El informe de la AIN, fechado en enero de 2025, evalúa la gestión de la Utec referida a las actividades de control implementadas en la liquidación y pago de sueldos, que, de todos modos, resultaron ser “adecuadas y efectivas para garantizar la precisión y confiabilidad de las operaciones” en el periodo evaluado. Si bien no se encontraron sueldos que excedan los límites legales, los auditores recomendaron implementar “controles” para asegurar que todas las remuneraciones cumplan con la normativa vigente.
Asimismo, y aunque no se aplicó una auditoría de seguridad de la información del sistema informático de liquidación de sueldos, los auditores hallaron varias “debilidades” tales como “la inexistencia de una rutina formal para la revisión de permisos” y “la ausencia de doble factor de autenticación”.
Según el informe, estas debilidades exponen a la institución a “accesos no autorizados” que pueden “comprometer la integridad de los datos”, y, en consecuencia, “la confiabilidad” del proceso auditado.
La recomendación de los auditores es actuar rápido para corregir estos problemas: “Mantener una revisión periódica y la mejora continua de los controles diseñados e implementados, asegurando su sostenibilidad y capacidad para adaptarse a eventuales cambios normativos y/o tecnológicos”.
Además, por tratarse la Utec de un organismo “altamente informatizado”, se sugiere asignar el rol de responsable de Seguridad de la Información para gestionar los riesgos de seguridad y ciberseguridad, tanto del proceso auditado como de todos los procesos y sistemas de la universidad estatal.
Esta auditoría abarcó el período comprendido entre el 1 de enero al 31 de octubre de 2024, sin perjuicio de que para algunos procedimientos se consideró un lapso más extenso.
La Auditoría Interna de la Nación (AIN) es un órgano de control interno del Estado, independiente y autónomo. Su función principal es auditar las cuentas y la gestión de las entidades públicas, con el objetivo de asegurar la transparencia, la eficiencia y la eficacia en la utilización de los recursos públicos.
Creada por la Ley Nº 19.043, el 28 de diciembre de 2012, la Utec es un ente autónomo que integra el Sistema Nacional de Educación Pública y el Sistema Nacional de Educación Terciaria Pública, con un enfoque en la educación tecnológica e innovación. Su misión es “educar, formar y capacitar integralmente, en el interior del país”, profesionales, investigadores, emprendedores e innovadores.
A setiembre de 2024 cumplían tareas en esta universidad un total de 768 funcionarios, algunos con más de un contrato. El total de gastos en remuneraciones en el ejercicio 2023 ascendió a $ 970.071.706.
“Riesgo de accesos” a Utec
El principal hallazgo detallado en el informe de la AIN, considerado de riesgo “alto”, refiere a “vulnerabilidades” que pueden “comprometer la integridad y disponibilidad de los datos” para la liquidación de los sueldos. Concretamente, señala “ausencia de un sistema de doble factor de autenticación en los sistemas críticos de la Utec”, lo cual expone a la institución al “riesgo de accesos no autorizados”.
Por un lado, la AIN advirtió que “no se tuvo evidencia” de que exista una rutina formal establecida para la revisión de permisos de acceso a los sistemas, lo que podría generar que haya usuarios con privilegios que no son necesarios para sus funciones actuales. Los auditores explicaron que “esta situación expone al riesgo de acceso y/o cambios no autorizados en los datos”.
Por otro lado, la AIN alertó que “si bien se han asignado al coordinador de seguridad y riesgos en tecnologías tareas tendientes a prevenir ataques de ciberseguridad y gestionar riesgos de TI (Tecnología de la Información) el organismo no cuenta con un jefe de Seguridad de la Información, ni se han establecido formalmente estrategias de seguridad adoptadas, ni las políticas asociadas”.
Los auditores recomendaron a la Utec establecer “un sistema de doble factor de autenticación para todos los accesos a sistemas críticos, además de fijar procedimientos para la revisión periódica y actualización de permisos en el sistema, asegurando que solo usuarios autorizados tengan acceso a información sensible”. Además, sugirió “asignar el rol específico del jefe de seguridad de la información”, encargado de formalizar y supervisar las estrategias, políticas y procedimientos.
Otros “hallazgos”
Ese no fue el único hallazgo de los auditores. Con riesgo “medio”, constataron la ausencia de una “gestión sistematizada de errores en el sistema de liquidación de sueldos”, lo que podría afectar la capacidad de análisis y resolución de problemas del área.
“Algunos errores surgen por datos incorrectos, y estos se corrigen manualmente por parte del equipo de nómina o del área que corresponda”, o se envían al proveedor para su resolución, detallaron. La AIN constató que “no se realiza un registro integral” de esos errores, lo que dificulta recabar información sobre su reiteración, frecuencia y monto.
Los auditores propusieron implementar un “registro de errores” del proceso de liquidación de sueldos y efectuar “análisis periódicos” sobre los errores registrados para identificar “patrones y tendencias”, y determinar si los problemas son atribuibles a configuraciones erróneas del sistema o a fallas en los procesos operativos.
Por último, aunque “no se identifican sueldos que excedan los límites legales establecidos”, la AIN observa la necesidad de aplicar un control para asegurar que las remuneraciones, por concepto de desempeño en todas las actividades estatales que realicen los funcionarios de Utec, se ajusten a las normativas vigentes.
“La diversidad y variabilidad de las partidas de compensación que reciben los funcionarios, junto con el multiempleo, puede dificultar el cumplimiento adecuado de las regulaciones salariales”, según los auditores, que consideraron “fundamental establecer procedimientos claros y efectivos” para garantizar la conformidad a la ley.
Oportunidades de mejora
Según los auditores, se identificaron aspectos que, si bien no constituyen observaciones formales por “no representar incumplimientos significativos ni riesgos inmediatos,” podrían generar desafíos o dificultades si no se gestionan a tiempo. Indicaron que "estas oportunidades de mejora están orientadas a fortalecer los procesos existentes, incrementar su eficiencia y anticiparse a posibles riesgos".
En ese marco, la Auditoría Interna de la Nación recomendó a la Utec establecer “un procedimiento estandarizado para verificar la vigencia del certificado de cumplimiento regular de obligaciones de las cooperativas” antes de realizar retenciones salariales. La verificación debe incluir el acceso al sistema de Consulta de Certificados de Cooperativas, disponible en el sitio web de la AIN. Los auditores señalaron que implementar este procedimiento ayudará a “mitigar riesgos legales asociados a retenciones indebidas”.
