completos, congruentes y factibles para el procesamiento de datos. Los requerimientos han sido revisados y aprobados por la 186 # ASUNTO METODOLOGÍA DEL CICLO DE VIDA DEL DESARROLLO DE SISTEMAS (CVDS) SI NO N/ A REF. P/T administración de los departamentos usuarios. Requerimientos de sistemas de aplicación (ACAI) Al establecer criterios para adquirir software y hardware se considera los siguientes grupos de requerimientos: Requerimientos del usuario Se considera los medios de entrada requeridos, tales como: a)Documento fuente b)Terminales de pantalla de despliegue visual c)Lectora óptica de documentos d)Lectora de caracteres magnéticos e)Otros medios de captura. Se toma en cuenta los tipos de cálculos y la secuencia de transacciones durante el proceso. Se considera los medios de salida que se requerirán, tales como: a)Impresoras b)Terminales c)Microfilmadoras d)Medios magnéticos y ópticos e)Otros. Los efectos financieros y contables, de impuestos variados y regulaciones estatales que afectan el uso del software y hardware. Hay mecanismos de tratamiento y corrección de errores. El software tiene controles de edición y validación (v.gr. para agregar y borrar datos; flexibilidad vrs. mantenimiento y control de archivos). El software tiene opciones por “default” para diversas funciones de integridad de datos. Se ha identificado el nivel de 187 # ASUNTO METODOLOGÍA DEL CICLO DE VIDA DEL DESARROLLO DE SISTEMAS (CVDS) SI NO N/ A REF. P/T habilidades que debe tener el usuario para preparar datos de entrada y reportes de salida. Se ha determinado el período de vida del paquete de software. Requerimientos técnicos del sistema Se ha considerado la necesidad de la plataforma de base, en relación con: a)Sistema operativo b)Compiladores c)Lenguajes y herramientas de desarrollo d)Técnicas de acceso y administración de archivos e)Utilitarios f)Software de soporte en general. Se toma en cuenta la dependencia del software sobre las terminales y graficadores. Se utilizan técnicas estructuradas para analizar, diseñar, programar y probar el software. El software es transportable y compatible con las plataformas institucionales. Requerimientos de productividad del software Existen criterios sobre las medidas de productividad del software, en relación con: a)Tiempos de respuesta b)Tiempos de proceso c)Capacidad de multitareas d)Capacidad de multiusuarios e)Velocidad y capacidad de pseudoimpresoras f)Velocidad de manejo de colas de salida g)Tiempos de transferencia de datos para redes y líneas de 188 # ASUNTO METODOLOGÍA DEL CICLO DE VIDA DEL DESARROLLO DE SISTEMAS (CVDS) SI NO N/ A REF. P/T comunicaciones h)Otros. Requerimientos de procesamiento Se ha definido: a)Los tipos de transacciones de entrada y salida b)El volumen y tendencia de crecimiento de las transacciones y archivos maestros c)La capacidad actual y potencial de la memoria d)La capacidad y velocidades de los discos y otros medios de almacenamiento masivo e)Tiempos bajos y picos de procesamiento f)Tiempos de respaldo de información g)Porciones de procesamiento batch y en línea h)La organización de los archivos (v.gr. planos, bases de datos, etc...). Requerimientos de seguridad Se cuenta con medidas técnicas que permitan determinar las necesidades de seguridad, privacidad y controles de acceso para: a)Terminales b)Archivos c)Programas d)Bibliotecas e)Procesos. Las consideraciones de seguridad implican la utilización de: a)Niveles múltiples de palabras claves b)Identificaciones lógicas para el sistema c)Técnicas biométricas 189 # ASUNTO METODOLOGÍA DEL CICLO DE VIDA DEL DESARROLLO DE SISTEMAS (CVDS) SI NO N/ A REF. P/T d)Menús y otras técnicas de autorización de uso de recursos. En el caso en que exista enlace entre computadores centrales y redes de microcomputadores, se han tomado medidas de seguridad sobre: a)Controles de acceso b)Respaldos c)Recuperación y reinicio d)Otras medidas. Se utilizan técnicas de encriptia para proteger información sensible (v.gr. passwords, mensajes, código confidencial, etc...). Se utilizan bitácoras automatizadas para controlar: a)Procesos automatizados b)Actividades de personal clave (v.gr. DBA, Security Officer, System Administrator, otros). Requerimientos de auditoría El software cuenta con disponibilidad de módulos de auditoría, tales como: a)Pruebas integradas b)Snapshots c)Selección de transacciones d)Extensiones de registros e)Otros. En caso de no contar con módulos de auditoría integrados, se dispone de “salidas de usuario” en puntos críticos de procesamiento. EL software cuenta con pistas de auditoría (en papel o en medios electrónicos). Las estructuras de archivos son compatibles con paquetes de auditoría generalizados y otro software de análisis. Requerimientos de control 190 # ASUNTO METODOLOGÍA DEL CICLO DE VIDA DEL DESARROLLO DE SISTEMAS (CVDS) SI NO N/ A REF. P/T Se cuenta con programas automatizados de procesamiento de control interno requeridos en términos de edición y validación de rutinas y controles de corrida a corrida. En caso que no existan programas automatizados como los del punto anterior, hay medidas de control manuales para sustituir los controles automatizados. Requerimientos de hardware y equipo periférico Se ha definido: a)La cantidad y tipo de unidades centrales de proceso b)Las unidades de discos magnéticos y ópticos c)Las unidades de cintas magnéticas o cartuchos d)Los equipos de comunicaciones (módems, líneas de comunicaciones, concentradores, otros) e)Unidades graficadoras f)Terminales g)Microfilmadoras h)Microfichas i)Impresoras locales y remotas j)Tipos y cantidades de impresoras k)Digitalizadores l)Equipos de multimedios m)Otros. Requerimientos de adaptaciones o modificaciones al software El software requiere ajustes antes de poder utilizarlo: a)Menores b)Mayores. El proveedor permite legalmente realizar modificaciones al software. 191 # ASUNTO METODOLOGÍA DEL CICLO DE VIDA DEL DESARROLLO DE SISTEMAS (CVDS) SI NO N/ A REF. P/T El contrato de compra del software detalla los alcances y limitaciones de las modificaciones que requiere el software. Requerimientos de interfaces con otros sistemas Se han determinado los sistemas que requieren interfaces con otras aplicaciones, en cuanto al punto de interface, la forma de realizar la conexión y la oportunidad (considera otras aplicaciones, software de seguridad, comunicaciones, etc...). Requerimientos de conversión Se cuenta con un plan de conversión para el proyecto del sistema. El plan de conversión considera: a)Nombres y tipos de archivos a convertir b)Origen de los archivos (papel o medios electrónicos) c)Procedimientos de control de trabajos de conversión d)Programas que requieren conversión e)Tiempos estimados para efectuar la conversión f)Criterios de calidad y verificación para el proceso de conversión g)Criterios de asignación de responsabilidades del proceso de conversión h)Definición de las herramientas de conversión. Requerimientos de documentación Se ha definido, en relación con los manuales de las aplicaciones y sistemas en general: a)Tipos 192 # ASUNTO METODOLOGÍA DEL CICLO DE VIDA DEL DESARROLLO DE SISTEMAS (CVDS) SI NO N/ A REF. P/T b)Niveles de complejidad c)Cantidades d)Costos de la documentación e)Otras variables. La documentación del sistema o paquete cumple con los requisitos de documentación del DSI. La documentación está escrita en idioma español. La documentación muestra instrucciones claras de trabajo y ejemplos prácticos de fácil asimilación para el usuario. La documentación es original y no se entregan fotocopias. Requerimientos de servicio y soporte del proveedor El proveedor cuenta con personal capacitado residente en Costa Rica, para atender cualquier consulta técnica acerca del uso del software o hardware que suministra. El personal del proveedor cuenta con experiencia y formación profesional y técnica. El tiempo de atención del proveedor es adecuado con las necesidades de la entidad. El personal del proveedor está en capacidad de apoyar el proceso de conversión, instalación y post- instalación del software y hardware que suministra. El proveedor es una empresa estable, de trayectoria no menor a tres años de servicios. El proveedor brinda garantía adecuada sobre equipos, software y servicios. Requerimientos de instalación de software Se consideran: 193 # ASUNTO METODOLOGÍA DEL CICLO DE VIDA DEL DESARROLLO DE SISTEMAS (CVDS) SI NO N/ A REF. P/T a)Los procedimientos de carga y descarga del software b)El personal interno requerido c)El personal técnico del proveedor d)Las condiciones del local o sitio de instalación e)El tiempo requerido para implantar el software f)Otros recursos necesarios (v.gr. suministros, personal de apoyo, etc...) Requerimientos de entrenamiento Se cuenta con un plan de entrenamiento. El plan de entrenamiento considera el nivel, tipo y tiempo de entrenamiento requerido dentro y fuera de la organización. Se ha determinado los participantes del proceso de entrenamiento, considerando usuarios directos, indirectos y personal de operaciones del DSI. Se cuenta con la documentación adecuada para llevar a cabo el entrenamiento teórico y práctico. Requerimientos de pruebas del software Se considera: a)Naturaleza y extensión de las pruebas requeridas (de programas, prueba integrada, de aceptación y paralelo) b)Prueba de criterios c)Prueba de casos d)Prueba de datos e)Prueba de resultados esperados f)Prueba de evaluación de resultados g)Detalle de las acciones correctivas o de seguimiento a tomar 194 # ASUNTO METODOLOGÍA DEL CICLO DE VIDA DEL DESARROLLO DE SISTEMAS (CVDS) SI NO N/ A REF. P/T h)Definición y documentación de las responsabilidades del usuario final y del personal DSI acerca del proceso de pruebas. Requerimientos del contrato El contrato incluye una garantía de cumplimiento del proveedor del software. La garantía tiene vigencia no menor de tres períodos después de la puesta en marcha del sistema. Los pagos del proyecto se realizan según lo pactado. Los pagos se realizan por avance de obra. Requerimientos de operación Se considera: a)Número y tipos de discos duros, cintas, casetes, disquetes y otras unidades de almacenamiento secundario que sean requeridas. b)Volúmenes y consumos de papelería y suministro de formularios específicos c)Itinerarios de los trabajos del computador d)Disponibilidad del personal de digitación, de operaciones y de sistemas. Requerimientos futuros de software Se han elaborado estudios sobre necesidades de software para distintos niveles de la organización. Las aplicaciones por adquirir son compatibles con los recursos actuales disponibles y con próximas adquisiciones computacionales. Requerimientos de organización El software es compatible con ambientes de negocios similares a los de la entidad. 