La Auditoría Interna de la Nación (AIN) -un organismo del Ministerio de Economía y Finanzas (MEF)- presentó el informe de auditoría realizado a la Agencia Reguladora de Compras Estatales (ARCE), en el cual advirtió sobre “riesgos sin adecuada mitigación”, los cuales “en caso de materializarse, podrían comprometer la disponibilidad, integridad y confidencialidad de la información” que maneja el sistema. Sin embargo, decidió calificar como “reservados” a la gran mayoría de hallazgos.

El informe del organismo del MEF -que actúa con autonomía técnica-, evaluó las acciones realizadas por la ARCE para mejorar el nivel de madurez de la seguridad de la información relativa al Sistema de Información de Compras y Contrataciones Estatales (SICE).

En este sentido, la AIN concluyó que de un total de 10 hallazgos, las recomendaciones fueron implementadas totalmente en dos de ellos, cinco lo fueron de forma parcial, uno está en proceso de implementación, mientras que dos permanecen sin implementar.

Es por esto que desde el organismo señalaron que la ARCE -un órgano desconcentrado de Presidencia de la República, con autonomía técnica- “deberá continuar con el proceso de implementación de planes de mitigación, con el objetivo de mejorar la seguridad” de sistema de compras y contrataciones del Estado.

En lo que respecta a la evaluación de los controles sobre el proceso sancionatorio de la agencia, el informe afirmó que la ARCE “no ha implementado controles sobre la información de desempeño de los proveedores registrada en el Registro Único de Proveedores del Estado (RUPE) por los organismos compradores, que permita asegurar su confiablidad, integridad y oportunidad”. Esta información fue catalogada como “de relevancia”, principalmente “al momento de definir la contratación de un proveedor por parte de cualquier Unidad de compra del Estado”.

Asimismo, la auditoría constató “una ausencia de definición de pautas técnicas y lineamientos hacia los organismos compradores en cuanto a la aplicación de las sanciones, con el fin de que mantengan una relación con el monto del contrato, la gravedad de la infracción y el daño generado al Estado”.

Pese a las conclusiones recién mencionadas, en lo que refiere a la evaluación de las acciones respecto a 10 hallazgos relativos a la seguridad de la información, la AIN calificó de reservados todos los hallazgos, a excepción del N° 2 y 3.

Por lo tanto, si bien se publicaron las conclusiones finales, no se cuenta con información detallada de la totalidad de los hallazgos, sino que solamente se dio a conocer la información de las recomendaciones que fueron implementadas.

El hallazgo N° 2 hacía referencia a la situación que la AIN encontró en el organismo en el año 2016. Según el informe, en ese año se había “detectado una falta de monitoreo” sobre la administración ejercida por la Contaduría General de la Nación (CGN), lo que implicaba entre otras cosas, que la Agencia de Compras y Contrataciones Estatales (ACCE, como se llamaba anteriormente), no tuviera control sobre “los accesos o modificaciones de la base de datos, ni pueda supervisar el uso de recursos, ni proyectar los futuros requisitos de capacidad para asegurar el desempeño requerido del sistema”.

Ese hallazgo tenía una criticidad “alta”. Sin embargo, el informe indicó que las recomendaciones fueron implementadas.

En tanto, el hallazgo N° 3 -que también tenía un nivel de criticidad “alto” y cuyas recomendaciones fueron implementadas- refería a que el hecho de que la administración fuera compartida entre la CGN y la ACCE, imposibilitaba “la delimitación de las responsabilidades entre los organismos, ante eventuales incidentes de seguridad y/o fallas en la prestación de los servicios de los sistemas”.

Por otra parte, los hallazgos que sí fueron publicados por la AIN refieren al proceso sancionatorio de la ARCE.

En este sentido, el organismo del MEF indicó que la agencia de compras estatales “no ha implementado controles sobre la información” del registro de proveedores, referente a su desempeño, que permita a los organismos compradores disponer de información confiable, al momento de la contratación del proveedor. Este hallazgo fue considerado con un nivel de criticidad “alto”.

De acuerdo con el informe, dicha afirmación está sustentada tras constatar la falta de controles a los organismos compradores, que permita asegurar que efectivamente se registren en el sistema la totalidad de las resoluciones sancionatorias dictadas por estos”.

Asimismo, la AIN advirtió que “existen resoluciones que disponen más de una sanción, pero solo se registró una de ellas” en el sistema informático. “A modo de ejemplo: el organismo comprador dispone en el mismo acto la aplicación de una multa y una suspensión a un proveedor, pero solo se registró en el sistema la multa, siendo una sanción de menor gravedad, distorsionándose de esta manera la entidad del incumplimiento”, detalló.

Otro hallazgo con nivel de criticidad “alto” refirió a la falta de lineamientos por parte de ARCE a los organismos compradores para la aplicación de las sanciones, a efectos de que estas tengan relación con el monto del contrato, la gravedad de la infracción y el daño generado al Estado, “dejando librado al criterio de cada organismo comprador”.

Los riesgos asociados a este hallazgo fueron: disparidad de criterios al momento de sancionar infracciones de similar gravedad; pérdidas económicas para el Estado, por contratar con proveedores que reiteradamente incumplen con sus obligaciones; así como afectación de la imagen del organismo.