195 # ASUNTO METODOLOGÍA DEL CICLO DE VIDA DEL DESARROLLO DE SISTEMAS (CVDS) SI NO N/ A REF. P/T Se cuenta con un comité gerencial para dar apoyo a los proyectos CVDS. Se considera el impacto sobre el personal clave de las áreas usuarias. Se cuenta con una descripción de las estructuras de datos y del diccionario de datos. Se ha detallado las necesidades de hardware, software y otros recursos requeridos para operar el sistema. Aprobación del proyecto Existen registros u otros documentos del equipo de proyecto que evidencien: a)Informes sobre las solicitudes de los proyectos b)Definición de requerimientos del producto final c)Aprobaciones escritas del DSI y del área usuaria para cada fase del proyecto antes de iniciar con la siguiente fase, respectivamente. ESTUDIO DE FACTIBILIDAD Formulación de cursos opcionales de acción Se elabora un estudio de factibilidad formal para cada proyecto CVDS. El estudio de factibilidad considera la formulación de cursos opcionales de acción para satisfacer los requerimientos de información. El estudio de factibilidad considera aspectos económicos, técnicos y operativos. Los informes del equipo de proyecto CVDS sobre los diversos 196 # ASUNTO METODOLOGÍA DEL CICLO DE VIDA DEL DESARROLLO DE SISTEMAS (CVDS) SI NO N/ A REF. P/T cursos de acción detallan: a)La opción más factible b)Las razones para seleccionar o rechazar cada opción considerada c)Ventajas y desventajas de cada opción seleccionada. Estudio de factibilidad tecnológica Se elabora un estudio de factibilidad tecnológica para cada proyecto y opción de CVDS. Se elabora un estudio de factibilidad operativa para cada proyecto y opción de CVDS. El informe del equipo de proyecto CVDS considera, para cada opción de solución de requerimientos de información, aspectos tales como: a)Necesidades y disponibilidad de hardware b)Necesidades y disponibilidad de software c)Necesidades y disponibilidad de software y hardware de comunicaciones d)Restricciones de tiempo y espacio implícitos en los requerimientos del área usuaria y la forma de satisfacerlos e)Viabilidad operacional, en relación con la compatibilidad del nuevo proyecto con el hardware, software y ambiente de comunicaciones existente f)Consideraciones legales nacionales o internacionales relacionadas con la transferencia de datos y tecnología g)Restricciones regulatorias relacionadas con el uso de la tecnología y la forma de 197 # ASUNTO METODOLOGÍA DEL CICLO DE VIDA DEL DESARROLLO DE SISTEMAS (CVDS) SI NO N/ A REF. P/T asegurar la aprobación oficial que resulte pertinente. Existe evidencia documental donde conste la aprobación del DSI y del área usuaria sobre la escogencia del método y de la opción de factibilidad tecnológica escogida para el proyecto CVDS. Estudio de factibilidad económica Se elabora un estudio de factibilidad económica para cada proyecto y opción de CVDS. El estudio de factibilidad considera el análisis de los costos y beneficios de cada opción considerada para resolver las necesidades de requerimientos de información. Se han evaluado todos los costos actuales del sistema en uso y los estimados del proyecto CVDS. Los costos estimados abarcan todas las fases del proyecto. Los costos estimados para cada opción consideran los costos de: a)Las ampliaciones o compras de hardware y software para soportar la nueva opción b)Entrenamiento c)Preparación y entrada de datos d)Conversión de archivos e)Pruebas f)Operaciones en paralelo g)Aceptación del sistema h)Otros costos aplicables. Existe un documento que detalle los beneficios (cuantificables y no cuantificables) estimados de todas las alternativas consideradas para satisfacer los requerimientos de información del proyecto CVDS. El análisis de costo y beneficio 198 # ASUNTO METODOLOGÍA DEL CICLO DE VIDA DEL DESARROLLO DE SISTEMAS (CVDS) SI NO N/ A REF. P/T de cada opción consideró aspectos de: a)Impacto en la seguridad b)Privacidad c)Requerimientos de control interno para el proyecto. Existe evidencia escrita de que las áreas usuarias afectadas y el DSI concuerdan en los aspectos de costos y beneficios del proyecto. Informe del análisis de riesgos Cada proyecto CVDS toma en cuenta un análisis de los riesgos de seguridad, los controles internos requeridos, y las salvaguardas para reducir vulnerabilidades operativas (evidencia: informes de evaluaciones de riesgo, otros documentos). Se ha documentado, para cada proyecto CVDS, el detalle de los controles internos requeridos y las vulnerabilidades de seguridad. El análisis de las vulnerabilidades consideró: a)Características de la aplicación, tales como enlaces de comunicaciones y medidas de contingencias b)Naturaleza y magnitud de cada vulnerabilidad c)Valor y sensibilidad de los archivos de datos y de otros activos de información que serán considerados en el sistema. El diseño del sistema incluye las salvaguardas para reducir riesgos. En el proceso de análisis de riesgos participaron: a)Área usuaria b)Persona responsable de la 199 # ASUNTO METODOLOGÍA DEL CICLO DE VIDA DEL DESARROLLO DE SISTEMAS (CVDS) SI NO N/ A REF. P/T seguridad informática c)Auditores de sistemas d)Otros individuos capacitados. Aprobación del proyecto Se preparan informes sobre la factibilidad de las opciones de solución para un proyecto CVDS. Dichos informes son conocidos por la administración superior (evidencia: notas de remisión, oficios que señalen acciones correctivas o de seguimiento). La administración superior utilizó dichos informes para tomar decisiones sobre el proyecto CVDS. Plan maestro del proyecto CVDS Existe un plan maestro escrito para cada proyecto CVDS, congruente con las medidas de la metodología CVDS de la organización. El plan maestro de cada proyecto considera: a)Itinerario de actividades b)Puntos de control y aceptación c)Procedimientos de evaluación y aprobación para cada etapa de control. El plan maestro se utiliza para supervisar el progreso de cada proyecto CVDS. Control de costos El plan maestro considera un método efectivo de controlar los costos asociados (evidencia: manual de contabilidad, guía de acumulación de costos de sistemas, etc...). Existen informes del costo de cada proyecto CVDS. Los informes del costo de cada proyecto consideran: 200 # ASUNTO METODOLOGÍA DEL CICLO DE VIDA DEL DESARROLLO DE SISTEMAS (CVDS) SI NO N/ A REF. P/T a)Costo de tiempo de máquina b)Horas de planilla y salarios c)Costo de suministros d)Otros. La información sobre los costos de cada proyecto CVDS es correcta y completa (evidencia: estudios o informes financiero-contables; estudios de factibilidad, otros). Se prepararon, distribuyeron, revisaron y aprobaron oportunamente los informes de costos de cada proyecto CVDS (evidencia: informes escritos, otros documentos). FASE DE DISEÑO Metodología de diseño Los requerimientos de información del sistema en proyecto CVDS fueron considerados en su totalidad. Se utiliza una metodología de diseño que garantice la incorporación de los requerimientos de: a)entrada b)proceso c)salida d)almacenamiento. La metodología de diseño considera: a)Los documentos fuente b)Mecanismos de control c)Aspectos de seguridad d)Pistas de auditoría. Los miembros del equipo de proyecto CVDS conocen y están entrenados en el uso de la metodología de diseño de sistemas de la organización. Los productos de la metodología de diseño concuerdan con las 201 # ASUNTO METODOLOGÍA DEL CICLO DE VIDA DEL DESARROLLO DE SISTEMAS (CVDS) SI NO N/ A REF. P/T especificaciones relevantes de los sistemas. Definición y documentación de los requerimientos de salida Se definen por escrito los requerimientos de salida de cada sistema. Los requerimientos de salida de cada sistema consideran: a)Contenido y formato de los listados e informes b)Niveles de autorización de los usuarios que recibirán productos del sistema c)Período de retención de los informes y listados d)Previsión de pistas administrativas y de auditoría e)Período de retención de los archivos. En relación con los datos, los controles de salida facilitan al usuario verificar: a)la entereza b)exactitud autorización. Definición y documentación de los requerimientos de entrada Se definen por escrito los requerimientos de entrada de cada sistema. Los requerimientos de entrada de cada sistema consideran: a)Requerimientos de edición y validación b)Medidas de protección de la privacidad de la seguridad y de los datos c)Reglas de definición y autorización de transacciones d)Procedimientos para establecer 202 # ASUNTO METODOLOGÍA DEL CICLO DE VIDA DEL DESARROLLO DE SISTEMAS (CVDS) SI NO N/ A REF. P/T totales de control e)Prácticas de autorización para la captura y actualización. Los requerimientos de entrada se encuentran escritos y son aprobados por el área usuaria. Definición y documentación de los requerimientos de almacenamiento Se definen por escrito los requerimientos de almacenamiento de cada sistema. Existen procedimientos para definir el formato y organización de archivos de cada proyecto CVDS. Las definiciones de formato y organización de archivos de bases de datos consideran: a)Relaciones lógicas b)Relaciones físicas c)Relaciones estructurales de datos d)Dependencias de conjuntos de datos e)Requerimientos de almacenamiento de datos f)Requerimientos especiales de protección de la privacidad de los datos. El DBA participa en la definición del formato y organización de archivos de cada proyecto CVDS (evidencia: oficios, informes técnicos, etc...). El formato y organización de los archivos de cada proyecto CVDS son revisados y aprobados por el área usuaria (evidencia: notas y documentos; actas). Definición y documentación de los requerimientos de procesamiento Se definen por escrito los requerimientos de procesamiento de cada sistema. 203 # ASUNTO METODOLOGÍA DEL CICLO DE VIDA DEL DESARROLLO DE SISTEMAS (CVDS) SI NO N/ A REF. P/T Para cada proyecto CVDS y los pasos de procesamiento en particular, los requerimientos de proceso consideran: a)Exactitud b)Validación c)Oportunidad d)Flexibilidad. Los requerimientos de procesamiento se encuentran documentados y son revisados por el área usuaria. Especificaciones de programas Se definen por escrito los requerimientos de todas las especificaciones de programas de cada proyecto CVDS. Las especificaciones de los programas son: a)Claras b)Uniformes c)Completas d)Conformes con la metodología CVDS de la organización (evidencia: documentos que detallen flujogramas, estándares, descripciones, etc...). La lógica de los programas se define mediante el uso de herramientas tales como diagramas de flujo, tablas de decisión, o narraciones (evidencia: documentos varios). Diseño de documentos fuente Se definen por escrito los requerimientos de diseño de documentos fuente de cada sistema. El diseño de los documentos fuente facilita la exactitud del ingreso de datos al sistema. El diseño de los documentos fuente 204 # ASUNTO METODOLOGÍA DEL CICLO DE VIDA DEL DESARROLLO DE SISTEMAS (CVDS) SI NO N/ A REF. P/T fue aprobado por el área usuaria afectada. El diseño de formularios para captura de datos considera campos tales como: a)Espacios exactos b)Prenumeración c)Autorización independiente de transacciones. Los diseños de captura de datos en línea consideran el uso de cursores, máscaras y rutinas de edición para reducir errores durante el ingreso de la información. Diseño de seguridad y controles Se definen por escrito los requerimientos de seguridad y control para cada proyecto CVDS. En cada sistema se consideran controles de integridad y medidas de control de acceso. Se cuenta con una metodología de diseño de controles y evaluación de la seguridad. Se han incorporado controles suficientes en las especificaciones del diseño, en cada punto crítico de las aplicaciones. Se realizan análisis de costo y beneficio para los controles que se incluyen en las aplicaciones. Se cuenta con controles preventivos y detectivos en las aplicaciones, separadamente. Se han implantado controles correctivos en los puntos adecuados de las aplicaciones. La auditoría interna ha diagnosticado la suficiencia de los controles incluidos en las especificaciones del diseño de los 205 # ASUNTO METODOLOGÍA DEL CICLO DE VIDA DEL DESARROLLO DE SISTEMAS (CVDS) SI NO N/ A REF. P/T sistemas. El oficial de seguridad informática ha revisado y aprobado los controles de integridad incluidos en las especificaciones de los sistemas. Se cuenta con una definición clara de las medidas de control de integridad y de acceso de las aplicaciones, de tal forma que facilite su prueba y revisión. Diseño de las pistas de auditoría Cada proyecto CVDS incluye mecanismos manuales o automatizados para rastrear transacciones desde el punto de origen hasta el total de control relevante, (progresivamente) y desde dicho total de control hacia el punto de origen (regresivamente). La auditoría interna revisa la adecuidad de las pistas de auditoría incluidas en las especificaciones del diseño de cada proyecto CVDS. Aprobación del diseño Las especificaciones del diseño de cada proyecto CVDS son revisadas por el DSI, por la administración de las áreas usuarias afectadas y por la administración superior, cuando resulta apropiado. Los asuntos relacionados con las especificaciones del diseño son resueltos antes de proseguir con las siguientes fases del proceso CVDS. Normas de documentación de programas Existen estándares de programación documentados como parte de la metodología CVDS. Los estándares de programación son 206 # ASUNTO METODOLOGÍA DEL CICLO DE VIDA DEL DESARROLLO DE SISTEMAS (CVDS) SI NO N/ A REF. P/T aprobados por el DSI, el comité de sistemas u otro órgano competente. Los estándares de programación resultan apropiados en cuanto a hardware, sistemas operativos, y lenguajes de programación de la organización, y toman ventaja de sanas prácticas de ingeniería de software. Se utilizan y cumplen los estándares de programación. El personal conoce y maneja los estándares de programación. EL DSI ha revisado los estándares para verificar que cumplen con las regulaciones de documentación de la metodología CVDS. Plan de validación, verificación y prueba Existe un plan detallado de validación, verificación y prueba para cada proyecto CVDS. El plan de prueba considera criterios de medición, restricciones, reducciones de datos de prueba y criterios de evaluación, tanto para la fase de desarrollo como para la prueba del producto final. El plan de prueba es suficiente. Las pruebas se efectúan por un número suficiente de individuos con capacidad técnica adecuada e independencia del equipo de proyecto. Las pruebas incluyen adecuada participación del área usuaria. Las pruebas se realizan en un ambiente similar al que operan los sistemas en producción. El plan de prueba considera: a)Preparación suficiente de equipos y datos. 207 # ASUNTO METODOLOGÍA DEL CICLO DE VIDA DEL DESARROLLO DE SISTEMAS (CVDS) SI NO N/ A REF. P/T b)Entrenamiento suficiente para operadores o usuarios. c)Controles adecuados sobre los programas, archivos y datos de prueba. d)Recolección y análisis de datos relevantes e)Preparación de informes requeridos. Se utiliza datos de prueba y se revisan los resultados. DESARROLLO E IMPLANTACIÓN Objetivos de Programación Se preparan por escrito objetivos de programación para cada proyecto CVDS. Los objetivos de programación concuerdan con las premisas de la metodología CVDS. Documentación detallada de programas Se prepara documentación detallada para cada proyecto CVDS. Se prepara una narración detallada como parte de la documentación de programas. La narración detallada es congruente con la definición inicial del diseño del sistema. La narración detallada es clara y comprensible. Se preparan flujogramas para cada programa de un proyecto CVDS. Las descripciones de archivos y los diseños de informes concuerdan en cuanto a formato y contenido con las premisas de la metodología CVDS. Los elementos de datos: a)Tiene designaciones de titularidad b)Se describen adecuadamente c)No tienen conflicto con otras 208 # ASUNTO METODOLOGÍA DEL CICLO DE VIDA DEL DESARROLLO DE SISTEMAS (CVDS) SI NO N/ A REF. P/T definiciones de la base de datos. Paquetes de software de aplicación Los informes de factibilidad económica consideraron adecuadamente la opción de adquirir paquetes. Los contratos de adquisición de software consideran: a)las políticas de compras organizacionales b)que las compras fueron aprobadas por escrito por las áreas usuarias y el DSI c)la provisión de documentación suficiente d)la prueba de los paquetes antes de uso y pagos efectivos. Contratos de programación de aplicaciones Existen documentos que detallen la justificación de realizar contratación de servicios de programación de aplicaciones (evidencia: notas, oficios, contratos o convenios, etc...). Las solicitudes de servicios de programación por contrato: a)Son razonables b)Se aprueban de previo a la formalización del contrato c)se cumplen las políticas de adquisiciones organizacionales en cuanto a la definición de los servicios contratados, las medidas de avance y desempeño, las medidas de contingencia en caso de incumplimiento del proveedor, entre otras (evidencia: documentos respectivos). AL proveedor de los servicios de 209 # ASUNTO METODOLOGÍA DEL CICLO DE VIDA DEL DESARROLLO DE SISTEMAS (CVDS) SI NO N/ A REF. P/T programación se le brinda guía suficiente en relación con: a)Los estándares de documentación de programas b)Medidas de la declaración de objetivos del proyecto c)Narraciones de cada programa (evidencia: cartel, términos de referencia, notas de aclaración, otros). El grupo de control de calidad del DSI probó los códigos, la documentación y los controles de los programas desarrollados por contrato (evidencia: informe o notas respectivas). Los códigos, la documentación y los controles de los programas desarrollados por contrato fueron aprobados solamente si concordaban con los términos contractuales y con la metodología CVDS (evidencia: actas, notas, informes autorizados, etc...). Los pagos asociados con contratos de desarrollo de sistemas se realizan a partir de pruebas y aprobaciones adecuadas (evidencia: facturas y cheques; otros documentos). Manual de sistemas y programas La metodología CVDS dicta la elaboración de manuales de sistemas y programas que incluyan: a)Descripción técnicas del sistema b)Diagrama conceptual c)Diagrama detallado d)Estructuras de archivos e)Descripción de las especificaciones de cada programa f)Descripción de productos del 210 # ASUNTO METODOLOGÍA DEL CICLO DE VIDA DEL DESARROLLO DE SISTEMAS (CVDS) SI NO N/ A REF. P/T sistema g)Indicación de la herramienta de programación o de productividad utilizada. Manual de operaciones y mantenimiento La metodología CVDS requiere la preparación de manuales de operaciones y de mantenimiento para cada proyecto CVDS. El manual de operaciones de cada sistema: a)Concuerda con la metodología CVDS de la organización b)Está accesible y es comprendido por los operadores c)Se utiliza durante las pruebas de los sistemas. El manual de operaciones especifica para cada paso de trabajo: a)La función del programa b)Los requerimientos de hardware c)La explicación para cada mensaje de consola junto con la respuesta apropiada del operador d)Creación de salidas y su disposición e)Identificación apropiada de las etiquetas de los archivos de salida f)Procedimientos de reinicio o de notificación de condiciones de error o fallas g)Detalle de los puntos de control para las operaciones de corrida a corrida h)Diagramas de flujo de las operaciones, con detalle de entradas, procesos y salidas de los trabajos del computador 211 # ASUNTO METODOLOGÍA DEL CICLO DE VIDA DEL DESARROLLO DE SISTEMAS (CVDS) SI NO N/ A REF. P/T i)Frecuencia y procedimientos de ejecución j)Procedimientos de respaldo y recuperación. Manuales de usuario La metodología CVDS requiere la preparación de manuales de usuario para cada proyecto CVDS. El manual de usuario incluye: a)Especificación y formato de los datos de entrada b)Necesidad de totales de control; procedimientos de preparación y balance de cifras de control c)Forma de remitir los datos al DSI (cuando sea el caso) d)Responsabilidad por la conversión de los datos a formato legible por el computador (preparación de datos fuente) e)Responsabilidad por la resolución de errores y otras inexactitudes f)Asignación de prioridades para procesamiento g)Oportunidad y frecuencia de la distribución de salidas h)Seguridad, retención y disposición de salidas i)Lógica de los programas j)Derivación de las fórmulas más importantes k)Registro de aprobaciones de usuario l)Registro de solicitudes y aprobaciones de cambios a programas m)Procedimientos para encender y apagar, enlazar y desenlazar terminales 212 # ASUNTO METODOLOGÍA DEL CICLO DE VIDA DEL DESARROLLO DE SISTEMAS (CVDS) SI NO N/ A REF. P/T n)Descripción de los mapas de pantallas de terminal y los comandos disponibles o)Descripción de los objetivos del sistema p)Formatos de pantalla q)Forma de registro de los datos de cada proceso. Los manuales de usuario se distribuyen según las prescripciones de la metodología CVDS. Los manuales de usuario se utilizan durante las pruebas de los sistemas. Los usuarios reciben oportunamente los manuales de usuario. Los manuales de usuario se actualizan regularmente. Plan de entrenamiento Existe un plan escrito para entrenar al personal usuario y de las áreas de operaciones y mantenimiento del DSI. El plan de entrenamiento compromete suficiente tiempo para entrenar de forma suficiente al personal. Normas para prueba de programas Existen estándares para probar e implantar el software creado en cada proyecto CVDS. Los siguientes órganos realizaron revisiones e informes sobre las pruebas y aprobaciones del trabajo de programación: a)Supervisores y gerencia del DSI b)Grupo de control de calidad c)Gerencia de áreas usuarias. Se programaron todas las funciones. Se probó todo el código ejecutable. 213 # ASUNTO METODOLOGÍA DEL CICLO DE VIDA DEL DESARROLLO DE SISTEMAS (CVDS) SI NO N/ A REF. P/T Los resultados de las pruebas concuerdan con las especificaciones originales de programación del proyecto. Normas para prueba de sistemas Existen estándares para probar e implantar los sistemas individualmente, en cada proyecto CVDS. Las pruebas de los sistemas son apropiadas en cuanto a: a)Tamaño b)Complejidad. Los estándares de prueba para preparación de datos de prueba y revisión de resultados requieren la participación de: a)Representantes del área usuaria b)Personal de programación c)Personal de control de calidad. Documentación de las pruebas del sistema Existen bitácoras que registren las actividades de prueba de los sistemas para cada proyecto CVDS. Existe documentación sobre las pruebas del sistema que evidencie: a)Que el sistema se probó de conformidad con el plan de verificación, validación y prueba b)Que todos los componentes principales fueron considerados en el proceso de prueba c)Que los materiales de prueba fueron controlados durante el proceso d)Que los resultados del proceso fueron aprobados por la gerencia del área usuaria, por el DSI y por el grupo de control de 214 # ASUNTO METODOLOGÍA DEL CICLO DE VIDA DEL DESARROLLO DE SISTEMAS (CVDS) SI NO N/ A REF. P/T calidad e)Que se registró adecuadamente el proceso de prueba y su aprobación f)Que un informe de los resultados de las pruebas se incorporó en los registros de las actividades del equipo de proyecto. El área usuaria participa activamente en la realización de las pruebas de los sistemas. Los controles de acceso y autorización, así como las pistas de auditoría incorporados en los sistemas son suficientes. Se cuenta con procedimientos suficientes, emitidos por el DSI o el área usuaria, para mantener la operación adecuada de los controles de acceso y autorización y de las pistas de auditoría. Evaluación de los resultados de las pruebas. Se prepararon resultados predeterminados para las pruebas del sistema. Se compararon los resultados de las pruebas de los sistemas contra los resultados predeterminados, y se resolvieron las diferencias con la debida explicación de los individuos relacionados. La documentación de las pruebas de los sistemas incluyen aspectos tales como: a)Listado de los datos de prueba b)Listados y otras salidas del sistema c)Registros importantes de la bitácora de las operaciones del sistema. Las pruebas incluyeron aspectos tales como: 215 # ASUNTO METODOLOGÍA DEL CICLO DE VIDA DEL DESARROLLO DE SISTEMAS (CVDS) SI NO N/ A REF. P/T a)Respaldo y recuperación b)Tensión y capacidad c)Fallas planificadas (“sembradas”) Planificación de contingencias. Las pruebas fueron evaluadas y aprobadas por la gerencia del área usuaria y por el DSI. Plan de conversión Existe un plan escrito para convertir el sistema del ambiente de prueba al de producción. El plan de conversión es elaborado y aprobado por la gerencia de las áreas usuarias y por el DSI, y cumple con las previsiones de la metodología CVDS. El plan de conversión contempla: a)Revisión conjunta de la documentación del sistema, de operaciones y del usuario, así como de otros registros creados por el equipo de proyecto. b)Asignación de personal suficiente para el proceso de conversión c)Suficiente entrenamiento para el personal en el proceso de conversión d)Establecimiento de totales de control y criterios de edición de datos para asegurar que el proceso de conversión se desarrolla de forma exacta y completa e)Revisión y aprobación de la gerencia de las áreas usuarias de los resultados de la conversión antes de discontinuar la operación del sistema anterior f)Retención de los registros de 216 # ASUNTO METODOLOGÍA DEL CICLO DE VIDA DEL DESARROLLO DE SISTEMAS (CVDS) SI NO N/ A REF. P/T los archivos de datos de conversión y de los resultados del proceso de conversión. El personal está entrenado en cuanto al proceso de conversión. La auditoría interna participó en el proceso de conversión. El grupo de control de calidad del DSI participó en el proceso de conversión. Prueba en paralelo Se realiza una prueba en paralelo para cada proyecto CVDS. La decisión de realizar un paralelo la toman: a)La gerencia de las áreas usuarias b)La gerencia del DSI. La decisión de realiza un paralelo en el proceso de conversión toma en cuenta: a)Análisis de costo y beneficio b)Base para solucionar problemas de proceso que se presenten durante la prueba c)Criterios administrativos y técnicos suficientes para dar por terminada la prueba del paralelo. Prueba final de aceptación La metodología CVDS de la organización define estándares que rigen las pautas de aceptación final de los proyectos CVDS. La evaluación del desempeño de los sistemas cuenta con la participación de: a)Gerencia de áreas usuarias b)Gerencia de DSI c)Grupo de control de calidad DSI. 217 # ASUNTO METODOLOGÍA DEL CICLO DE VIDA DEL DESARROLLO DE SISTEMAS (CVDS) SI NO N/ A REF. P/T OPERACIÓN Y MANTENIMIENTO Procedimientos de control de operaciones Existen procedimientos formales establecidos por el DSI y las áreas usuarias para la gestión de archivos y transacciones procesadas por los sistemas nuevos. Los procedimientos de control incluyen controles sobre la distribución de los productos, de tal forma que sólo personal autorizado de las áreas usuarias puede tener acceso a éstos. Existen procedimientos para administrar los errores encontrados durante la operación de los sistemas. Los procedimientos de control de las operaciones relacionados con la gestión de errores incluyen aspectos de: a)Identificación b)Control c)Corrección d)Reproceso adecuado. Los procedimientos de control de operaciones aseguran la segregación de funciones en las siguientes actividades: a)Operación de programas de aplicación b)Seguridad de datos c)Origen y captura de datos d)Gestión de la base de datos. Se aplican actividades de supervisión gerencial para animar y controlar la aplicación de los controles de segregación sobre las actividades del punto anterior. 218 # ASUNTO METODOLOGÍA DEL CICLO DE VIDA DEL DESARROLLO DE SISTEMAS (CVDS) SI NO N/ A REF. P/T Supervisión de costos Existen procedimientos formales para registrar, analizar e informar de forma rutinaria los costos asociados con las operaciones de las nuevas aplicaciones CVDS. El sistema contable organizacional contempla cuentas y procedimientos para el registro y control de los costos asociados con los proyectos CVDS. Los procedimientos de contabilización de costos de proyectos CVDS son revisados y aprobados por la gerencia de las áreas usuarias y por el DSI. Modificación de sistemas Existen procedimientos escritos y formales para controlar y supervisar los cambios a los sistemas. Las solicitudes de cambios o modificaciones a los sistemas se registran y procesan oportunamente. Los cambios o modificaciones propuestos son aprobados por las áreas usuarias afectadas antes de que se inicien las tareas respectivas. La documentación relacionada con los cambios y modificaciones a los sistemas registra: a)Revisiones a flujogramas b)Revisiones de las tablas de decisión c)Evaluación y aprobación de resultados. Reevaluación de los requerimientos de los usuarios Existen procedimientos formales para revisar periódicamente los 219 # ASUNTO METODOLOGÍA DEL CICLO DE VIDA DEL DESARROLLO DE SISTEMAS (CVDS) SI NO N/ A REF. P/T cambios de requerimientos de usuario. El trámite de solicitudes de cambios pendientes para los sistemas de información es oportuno (no hay atrasos significativos). REVISION DE LA POST-IMPLANTATION Plan de revisión de la post- implantación Existe un plan formal para la revisión de la post implantación para cada proyecto CVDS. El plan de revisión de la post- implantación considera: a)Fecha estimada para la revisión (debe permitir suficiente tiempo para que el sistema se encuentre completamente operacional) b)Acumulación de datos requeridos para completar la revisión c)Responsables de la revisión d)Objetivos bien definidos para la revisión e)Alcance y naturaleza de la revisión f)Recursos requeridos para la revisión g)Preparación y emisión de un informe sobre los resultados de la revisión. Evaluación de resultados La revisión de la post implantación comparó el sistema existente contra las especificaciones predeterminadas en relación con: a)Procedimientos de respaldo y recuperación b)Mantenimiento de segregación de funciones c)Pistas de auditoría 220 # ASUNTO METODOLOGÍA DEL CICLO DE VIDA DEL DESARROLLO DE SISTEMAS (CVDS) SI NO N/ A REF. P/T d)Controles de las interfaces con otros sistemas y aplicaciones e)Medidas de seguridad f)Documentación distribuida a los usuarios. Evaluación del cumplimiento de los requerimientos de los usuarios Existen documentos que detallen el nivel de cumplimiento de cada proyecto CVDS con los requerimientos de usuario establecidos. Existen solicitudes de modificación al sistema debido a cambios en los requerimientos del usuario (en caso de que haya gran cantidad, el sistema podría incumplir las expectativas del usuario). Evaluación del análisis de costo- beneficio Existen procedimientos y evidencia para verificar que los costos estimados del proyecto CVDS son congruentes con los costos estimados iniciales. Existen procedimientos y evidencia para verificar que los beneficios (cuantificables y no cuantificables) estimados del proyecto CVDS son congruentes con los beneficios estimados iniciales. Existen análisis de las variaciones de costo y beneficios esperados contra los reales, así como la explicación de dichas diferencias. El comité de sistemas recibe copias de los análisis de variaciones de los proyectos CVDS. Evaluación de la adherencia a los estándares de desarrollo Existe documentación completa, de 221 # ASUNTO METODOLOGÍA DEL CICLO DE VIDA DEL DESARROLLO DE SISTEMAS (CVDS) SI NO N/ A REF. P/T calidad, elaborada por el equipo de cada proyecto CVDS. Se cumplen las premisas de la metodología CVDS para cada proyecto CVDS. Existe evidencia de la participación activa de las áreas usuarias en cada proyecto CVDS. Comunicación de los resultados de las revisiones de post- implantación Se elaboró y aprobó un informe de los resultados de la revisión de la post-implantación. Los informes de la revisión de la post-implantación se remiten a las gerencias del área usuaria afectada y a la administración del DSI. Se toman acciones de seguimiento o de corrección sobre los resultados de los informes de la revisión de la post-implantación. JRAF file:guiacvds.doc word 11-12-97 222 ANEXO # 4 Manual sobre Normas Técnicas de Control Interno Relativas a los Sistemas de Información Computarizados 223 ANEXO # 5 Normas Técnicas para la Gestión y el Control de las Tecnologías de Información (N-2-2007-CO-DFOE) 224 ANEXO # 6 Normas de Control Interno para el Sector Público, Cap. V Normas sobre Sistemas de Información INTRODUCCIÓN CAPÍTULO I: NORMAS GENERALES 1.1 Sistema de control interno (SCI) 1.2 Objetivos del SCI 1.3 Características del SCI 1.4 Responsabilidad del jerarca y los titulares subordinados sobre el SCI 1.5 Responsabilidad de los funcionarios sobre el SCI 1.6 Responsabilidad de la auditoría interna sobre el SCI 1.7 Rendición de cuentas sobre el SCI 1.8 Contribución del SCI al gobierno corporativo 1.9 Vinculación del SCI con la calidad 1.10 Aplicación de las normas generales en instituciones de menor tamaño CAPÍTULO II: NORMAS SOBRE AMBIENTE DE CONTROL 2.1 Ambiente de control 2.2 Compromiso superior 2.3 Fortalecimiento de la ética institucional 2.3.1 Factores formales de la ética institucional 2.3.2 Elementos informales de la ética institucional 2.3.3 Integración de la ética a los sistemas de gestión 2.4 Idoneidad del personal 2.5 Estructura organizativa 2.5.1 Delegación de funciones 2.5.2 Autorización y aprobación 2.5.3 Separación de funciones incompatibles y del procesamiento de transacciones 2.5.4 Rotación de labores 2.6 Ambiente de control en instituciones de menor tamaño CAPÍTULO III: NORMAS SOBRE VALORACIÓN DEL RIESGO 3.1 Valoración del riesgo 3.2 Sistema específico de valoración del riesgo institucional (SEVRI) 3.3 Vinculación con la planificación institucional 3.4 Valoración del riesgo en instituciones de menor tamaño CAPÍTULO IV: NORMAS SOBRE ACTIVIDADES DE CONTROL 4.1 Actividades de control 4.2 Requisitos de las actividades de control 4.3 Protección y conservación del patrimonio 4.3.1 Regulaciones para la administración de activos 4.3.2 Custodia de activos 4.3.3 Regulaciones y dispositivos de seguridad 4.4 Exigencia de confiabilidad y oportunidad de la información 225 4.4.1 Documentación y registro de la gestión institucional 4.4.2 Formularios uniformes 4.4.3 Registros contables y presupuestarios 4.4.4 Libros legales 4.4.5 Verificaciones y conciliaciones periódicas 4.5 Garantía de eficiencia y eficacia de las operaciones 4.5.1 Supervisión constante 4.5.2 Gestión de proyectos 4.5.3 Controles sobre fondos concedidos a sujetos privados 4.5.4 Controles sobre fondos girados a fideicomisos 4.5.5 Control sobre bienes y servicios provenientes de donantes externos 4.6 Cumplimiento del ordenamiento jurídico y técnico 4.6.1 Control sobre la rendición de cauciones 4.6.2 Informe de fin de gestión 4.7 Actividades de control en instituciones de menor tamaño CAPÍTULO V: NORMAS SOBRE SISTEMAS DE INFORMACIÓN 5.1 Sistemas de información 5.2 Flexibilidad de los sistemas de información 5.3 Armonización de los sistemas de información con los objetivos 5.4 Gestión documental 5.5 Archivo institucional 5.6 Calidad de la información 5.6.1 Confiabilidad 5.6.2 Oportunidad 5.6.3 Utilidad 5.7 Calidad de la comunicación 5.7.1 Canales y medios de comunicación 5.7.2 Destinatarios 5.7.3 Oportunidad 5.7.4 Seguridad 5.8 Control de sistemas de información 5.9 Tecnologías de información 5.10 Sistemas de información en instituciones de menor tamaño CAPÍTULO VI: NORMAS SOBRE SEGUIMIENTO DEL SCI 6.1 Seguimiento del SCI 6.2 Orientaciones para el seguimiento del SCI 6.3 Actividades de seguimiento del SCI 6.3.1 Seguimiento continuo del SCI 6.3.2 Autoevaluación periódica del SCI 6.4 Acciones para el fortalecimiento del SCI 6.5 Contratación de auditorías externas 6.6 Seguimiento del SCI en instituciones de menor tamaño ANEXO 1: GLOSARIO ANEXO 2: NORMATIVA EMITIDA POR LA CONTRALORÍA GENERAL DE LA REPÚBLICA EN MATERIA DE CONTROL INTERNO 226 227 228 229 230 ANEXO # 7 Reseña Histórica de JAPDEVA La JUNTA DE ADMINISTRACIÓN PORTUARIA Y DE DESARROLLO ECONÓMICO DE LA VERTIENTE ATLÁNTICA (JAPDEVA), se crea en 1963, como ente autónomo del Estado encargado de construir y administrar la canalización de los canales de Tortuguero hasta Colorado, administrar las tierras y bienes otorgados por ley, y vigilar los contratos del Estado sobre servicios portuarios y ferroviarios. Simultáneamente en 1963 en el Ministerio de Transporte se organiza una Dirección General de Obras Portuarias y Fluviales, a cuyo cargo quedan la construcción, mantenimiento y mejoramiento de los puertos de altura, los de cabotaje y las vías fluviales. En 1966 JAPDEVA inició sus actividades en el dominio portuario, al hacerse cargo del Muelle Nacional que le transfirió el MOPT. En 1969 la Northen Railway Co. Transfiere a JAPDEVA el Muelle Metálico. Simultáneamente el MOPT construye el Muelle 70, y se lo transfiere a JAPDEVA. En 1972 le transfiere el ferrocarril. En 1977, el Estado decretó la intervención de los ferrocarriles del Atlántico y del Pacífico, y los separó de las instituciones autónomas portuarias, debido que la administración conjunta de puerto y ferrocarril, generaba problemas que repercutían negativamente en la economía del servicio portuario y en su desarrollo. La inversión del Estado en infraestructura portuaria durante más de 65 años, mantuvo un enorme rezago, hasta que en 1970 entra en operación un nuevo muelle, denominado "Muelle 70", el cual fue contratado a una empresa mejicana. Este muelle tiene una longitud de 320 m. de largo por 17 m. de ancho. En 1976 la Refinadora Costarricense de Petróleo (RECOPE), inicia la construcción de un muelle para la importación de crudo y sus derivados, la obra se puso en servicio en 1981. A pesar de ser proyectada originalmente como una terminal petrolera, al establecerse el Plan Nacional de Desarrollo Portuario, se analizaron las posibilidades del nuevo puerto, y se modificaron los objetivos iniciales. Finalmente se crea Moín, como un puerto multipropósito, que permite operaciones de carga de banano, fertilizantes, combustibles, jugo de naranja y otros. En 1977 comenzó la construcción de la terminal de contenedores de Limón, conocida como "Muelle Alemán", la cual se inauguró en 1981. Consta de 450 m. de longitud y 130 m. de ancho, tiene un área de 7,5 Ha. , posee una rampa Ro-Ro y 2 puestos de atraque. En 1994 se amplía el puesto 5-5 en 55 m. Dadas las necesidades de ampliación, en el 2001 se agrandó en 5 Ha. el área de almacenamiento de contenedores en la terminal de Moín. En vista del crecimiento en la actividad turística, en el 2002 entra en operación el muelle de Cruceros en la terminal de Limón, el cual consta de 1 rampa ro-ro y 2 puestos para cruceros. En el 2004 se inaugura en Moín el puesto 5-6, o muelle Multipropósito, conocido como muelle Taiwanes. Este puesto tiene una longitud de 250 m. 231 ANEXO # 8 Cuadro del Ranking de Movimientos de TEUS en Latinoamérica y el Caribe 2010 RNK 2010 PUERTO/ PORT PAIS/ COUNTRY TEU 2008 TEU 2009 TEU 2010 Var. 2010/09 1 Colón (MIT, Evergreen, Panamá Port) Panamá 2.468.520 2.210.720 2.810.657 (p) 27,1% 2 Balboa Panamá 2.167.977 2.011.778 2.758.506 (p) 37,1% 3 Santos Brasil 2.677.839 2.255.862 2.715.568 20,4% 4 Kingston Jamaica 1.915.951 1.728.042 1.891.770 9,5% 5 Buenos Aires (incluye Exolgan) Argentina 1.781.100 1.412.462 1.730.831 22,5% 6 Cartagena (inc. S.P.R, El Bosque, Contecar,ZP) Colombia 1.064.105 1.237.873 1.581.401 27,8% 7 Manzanillo México 1.409.782 1.110.356 1.509.378 35,9% 8 Callao Perú 1.203.315 1.089.838 1.346.186 23,5% 9 Guayaquil Ecuador 874.955 884.100 1.093.349 23,7% 10 Freeport Bahamas 1.702.000 1.297.000 1.081.000 (e) -16,7% 11 Caucedo República Dominicana 736.879 906.279 1.004.901 10,9% 12 Itajai (inc.Navegantes) Brasil 693.580 593.359 957.130 61,3% 13 Valparaiso Chile 946.921 677.432 878.787 29,7% 14 San Antonio Chile 687.864 729.033 870.719 19,4% 15 Limón-Moín Costa Rica 835.143 748.029 858.176 14,7% 16 Lázaro Cárdenas México 524.791 591.467 796.011 34,6% 17 Puerto Cabello Venezuela 809.454 790.000 ... ... 18 Veracruz México 716.046 564.315 677.596 20,1% 19 Montevideo Uruguay 675.273 588.410 671.952 14,2% 20 Buenaventura (inc. SPR y ZP) Colombia 743.295 647.323 662.821 2,4% 21 Rio Grande Brasil 601.580 629.586 647.188 2,8% 22 Paranaguá Brasil 595.729 630.597 546.564 -13,3% 23 Puerto Cortés Honduras 572.382 484.148 538.853 11,3% 24 Altamira México 436.234 400.968 488.013 21,7% 25 Manaus Brasil 349.100 309.700 412.500 33,2% 26 Port of Spain Trinidad y Tobago 385.000 401.206 ... ... 27 Santo Tomas de Castilla Guatemala 322.519 329.946 392.768 19,0% 28 San Vicente (SVTI) Chile 604.560 494.275 363.557 -26,4% 29 La Guaira Venezuela 436.911 378.318 333.539 -11,8% 30 Puerto Barrios Guatemala 248.797 317.646 326.833 2,9% 31 Suape Brasil 293.133 242.765 324.191 33,5% 32 Río de Janeiro Brasil 428.191 350.295 315.489 -9,9% 33 Haina República Dominicana 283.229 277.971 288.417 3,8% 34 Iquique Chile 334.302 207.940 264.974 27,4% 35 Puerto Quetzal Guatemala 278.798 212.941 251.034 17,9% 36 Vitória Brasil 271.786 209.096 243.788 16,6% 37 Salvador Brasil 263.722 244.204 233.736 -4,3% 38 Lirquen Chile 231.397 206.541 231.636 12,2% 39 Point Lisas Trinidad y Tobago 166.655 164.183 184.257 12,2% 232 40 Pecem Brasil 144.416 137.487 169.300 23,1% 41 Caldera Costa Rica 169.827 127.658 155.307 21,7% 42 Chibatao Brasil 154.244 43 Acajutla El Salvador 156.323 115.165 145.774 26,6% 44 Jarry Guadalupe 170.729 142.692 ... ... 45 Coronel Chile 968 118.253 139.474 17,9% 46 Ensenada México 110.423 110.952 135.606 22,2% 47 Arica Chile 116.720 109.572 130.984 19,5% 48 Puerto Angamos Chile 97.226 117.924 129.000 9,4% 49 Paita Perú 138.993 114.216 126.520 10,8% 50 Itaguai /Sepetiba Brasil 282.007 206.667 125.196 -39,4% 51 Sâo Francisco do Sul Brasil 237.027 190.321 113.251 -40,5% 52 Barranquilla (Inc.SPR y ZP) Colombia 81.799 83.926 103.869 23,8% 53 Antofagasta Chile 76.683 81.414 103.795 27,5% 54 Willemstad/ Curacao Antillas Holandesas 102.082 97.913 ... ... 55 Santa Marta (inc. SPR y ZP) Colombia 77.113 85.772 91.161 6,3% 56 Zárate Argentina 34.794 63.920 86.814 35,8% 57 Puerto Castilla Honduras 97.420 87.772 81.014 -7,7% 58 Bridgetown Barbados 87.255 82.832 80.424 -2,9% 59 Fortaleza Brasil 53.121 55.169 69.796 26,5% 60 Corinto Nicaragua 58.879 55.742 64.816 16,3% 61 Esmeraldas Ecuador 54.885 44.341 62.017 39,9% 62 Puerto Bolivar Ecuador 48.101 68.530 61.940 -9,6% 63 Progreso México 66.477 53.517 56.434 5,5% 64 Rosario (inc.G.Lagos,P.Alv.,A.Seco,V.G.Galvez) Argentina 42.151 39.138 50.420 28,8% 65 Georgetown-Cayman Cayman Island 54.584 51.198 45.649 -10,8% 66 Puerto Plata República Dominicana 43.622 33.029 44.147 33,7% 67 Ushuaia Argentina 58.869 39.593 ... ... 68 Belém Brasil 42.538 43.572 34.496 -20,8% 69 Belize city Bélice 38.211 31.344 ... ... 70 Ilo Perú 38.881 27.823 31.250 12,3% 71 Vila do Conde Brasil 23.815 27.691 30.840 11,4% 72 Castries Santa Lucía 35.977 30.186 30.648 1,5% 73 Mazatlán México 27.668 29.322 25.795 -12,0% 74 Imbituba Brasil 16.704 20.063 25.462 26,9% 75 St John Antigua and Barbuda 32.562 29.150 24.615 -15,6% 76 Punta Arenas (Empresa Portuaria Austral) Chile 27.008 22.636 24.359 7,6% 77 Almirante (Bocas Fruit) Panamá 9.846 20.696 23.702 14,5% 78 Madryn Argentina 24.011 20.453 23.346 14,1% 233 79 Vieux Fort Santa Lucía 34.225 21.756 21.831 0,3% 80 Santo Domingo (ITTS) República Dominicana 46.041 23.799 21.654 -9,0% 81 Matarani Perú 19.824 19.584 18.278 -6,7% 82 Natal Brasil 17.186 15.046 17.215 14,4% 83 Bahia Blanca (inc. Muelle Andoni Irazusta) Argentina 25.523 28.558 16.565 -42,0% 84 Kingstown (Inc. CPCP) St. Vincent and the Grenadines 16.570 16.238 ... ... 85 Manzanillo-DO República Dominicana 8.190 10.880 14.949 37,4% 86 Chacabuco Chile 11.655 9.466 ... ... 87 Boca Chica República Dominicana 19.909 10.985 7.977 -27,4% 88 Chimbote Perú 2.004 6.760 7.186 6,3% 89 Asunción Paraguay 9.317 7.045 ... ... 90 Maceio Brasil 8.430 7.302 6.740 -7,7% 91 Santarém Brasil 4.709 4.716 5.516 17,0% 92 Salina Cruz México 4.714 13.111 5.434 -58,6% 93 Coquimbo Chile 2.462 4.674 ... ... 94 Puerto Morelos México 7.586 4.443 4.657 4,8% 95 Manta Ecuador 1.650 3.924 4.543 15,8% 96 San Andres Colombia 2.194 4.534 97 La Guajira (Cerrejon) Colombia 3.377 3.941 98 Puerto Chiapas México 1.102 0 3.590 99 Arlen Siu/El Rama Nicaragua 3.706 3.293 3.223 -2,1% 100 Tampico México 11.152 5.936 2.229 -62,4% Fuente: Unidad de Servicios de Infraestructura, DRNI | CEPAL | Naciones Unidas, 2011 Source: Infrastructure Services Unit | NRID | ECLAC | United Nations, 2011 234 ANEXO # 9 Políticas de JAPDEVA 2011-2014 235 ANEXO # 10 Acuerdo No. 394-05 236 ANEXO # 11 Acuerdo No. 1111-07 237 ANEXO # 12 Pliego Tarifario de JAPDEVA TARIFAS PORTUARIAS Por resolución RRG-3223-2003, publicado en la Gaceta #211 del 3 de noviembre del 2003. EL REGULADOR GENERAL RESUELVE: 1. Fijar el siguiente pliego de tarifas, para su aplicación en el Complejo Portuario de Limón administrado por JAPDEVA: N° CONCEPTO UND. TARIFA $ Propuesta NOTA S 1 Atención a naves 1,1 Cuota fija buque más 300 TRB. UND. 636.79 1,2 Cuota fija buque hasta 300 TRB. UND. 110.75 1,3 Atención a naves puerto variable T.R.B. 0.14 2 Estadía-atraque 2,1 En puerto M.E.H. 1.27 2,2 En rada portuaria Buque 127.36 3 Pasajeros en tránsito UND. 2.09 4 Muellaje 4,1 Muellaje general TON 0.87 4,2 Muellaje chasis UND. 1.75 4,3 Muellaje tara cont. y furg. Vacíos UND. 3.50 4,4 Muellaje vehículos (menor 4 Tons.) UND. 3.50 4,5 Muellaje maq. Eq. y veh. (más 3.1 Ton.) UND. 17.48 5 Atención naves pasajeros UND. 5,864.07 6 Canon y tarifas por alq. Áreas M²/mes 5.17 7 Remolcador 7,1 Remolcaje con 1 T.R.B. 0.18 7,2 Remolcaje con 2 T.R.B. 0.36 7,3 Remolcaje con 3 T.R.B. 0.54 7,4 Remolcaje costado buque HRS. 1,666.61 7,5 Remolcaje fuera rada HRS. 1,666.61 8 Montacargas Montacargas costado buque: 8,1 Montacargas de 2 a 3.4 Tons. HRS. 15.45 8,2 Montacargas de 3.5 a 9.9 Tons. HRS. 30.77 8,3 Montacargas de 10 en adelante HRS. 49.45 Montacargas en bodegas y patios: 8,4 Montacargas 2 a 3.4 Tons. TON 0.77 8,5 Montacargas 3.4 a 9.9 Tons. TON 0.62 8,6 Montacargas más de 10 Tons. TON 0.69 9 Almacenaje TON/DIA 5.34 10 Suministro de agua potable TON 4.00 11 Movilización de contenedores: 11, 1 Asistido/Stradler Carrier MOV-UND 18.86 11, 2 Asistido/Cabezal MOV-UND 16.98 238 11, 3 Asistido/Grúa pórtica MOV-UND 48.20 11, 4 Asistido/Grúa pórtica sist. Conv. HRS. 883.83 11, 5 Carga y descarga cont. y furg. MOV 9.50 11, 6 Recibo y despacho cont. MOV 18.86 12 Servicio de contenedores Refrig. KW/HORA 1.65 13 Servicio de lancha VIAJE 33.47 14 Operador de montacargas HRS 9.95 15 Carga rec. Fuera de manifiesto CON/TON 15, 1 Carga RFM en contenedor CON 100.00 15, 2 Carga RFM por tonelada TON 5.00 16 Demora grúa puente HRS 500.00 17 Consolidación y descons. Merc. Pto. VEHICULO 16.39 18 Estac. Cont. Y furg. más período gracia UND 10.79 19 Estacionamiento en rada portuaria 19, 1 Buques más 300 TRB BUQUE 116.4 19, 2 Buques hasta 300 TRB BUQUE 23.70 20 Canon derecho Cías. Estibadoras TONS 0.16 21 Demoras Cías. Naviera M.E.H. 0.48 22 Demoras Cía. Estibadora M.E.H. 0.48 23 Apertura de Bodegas y Patios HORA/FRACC 17.10 24 Canon trasiego de Petróleo y Derivados Camión hasta 20 Toneladas 20.65 25 Canon venta de Alimentos a Barco (SHIP CHANDLER) Camión hasta 5 Toneladas 5.16 26 Canon Trasiego para Extracción y Transporte de Desechos Camión hasta 12 Toneladas 12.39 * INFORMACIÓN RECIBIDA DEL DPTO. DE PLANIFICACIÓN. 239 ANEXO # 13 Antecedentes del SIOPJ Desde que se iniciaron las operaciones de JAPDEVA, a partir del traspaso del manejo de los puertos de la NORTHERN RAILWAY CO. a esta institución en el año 1969, se han manejado todas las operaciones portuarias de forma manual. Los primeros intentos por estandarizar en el ámbito del trabajo portuario, el manejo de las operaciones portuarias en el Puerto de Limón se dio en el año 1972, con la actualización de las tarifas portuarias, seguida por estudios de cuellos de botella en la operación de los muelles 70, metálico y nacional, así como de las bodegas y patios, por parte de funcionarios de la COMISIÓN CENTROAMERICANA DE AUTORIDADES PORTUARIAS (COCAAP), hoy COMISIÓN CENTROAMERICANA DE TRANSPORTE MARÍTIMO (COCATRAM), institución que colabora con los puertos de todos los países centroamericanos, en el mejoramiento de sus procesos de operaciones portuarias, tarifas de los servicios, contabilidad general y contabilidad de costos, estadísticas, y procesos de capacitación de todo el personal en las diferentes áreas de la actividad portuaria. Asimismo, la COCATRAM ha procurado mediante diversos convenios con organismos de las Naciones Unidas, adoptar procesos estandarizados en la operación portuaria, en las distintas áreas administrativas, en materia de salud ocupacional, seguridad física del puerto, gestión del ambiente, y diversos otros campos del quehacer portuario, del transporte y del comercio internacional. Como resultado de estas labores (a mediados de los 70) se implementa el sistema mecanizo, principalmente para el área administrativa, con los sistemas de Planillas, Presupuesto y Contabilidad; todo con la tecnología IBM. A finales de 1981 se contrata una consultoría a la firma “Parra Mayers”, cuyo resultado fue el diseño de los sistemas de facturación y control, el sistema de bodegas y patios 240 (Mercadería General) y el de Contenedores (Documentación). Todo esto para cubrir la actividad operativa, claro está ajustado a la dinámica de la logística que se daba en esos momentos, principalmente enfocada a la carga convencional. En ese entonces se contaba con varias bodegas a saber: Bodega N°1: General Bodega N°2: Materiales (Interno) Bodega N°3: Químicos Bodega N°4: Maquinaria y Bultos mayores Bodega N°5: General Asimismo, los funcionarios que colaboraron con la labor de desarrollo de los sistemas, son los mismos que se encargaron desde ese momento hasta ahora de realizar todas las modificaciones al sistema. El resultado fue un sistema llamado: “Sistema de Operaciones Portuarias”, actualmente conocido como el sistema tradicional, y es el que está vigente. Se encuentra en una plataforma o base de datos DMS2 (Webanable), con un lenguaje COBOL (poco flexible, pero segura según indican los expertos), la estructura de la base de datos es jerárquica, su esquema es modular, su hardware primeramente fue IBM, que luego se migró a equipos Unisys una vez que la Institución realizó el contrato con esta empresa en forma exclusiva, posteriormente se continuó con las actualizaciones según las necesidades. Para 1990 continuaron con los esfuerzos para actualizar las tecnologías de la información de la institución, concordante con los avances que se estaban dando en el ambiente del comercio internacional y los puertos específicamente, como iniciativa de la Intendencia para mejorar la operación portuaria, en 1992 se concluye con el diseño y se encontraba listo para implementar, el sistema que se llamaría “ Port Control System (POCOS)”; faltando únicamente la decisión de financiar y comprar los equipos (hardware) necesario; sin embargo la administración no le dio la importancia suficiente y el proyecto quedó en el papel. En 1996, después de varios contactos el Gobierno Francés ofrece donar un sistema listo (Sistema EDI) sin costo alguno, pero nuevamente por falta de visión y toma de decisión 241 oportuna se dejó pasar esta oportunidad de automatizar totalmente los puertos del Complejo Portuario Limón-Moín. Tres años después, en 1999 el Gobierno Panameño, movido por intereses estratégicos a través del entonces presidente de la Autoridad Portuaria de Panamá: el Señor Carlos Uriola, pretendía donar también un sistema listo, el mismo que utilizaba la Terminal Internacional de Manzanillo en ese momento, con la única condición de que JAPDEVA pagase un costo de $35.000 anuales por mantenimiento del sistema y con el compromiso de que se les daría la prioridad en caso de futuras concesiones; lo anterior como una alianza estratégica potencial. A finales del 2000 e inicios del 2001, surge como una necesidad interna de las Intendencias y como requerimiento del Departamento de Planificación General para resolver algunas deficiencias a nivel operativo y de servicio al cliente, detectadas tras el resultado de un estudio de los procesos operativos en el Complejo de Moín; por lo que se solicitó al Departamento de Informática iniciar el proyecto “Programa de Mejoramiento de Servicio al Cliente”, en principio se empezó para el puerto de Moín, pero cuando se empezó con el proceso de recopilación de datos y requerimientos de los usuarios internos se extendió a todo el Complejo Portuario Limón-Moín, ya que se consideró que JAPDEVA es un todo. El inicio del desarrollo del SIOPJ, fue el resultado de un esfuerzo y aporte universitario, de quién fuese uno de los principales desarrolladores el Ing. Gilberto Charles. Se conjugan tanto las necesidades antes mencionadas como el aprovechamiento de este trabajo académico, en lo cual se basó el arranque de este proceso. Después de realizar una pasantía en los puertos del Pacífico, al INCOP; se analiza el sistema que esta entidad estaba desarrollando llamado igualmente SIOP, sin embargo según se investiga más adelante; nunca se pudo implementar allí. Entonces se introduce con el nombre de Sistema Integrado de Operaciones Portuarias (SIOP). La razón de ser del proyecto era mejorar el servicio al cliente portuario, resolver la 242 problemática de la liquidación tardía de las naves a nivel de facturación y cobro final, es decir reducir los tiempos de recaudación y disminuir el uso excesivo de papel, así como el alto costo de los controles manuales tanto del recurso humano como de la mercancía. El sistema de información vigente en ese momento (mismo actualmente), carece de información relevante desde el primer contacto con las naves, existen baches en la información recopilada ya que se enfatiza más en los componentes del cobro y deja de lado los aspectos administrativos, estadísticos, de rendimientos, financieros, entre otros que deben ser construidos en forma independiente (como programitas separados) cada vez que se da un nuevo requerimiento. En el año 2006, quedó listo y se le agrega al nombre el título de JAPDEVA, quedando como “Sistema Integrado de Operaciones Portuarias de Japdeva” (SIOPJ); para entonces sólo era necesario realizar las pruebas y correr el sistema. No obstante, los equipos (hand helds y equipo inalámbrico) entraron en el 2007, aún con esto sigue pendiente su implementación en un 100%, dado la resistencia al cambio y la falta de decisión definitiva; que han presentado tanto los usuarios operativos del sistema como la administración. 243 ANEXO # 14 Lista de Chequeo EVALUACION DE LA APLICACIÓN DEL MANUAL SOBRE NORMAS TÉCNICAS DE CONTROL INTERNO RELATIVOS A LOS SISTEMAS DE INFORMACIÓN COMPUTARIZADOS DE LA CGR: CAP. III DESARROLLO DE SISTEMAS El instrumento que seguidamente se muestra corresponde a la transcripción de todos los aspectos que incorpora la norma según cita el Lic. Samuel Hidalgo Solano, Contralor General de la República, noviembre, 1995, en su Capítulo III. Se aplica como verificación mediante consulta directa a los dos desarrolladores del SIOPJ, enfatizando el análisis en los módulos Planificar y supervisar operaciones y Procesar información para el cobro de servicios portuarios del SIOPJ. Las opciones posibles tienen el siguiente alcance: SÍ: corresponde a un elemento particular que existe o se aplica en la institución y que cuenta con respaldo documental, técnico o administrativo razonable y verificable. NO: corresponde a un elemento particular que no existe en la entidad, no se aplicó o que no cuenta con respaldo documental, técnico o administrativo razonable y verificable. PARCIAL: corresponde a aquellos aspectos en que se aplique la norma por parte de la unidad informática de la institución, muy superficialmente o de manera incompleta. N/A: corresponde a un aspecto particular que no aplica o no se considera porque no hay suficiente criterio para valorarlo en el ambiente sujeto de estudio. CUADRO DE VERIFICACIÓN # ASUNTO SÍ NO Parcial N/A 3.01 Desarrollo en concordancia con los planes y las políticas del SIC a) El desarrollo de los SIC se efectúa teniendo como base fundamental el plan estratégico, el plan anual operativo y las políticas relativas al SIG. 244 # ASUNTO SÍ NO Parcial N/A 3.02 3.03 3.04 3.05 Manual de estándares para el desarrollo de los sistemas de información computadorizados (SIC) a) Se establece y mantiene actualizado un manual de estándares para el desarrollo de los SIC. Proyecto de desarrollo del SIC a) Se preparó un proyecto para cada SIC que se pretenda desarrollar, así como para los que sean objeto de modificaciones importantes. Administrador del proyecto de desarrollo del SIC a) Se nombró un funcionario que tendría la responsabilidad directa de planear, organizar, dirigir, coordinar y controlar el proyecto de desarrollo del SIC. Ciclo de vida para el desarrollo de sistemas (CVDS) a) Los sistemas de información computadorizados se desarrollan siguiendo la metodología del ciclo de vida para el desarrollo de sistemas (CVDS). a.1) El proyecto de desarrollo del SIC se inició con un estudio preliminar y se preparó el informe correspondiente en conformidad con las especificaciones que se emitan. a.2) De acuerdo con los resultados del estudio preliminar, se elaboró un estudio de factibilidad y se preparó el informe correspondiente en conformidad con las especificaciones que se emitieron. a.3) Se realizó un análisis del sistema actual y se determinaron y documentaron los requerimientos de información del sistema de información en desarrollo. a.4) El diseño conceptual del SIC se documentó y responde a los requerimientos de información determinados. a.5) El diseño físico del SIC se documentó y ofrece las especificaciones necesarias y suficientes para el desarrollo de los programas. 245 # ASUNTO SÍ NO Parcial N/A 3.06 3.07 3.08 3.09 a.6) Los programas requeridos por el SIC se desarrollaron de conformidad con las especificaciones definidas en el diseño físico y se preparó la documentación respectiva. a.7) La documentación del SIC se concluyó antes de la prueba. a.8) Se realizaron las pruebas necesarias al SIC de previo a su implantación y se documentaron adecuadamente. a.9) La implantación del SIC se llevó a cabo conforme a un plan establecido y bajo un control adecuado. a.10) Posterior a la implantación del SIC, se realizó una evaluación a fin de determinar si ha logrado satisfacer los objetivos establecidos dentro de la relación de beneficio-costo esperado. Procesamiento en paralelo a) Se ejecutó el procesamiento en paralelo del antiguo sistema con el nuevo SIC, cuando el nuevo sea complejo, de importancia estratégica o según el criterio del administrador del proyecto. Procedimientos de control y rastros de las transacciones a) Los SIC incluyen los procedimientos de control y los rastros de las transacciones que sean necesarios. Participación de los usuarios en el CVDS a) Se contó con la participación activa de los usuarios en las diversas etapas del CVDS. Participación del auditor en el CVDS a) Durante el CVDS el auditor fungió como asesor o consejero del administrador del proyecto y en general del equipo de desarrollo. Modificaciones a los SIC 3.10 a) Las modificaciones a los SIC en operación son autorizadas, controladas, aprobadas y documentadas adecuadamente. 246 ANEXO # 15 Entrevista No Estructurada a Intendentes Portuarios Marque con “x” o responda según se le solicita. Se aclara que es respecto al Sistema SIOPJ, sin embargo el enfoque de las preguntas está en los módulos 3 y 5. 1. ¿Cuál es la estructura organizativa funcional y operativa del puerto de Limón Moín? Indicar: ( puede hacerlo en una página aparte) 2. El desarrollo del SIOPJ obedeció a la aplicación de : Plan Estratégico, Plan Anual Operativo Políticas de Sistemas de Información Plan Estratégico de Sistemas de Información Ninguna de las anteriores Otra, indique________________________________ Nota: Puede marcar más de una.. 3. ¿El desarrollo del SIOPJ se manejó como un proyecto? Sí No Parcial Si su repuesta es parcial, explique: _________________________________________________________ _________________________________________________________ El sistema tuvo modificaciones: sí no Se documentaron: sí no 4. ¿Se nombró un funcionario como líder o director del proyecto ( responsable de planear, organizar, dirigir, coordinar y controlar el desarrollo e implementación del sistema)? Sí No Parcial 247 Si su repuesta es parcial, explique: _________________________________________________________ _________________________________________________________ 5. ¿El desarrollo del SIOPJ se inició con un proceso de estudios preliminares? Indique cuáles. Sí No Perfil ______ Prefactibilidad _______ Factibilidad _______ Ninguno de los anteriores______ ¿Se realizaron los respectivos informes y se documentaron? Sí No Parcial 6. ¿Sabe usted si el SIOPJ se desarrolló siguiendo alguna metodología, tal como el Ciclo de Vida de Desarrollo de Sistemas o algún plan o guía de desarrollo? Sí No Parcial ¿Por qué?___________________________________________________ _________________________________________________________ 7. ¿Para diseñar el SIOPJ se analizó el sistema vigente y se solicitaron los requerimientos de información del nuevo sistema a las intendencias? Sí No Parcial ¿Por qué? ________________________________________________ __________________ 8. ¿Hubo una participación activa de los usuarios a lo largo de las etapas de desarrollo del sistema SIOPJ? Sí No Parcial ¿Por qué? __________________________________________________ ________________________ 248 9. ¿Se documentó tanto el diseño conceptual como físico del sistema y responden a los requerimientos y especificaciones determinadas? Sí No Parcial ¿Por qué?_____________________________________________ ___________________________________________________ 10. Una vez finiquitado el diseño del Sistema Integrado de Operaciones, ¿considera que se ajusta a las necesidades de demanda de servicios y cumple con sus expectativas como usuario del sistema? Sí No Parcial ¿Por qué? __________________________________________________ ________________________ ________________________ 11. ¿Considera que se incluyeron todos los requerimientos operacionales y de planificación que se solicitaron en los programas? Sí No Parc ial Si su respuesta es no o parcial, indique cuáles son los que considera se deberían incluir: _____________________________________________________________ _________________________________________________________ _____________________________________________________________ _________________________________________________________ 12. ¿Se documentó todo el sistema una vez concluido y antes de iniciar el proceso de pruebas? Sí No Parcial ¿Por qué? __________________________________________________ ________________________ ________________________ 249 13. ¿Se realizaron todas las pruebas necesarias previo a la implementación del SIOPJ y se documentaron? Sí No Parcial ¿Por qué?__________________________________________________ ________________________ ________________________ 14. ¿Hubo o hay un plan de implementación del sistema SIOPJ, que permita un control adecuado de ese proceso? Sí No Parcial ¿Por qué? __________________________________________________ ________________________ ________________________ 15. ¿Se han evaluado los módulos ya implementados, para determinar si se logran los objetivos planteados? Sí No Parcial ¿Por qué? __________________________________________________ ________________________ ________________________ 16. ¿Se ha ejecutado un procesamiento en paralelo del sistema tradicional con el SIOPJ (nuevo)? Sí No Parcial ¿Por qué? __________________________________________________ ________________________ ________________________ 17. Respecto a los 6 módulos del SIOPJ, cuál es su porcentaje de uso, del 0 al 100%. % a) Reunión de Usuarios b) Marcar Vapores c) Planificar y Supervisar Operaciones 250 d) Chequear Mercadería Llegada al Puerto e) Procesar Información para Cobro de Servicios Portuarios f) Facturar Servicios 18. En cuanto al módulo de Planificar y supervisar operaciones y al de Procesar Información para el cobro de los servicios portuarios, ¿cuáles son los usuarios reales? a) Intendencias: ________________________________________ ___________________________________________________ ___________________________________________________ b) Informática: _________________________________________ ___________________________________________________ ___________________________________________________ 19. ¿El sistema incluye procedimientos de control a lo interno? Sí No Parcial ¿Por qué? __________________________________________________ ________________________ ________________________ 20. ¿Sabe usted si la Auditoría de la institución participó como asesor del administrador del proyecto de desarrollo del sistema? Sí No N/A 21. ¿Se han realizado modificaciones al sistema? ¿Estos han sido autorizados o aprobados, controlados y adecuadamente documentados? Sí No Parcial ¿Por qué? __________________________________________________ ________________________ ________________________ 251 ANEXO # 16 Lista de chequeo Evaluación de las normas técnicas para la gestión y control de las tecnologías de información de la CGR: Cap. III Implementación de tecnologías de información El instrumento que seguidamente se muestra corresponde a la transcripción de todos los aspectos que incorpora la norma según cita Rocío Aguilar Montoya, Contralora General de la República, julio 2007, en su Capítulo III. Seguidamente, se aplica como verificación mediante consulta directa a un desarrollador y un líder de usuario del SIOPJ, de los módulos Planificar y supervisar operaciones y Procesar información para el cobro de servicios portuarios del SIOPJ. Los asuntos por determinar se catalogan del siguiente modo: SÍ: corresponde a un elemento particular que se existe o se aplica en la institución y que cuenta con respaldo documental, técnico o administrativo razonable y verificable. NO: corresponde a un elemento particular que no existe en la entidad, no se aplicó o que no cuenta con respaldo documental, técnico o administrativo razonable y verificable. PARCIAL: corresponde a aquellos casos en que se aplique por parte de la unidad informática o los usuarios del sistema en la institución, pero muy superficialmente. N/A: corresponde a un elemento particular que no aplica como factor o parámetro de control para la entidad o ambiente sujeto de estudio. 252 CUADRO DE VERIFICACIÓN # ASUNTO: IMPLEMENTACIÓN DE TECNOLOGÍAS DE INFORMACIÓN, CGR SÍ NO Parcial N/A 3.1 Consideraciones generales de la implementación de TI a) Se adoptan políticas sobre la justificación, autorización y documentación de solicitudes de implementación o mantenimiento de tecnologías de información. b) Se establece el respaldo claro y explícito para los proyectos de TI, tanto del jerarca como de las áreas usuarias. c) Se garantiza la participación activa de las unidades o áreas usuarias, las cuales deben tener una asignación clara de responsabilidades y aprobar formalmente las implementaciones realizadas. d) Se instauran líderes de proyecto con una asignación clara, detallada y documentada de su autoridad y responsabilidad. e) Se analizaron las alternativas de solución de acuerdo con criterios técnicos, económicos, operativos y jurídicos, y lineamientos previamente establecidos. f) Se cuenta con una definición clara, completa y oportuna de los requerimientos, como parte de los cuales debe incorporar aspectos de control, seguridad y auditoría, bajo un contexto de costo- beneficio. g) Se tomaron las previsiones correspondientes para garantizar la disponibilidad de los recursos económicos, técnicos y humanos requeridos. h) Se formulan y ejecutan estrategias de implementación que incluyan todas las medidas para minimizar el riesgo de que los proyectos no logren sus objetivos, no satisfagan los requerimientos o no cumplan con los términos de 253 # ASUNTO: IMPLEMENTACIÓN DE TECNOLOGÍAS DE INFORMACIÓN, CGR SÍ NO Parcial N/A tiempo y costo preestablecidos. i) Se promueve su independencia de proveedores de hardware, software, instalaciones y servicios. 3.2 Implementación de software a) Se observan los aspectos aplicables de la norma anterior (3.1) en cuanto al software. b) Se desarrolla y aplica un marco metodológico que guíe los procesos de implementación y considere la definición de requerimientos, los estudios de factibilidad, la elaboración de diseños, la programación y pruebas, el desarrollo de la documentación, la conversión de datos y la puesta en producción, así como también la evaluación post-implantación de la satisfacción de los requerimientos. c) Se establecen los controles y asignan las funciones, responsabilidades y permisos de acceso al personal a cargo de las labores de implementación y mantenimiento de software. d) Se controla la implementación del software en el ambiente de producción y se garantiza la integridad de datos y programas en los procesos de conversión y migración. e) Se definen los criterios para determinar la procedencia de cambios y accesos de emergencia al software y datos, y los procedimientos de autorización, registro, supervisión y evaluación técnica, operativa y administrativa de los resultados de esos cambios y accesos. f) Se controlan las distintas versiones de los programas que se generen como parte de su mantenimiento. 254 # ASUNTO: IMPLEMENTACIÓN DE TECNOLOGÍAS DE INFORMACIÓN, CGR SÍ NO Parcial N/A 3.3 Implementación de la infraestructura tecnológica a) Se adquiere, instala y actualiza la infraestructura necesaria para soportar el software de conformidad con los modelos de arquitectura de información e infraestructura tecnológica y demás criterios establecidos. b) Se observan los aspectos contemplados en la norma 3.1, en términos de la infraestructura tecnológica. 3.4 Contratación de terceros para la implementación y mantenimiento de software e infraestructura a) Se observan los aspectos aplicables de las normas 3.1, 3.2 y 3.2 en cuanto a contratación. b) Existe una política relativa a la contratación de productos de software e infraestructura. c) Toda vez que se requiera, se cuenta con la debida justificación para contratar a terceros o desarrollar la implementación y mantenimiento de software e infraestructura. d) Se establecen procedimientos o guías para la definición de los “términos de referencia” que incluyan las especificaciones y requisitos o condiciones requeridos o aplicables, así como para la evaluación de ofertas. e) Se establecen, verifican y aprueban formalmente los criterios, términos y conjunto de pruebas de aceptación de lo contratado o desarrollado; sean instalaciones, hardware o software. 255 ANEXO # 17 Primer Informe sobre el Sistema de Operaciones Portuarias de JAPDEVA (SIOPJ) 256 257 258 259 260 ANEXO # 18 Creación del Comité de Sistemas (Sesión N°2-88) 261 262 ANEXO # 19 Creación del Comité Gerencial de Sistemas, sus Integrantes y Reglamento Interno de Trabajo (Sesión N°19-96) 263 264 ANEXO # 20 Modificación de la Conformación del Comité Gerencial de Sistemas (Sesión N°25-2000) 265 ANEXO # 21 Plan del Proyecto: Ejecución del SIOPJ en Paralelo con el Sistema Tradicional (POPER) Plan del Proyecto Detalles del Proyecto Fecha: 19 de octubre de 2010 Proyecto #: Coordinador del Proyecto: Marlon Clark Spence Nombre del Proyecto: Ejecución del Sistema Integrado de Operaciones Portuarias de JAPDEVA (SIOPJ) en paralelo con el Sistema Tradicional (POPER) JAPDEVA. I. Introducción El Sistema Integrado de Operaciones Portuarias de JAPDEVA (SIOPJ) es un sistema que pretende administrar la información de las operaciones portuarias que se realizan en el Puerto de Limón y Moín. Abarca la recepción de las solicitudes de servicios, elaboración del programa de operaciones semanal, cobro previo de los servicios solicitados como lo indica el reglamento de operaciones portuarias, captura electrónica de la información pertinente a las operaciones (manifiestos y listados de contenedores), coordinación y planificación previa a las operaciones de atraque, desatraque carga y descarga de las naves (Equipo y personal de servicios), control y registro de los servicios prestados en las operaciones, cobro y liquidación de los servicios prestados a las naves. También gestiona durante la operación datos como la recepción de información de la mercancía, la carga y descarga, el atraque y desatraque del buque. Además el sistema sigue procesando información una vez después del zarpe, ya que realiza la evaluación del rendimiento de naves, el análisis de la cantidad de servicios que se prestó, el cobro y la liquidación de los servicios prestados con respecto a los servicios proformados. II. Propósito Ejecutar en paralelo el Sistema Integrado de Operaciones Portuarias de JAPDEVA (SIOPJ) en la terminal de Moín en primera instancia durante los meses de octubre, noviembre y diciembre. 266 III. Objetivo General:  Implementar el SIOPJ en paralelo con el sistema tradicional tomando en cuenta las diferentes modalidades que se trabajan en la Terminal Portuaria de Moín. Específicos:  Evaluar los resultados obtenidos en el SIOPJ con los del sistema tradicional.  Hacer ver las ventajas del SIOPJ en la captura y procesamiento de la información además de la prontitud con que se realiza la liquidación de los servicios prestados.  Capacitar al personal operativo seleccionado en el uso del SIOPJ.  Definir las necesidades de personal operativo para el adecuado funcionamiento del SIOPJ.  Definir las necesidades de personal del Departamento de Informática para el soporte técnico al SIOPJ.  Definir las necesidades de equipo tecnológico para el buen funcionamiento del SIOPJ.  Definir y crear la Ventanilla Única para atender la necesidad integral de los clientes. IV. Alcance  Se harán un paralelo solamente en la zona portuaria de Moín por un periodo de dos meses.  Se asignará por un periodo inicial de dos meses a un grupo de veinte cheques para la implementación del SIOPJ en Moín.  Se trasladará al personal al personal de Informática de la Intendencia de Limón a Facturación para iniciar el programa de ventanilla única y realizar la carga de los manifiestos de importación y exportación de las operaciones a realizarse en Limón y Moín.  Se definirá las necesidades de personal adicional para laborar al costado de los barcos en el control y verificación de los movimientos de importación y exportación.  Se toman las acciones necesarias para reforzar al Depto. de Informática con personal y mejoramiento de las condiciones que de soporte al sistema del SIOP.  Se realizará la capacitación para el manejo de computadoras y el SIOPJ al 267 siguiente personal de las Intendencias de Limón y Moín: Supervisores, Intendencia, Ventanilla Única, Departamento Marino, Equipo de carga/descarga, Facturación, Tesorería, Cheques, Port Control, Oficiales de Documentación, y sus respectivos suplentes.  Se definirán las necesidades adicionales de equipo necesarias para el adecuado funcionamiento del SIOP para el 2011 V. Justificación Dotar a JAPDEVA de una herramienta que permita la agilización del registro, análisis, planificación, control, operación, liquidación y cobro de los servicios prestados. Para garantizar la efectividad del sistema se requiere llevar en forma paralela por un tiempo determinado el sistema tradicional y el SIOPJ de manera que se corrobore la efectividad y congruencia de los cobros en ambos sistemas. Por razones de la disponibilidad de recursos para implementar la capacitación en el sitio de operación, se iniciará con el muelle de Moín quedando Limón para después de finalizado el paralelo. VI. Roles 1. Marlon Clark Spence: Coordinador del proyecto 2. Karla Piedra: Subgerente Portuaria a.i. 3. Danny Morris: Gerente Portuario - Patrocinador 4. Carlos Thomas: Gerente General - Patrocinador 5. Luis Navarro Roldan: Intendente Moín (Sponsor) – Usuario Principal 6. Rafael Rivas Delgado: Jefe Departamento de Informática 7. Miguel Castillo Céspedes: Jefe Sección de Análisis y Programación 8. John Gordon South: Analista Programador – Encargado del Software 9. Walter Eliot Lamsick Alguera: Analista Programador 10. Gilberto Charles: Analista Programador 11. René Palacios Castañeda: Encargado de Base de Datos 12. Ana Ligia Cubillo Mena: Asistente de Base de Datos 13. Jonathan Sevilla Córdoba: Encargado de la disponibilidad de las microcomputadoras e impresoras 14. Javier Scott Morris: Encargado de la Red de Datos 15. Rosa Murillo Zamora, Mauricio Watson Vassel, Alfredo Vega Chávez y José Joaquín Vargas Coto: Coordinadores de operaciones portuarias, Champion 16. Lidia Howard Wrigth: Oficial de Documentación, Champion 17. Chester Smith Shand: Encargado de Cheques 18. Lerline Moody Bernard: Encargada de Unidad de Montacargas 19. Jesús Araya Ortega: Encargado de la Facturación 20. Clyton Bernard Morris: Encargado de la Tesorería 268 21. Manfred Farquez Zúñiga: Encargado del Taller Eléctrico 22. Ernesto Sinclair Hines: Jefe CENFOCAP 23. Gilberth Aguilar Mendoza: Instructor CENFOCAP 24. Wilfredo Mena Tijerino: Director Interino Administrativo – Financiero 25. Karl McQueen Williams: Intendente Limón- Sponsor VII. Cronograma Nombre tarea Fecha Inicio Fecha Fin RESPONSABLE 1. Implementación del paralelo en Moín 8/11/2010 31/12/2010 Ing. Danny Morris 2. Traslado de personal a la Ventanilla Única 19/10/2010 8/11/2010 Ing. Danny Morris 3. Presentar a la Gerencia General la propuesta de fortalecimiento del personal Informático 1/11/2010 5/11/2010 Ing. Rafael Rivas 4. Respuesta y directriz de la Gerencia General para fortalecimiento de Informática. 8/11/2010 26/11/2010 Sr. Carlos Thomas Ing. Danny Morris 5. Definir necesidades adicionales de equipo para el 2011 25/10/2010 15/11/2010 Lic. Karl McQueen MBA Luis Navarro Bach. Rafael Rivas Lic. Jesús Araya 6. Definición de la recepción del manifiesto de exportación 25/10/2010 8/11/2010 Lic. Marlon Clarke 7. Asignación del personal de Cheques (20) a Moín 19/10/2010 25/10/2010 Lic. Karl McQueen 8. Definición del proceso de registro de comprobantes de ingreso y caja con la ventanilla única. 1/11/2010 15/11/2010 Lic. Wilfredo Mena Lic. Jesús Araya 9. Análisis y directriz de la Gerencia General sobre refuerzo de personal al costado del buque para control de movimientos de carga 8/11/2010 15/12/2010 Sr. Carlos Thomas 10. Programa Aprender Haciendo (Personal de Moín) 1/9/2010 30/12/2010 Lic. Walter Lamsick 10.1. Operador de Computadoras Básico en CENFOCAP 19/10/2010 30/11/2010 Lic. Gilbert Solano 10.2. Sistema Integrado de Operaciones Portuarias de JAPDEVA en el Moín 19/10/2010 30/11/2010 Lic. Walter Lamsick 11. Mantener capacitación de cursos básicos de computadoras al personal operativo de Limón. 1/9/2010 30/11/2010 Lic. Gilbert Solano 12. Coordinación para contratación del ancho de banda con el ICE 15/10/2010 30/11/2010 Lic. Karla Piedra 13. Reunión de usuarios Semanal Lic. Karl McQueen MBA Luis Navarro 14. Puntos de Control 14.1. Seguimiento del registro de la información (Jefes de unidad) – Diario Diario MBA Luis Navarro Lic. Karl McQueen 14.2. Seguimiento del funcionamiento del sistema (Departamento de Informática) – Diario Diario Lic. Jesús Araya John Gordon 14.3. Reunión de seguimiento (Stackeholders) Miércoles 2:pm Lic. Marlon Clarke 14.4. Presentación de informes semanales por parte de los Intendentes de los barcos incluidos y operados en forma completa bajo control del SIOP. Indicar montos liquidados, entre otra información básica, etc. Deberá entregarse por escrito a la Gerencia General, Portuaria y al coordinador del proceso de implementación del SIOP. Limón iniciará el 7/0172011. Iniciando 12/11/2010- MOÍN 7/1/2011- LIMÓN Semanal Lic. Karl McQueen MBA Luis Navarro 269 VIII. Estructura de desglose de trabajo (EDT) (WBS) Proyecto Implementación del Paralelo del Sistema Integrado de Operaciones Portuarias de JAPDEVA (SIOPJ). Este desglose de actividades deberá ser ejecutado y supervisado por los Intendentes de Limón y Moín en el SIOP. Reunión de usuarios Previo a la operación Elaboración del programa semanal Proformar naviera Proformar estibadora Imprimir proforma Imprimir Reporte del programa semanal Procesar información Previo a la operación Digitar datos de la nave Cargar listados de contenedores para planificación Cargar manifiestos electrónicos Incluir manifiestos al sistema Durante la operación Procesar Autorización Entrega Mercadería Después de la operación Cierre de mercancía movilizada Mantenimiento Previo a la operación Registrar el comprobante de ingreso Facturar servicios Previo a la operación Emitir factura de contado Imprimir factura de contado Después de la operación Calcular costos de servicios prestados Liquidar servicios de contado Emitir factura de servicios prestados Imprimir factura de servicios prestados Emitir notas de crédito Imprimir notas de crédito Servicios de bodegaje Servicios de montacargas Servicios de movilización Servicios adicionales Planificación y Supervisión de Operaciones Previo a la operación Elaborar roll del personal de operaciones Planificar operaciones Requerimiento de equipo Secuencia operacional Reporte de llegada de naves 270 Consulta de operaciones Marcar cuadrillas de atraque Elaborar marca de operadores Durante operación Bitácora de remolcadores atraque Servicios de lancha Reporte de supervisores Demoras en la operación Reporte de movimientos adicionales Mantenimiento de inventario de contenedores Después de la operación Marcar cuadrillas de desatraque Bitácora de remolcadores desatraque Servicios de lancha Reporte de salida de naves Cierre de servicios a la nave Cierre de servicios a los contenedores Cierre de mercancía movilizada Cierre de control de operaciones Cierre y control de equipo utilizado Cierre de estacionamiento de contenedores Rendimiento de naves Marca de vapor Previo a la operación Marcar vapores de atraque Después de la operación Marca vapores desatraque Chequear mercancía llegada al puerto Durante la operación Chequear entrada de mercancía Chequear salida de mercancía Chequear servicios adicionales Control bodegas y patios IX. Asuntos Claves/Riesgos/Supuestos  Disponibilidad de personal operativo adicional para costado de buque con la implementación de la segunda fase.  Reforzamiento del Depto. de informática para dar soporte al sistema en horarios fuera de las 08/16 y fines de semana.  Carga de los manifiestos y creación de ventanilla única en turnos de 08-16/16-24 y fines de semana.  Disponibilidad de transporte para el traslado a tiempo del personal.  Corte del fluido eléctrico.  Pérdida de conexión con los servidores de Base de Datos y aplicaciones. 271  Falta de involucramiento y control de las Jefaturas.  Adquisición de generadores, UPS o sistema alternativo que garantice la continuidad del fluido eléctrico en los muelles de Limón y Moín. X. Calidad La verificación de la calidad del paralelo se hará por medio de la revisión y comparación de los resultados con los del Sistema Actual. El involucramiento de los intendentes y sus intendentes es fundamental para verificar la calidad de las aplicaciones. Las desviaciones se incluirán en los reportes semanales programados. XI. Comunicación Se establecerán varios canales de comunicación para todo lo relacionado con la implementación del SIOP, las cuales serán de acatamiento obligatorio:  Minutas de las reuniones de seguimiento  Correos electrónicos  Oficios  Reporte semanal de los intendentes APROBACIÓN del (los) PATROCINADOR(ES) Nombre Firma Fecha Ing. Danny Morris Sr. Carlos Thomas Remitido por: 272 ANEXO # 22 Cronograma de Implementación del SIOP en el Muelle de Moín y Responsables de los Procesos Actualización al 27/04/11 IT E M DESCRIPCIÓN FECHA ENTREGA RESPONSABLE PROCESO PARA LA IMPLEMENTACIÓN DEL SIOP EN LÍNEA Ing. Danny Morris Gerente 1 Revisión y reprogramación de los equipos de Hand Help para su uso en la implementación del SIOP en línea. Del 26 de abril al 27 de mayo Ing. Rafael Rivas 2 Revisión y evaluación de la banda ancha adquirida para el sistema de red de JAPDEVA, 4 al 29 de mayo Ing. Rafael Rivas 3 Creación de las cuentas contables para integrar los registros de la caja y costos al sistema del SIOP. Del 4 al 15 de mayo División Financiera 4 Realizar ajustes y correcciones de acuerdo a las observaciones realizadas por el personal de Moín. (Ejecutar cambios en el sistema para que oficiales de documentación autoricen salida de contenedores y carga de los muelles en lugar de los cheques) Del 4 de mayo al 30 de junio Ing. John Gordon 5 Entrega de esquema operativo para control de la operación con los equipos de Hand Help por parte de la Intendencia de Moín. 8 de mayo Lic. Karl McQueen Intendente de Moín 6 Implementación de procesos formales de capacitación básica en computación para el personal operativo a través de Cenfocap 16 de mayo en adelante Lic. Ernesto Sinclair Lic. Karl McQueen Lic. Luis Navaro 7 Ejecución de prueba en Moín centralizando la implementación del SIOP en las áreas de en documentación y supervisores de Moín. Del 9 al 13 de mayo Lic. Karl McQueen, Ing. John Gordon 8 Realización de segunda prueba con barco y personal seleccionado. Del 16 al 20 mayo Lic. Karl McQueen, Ing. John Gordon 9 Evaluación de pruebas y correcciones Del 16 al 30 de mayo Lic. Karl McQueen, Ing. John Gordon 10 Reunión de coordinación programada con la Aduana General para la integración SIOP- TICA 18 de mayo Ing.- Rafael Rivas Lic. Marlon Clarke Realización de Tercera prueba con barco y personal seleccionado. Del 6 al 10 de junio Lic. Karl McQueen, Ing. John Gordon 11 Refuerzo del personal de Cómputo para la asistencia del proyecto SIOP- TICA 30 de julio 273 12 Refuerzo de supervisores en Moín para control de la operación con el equipo de Hand Help, de acuerdo con solicitud del Lic. Karl McQueen son 8 supervisores para Moín. 30 de julio Lic. Carlos Thomas Ing. Danny Morris 13 Proceso de integración SIOP- TICA. Coordinación con la Aduana General 30 de agosto 14 Implementación en paralelo del SIOP en línea A partir del 30 de agosto Sr. Karl McQueen, Intendentes de Moín 15 Inicio de coordinación para implementación del SIOP en terminal de Limón. 1º de agosto Lic. Marlon Clarke Atentamente: Lic. Marlon Clarke Spencer, Coordinador