Escolar Documentos
Profissional Documentos
Cultura Documentos
Municipalidad de
Las Condes
CONTRALORA GENERAL DE LA REPBLICA
Fecha 14 de marzo de 2011
NInforme: 79/2010
CONTRALORA GENERAL DE LA REPBLICA
DIVISiN DE MUNICIPALIDADES
SUBDIVISiN DE AUDITORA E INSPECCiN
REA AUDITORA 1
DMSAI
16.037/10
243.479/10
247.247/10
1.201/10
REMITE INFORME FINAL QUE INDICA PMET
REF.
SANTIAGO,
Adjunto, remito a Ud., copia de Informe
Final N 79, de 2010, debidamente aprobado, sobre auditora al macroproceso de
Tecnologa de la Informacin, efectuada enese municipio.
Por Ordon dol Cont lor General
PRISC1LA J ARJ FUENTES
Abog~tlo
S l I O / a f t blvlaln d Municipalidades
AL SEOR
ALCALDE DE LA
MUNICIPALIDAD DE LAS CONDES
PRESENTEI
CONTRALORA GENERAL DE LA REPBLICA
ODIVISIN DE MUNICIPALIDADES
SUBDIVISiN DE AUDITORA E INSPECCiN
REA DE AUDITORA 1
PMET
REF.
DMSAI
16.037/10
243.479/10
247.247/10
1.201/10
REMITE INFORME FINAL QUE INDICA
SANTIAGO, 1 4. t\~fi 1 1* O 15 ~49
Adjunto, srvase encontrar copia del
Informe Final N 79, de 2010, de esta Contralora General, con el fin de que, en la
primera sesin que celebre el concejo municipal, desde la fecha de su recepcin,
se sirva ponerlo en conocimiento de ese rgano colegiado entregndole copia del
mismo.
Al respecto, Ud. deber acreditar ante esta
Contralora General, en su calidad de secretario del concejo y ministro de fe, el
cumplimiento de este trmite dentro del plazo de diez das de efectuada esa
sesin.
AL SEOR (------------------
SECRETARIO MUNICIPAL DE LAS CONDES
PRESENTE
CONTRALORA GENERAL DE LA REPBLICA
DIVISiN DE MUNICIPALIDADES
SUBDIVISiN DE AUDITORA E INSPECCiN
REA AUDITORA 1
DMSAI
16.037/10
243.479/10
247.247/10
1.201/10
REMITE INFORME FINAL QUE INDICA PMET
REF.
SANTIAGO,
Adjunto, remito a Ud., copia de Informe
Final N 79, de 2010, debidamente aprobado, sobre auditora al macroproceso de
Tecnologa de la Informacin, efectuada enese municipio.
Por Orden de Conlralor Genlilral
PRlSCILA ARA FUENTES
.bogado
Subjefe . In de Municipalidades
AL SEOR
DIRECTOR DE CONTROL
MUNICIPALIDAD DE LAS CONDES
PRESENTEI
CONTRALORA GENERAL DE LA REPBLICA
DIVISiN DE MUNICIPALIDADES
SUBDIVISiN DE AUDITORA E INSPECCiN
REA AUDITORA 1
16.037/10
243.479/10
247.247/10
1.201/10
INFORME FINAL N 79, DE 2010, SOBRE
AUDITORA DE SISTEMAS
INFORMTICOS EN LA MUNICIPALIDAD
DE LAS CONDES. DMSAI N
SANTIAGO, ,~M M t 201'
En cumplimiento del plan anual de
fiscalizacin para el ao 2010 Y de acuerdo con las facultades establecidas en la ley
N 10.336, Orgnica de esta Institucin, esta Contralora General se constituy en la
Municipalidad de Las Condes, para efectuar una auditora de sistemas informticos.
Objetivo
El objetivo del examen consisti en revisar y
evaluar aspectos relacionados con las polticas, normas, prcticas y procedimientos
de control relativos a los sistemas basados en las tecnologas de informacin y
comunicaciones (TIC), incluidas aquellas actividades de tipo manual o no
automatizadas, que se desarrollan enel entorno de tales sistemas.
Metodologa
El trabajo se efectu conforme a las normas y
procedimientos de control aceptados por este Organismo Fiscalizador e incluy las
pruebas de validacin respectivas, sin perjuicio de utilizar otros medios tcnicos
estimados necesarios en las circunstancias.
Alcance
La revisten abarc el perodo comprendido
entre enero y junio de 2010, circunscribindose a las siguientes reas:
a) Controles generales de las tecnologas de la informacin (TI).
b) Controles de seguridad fsica.
e) Controles de procedimientos de respaldo.
d) Controles de recuperacin de desastres.
e) Controles especficos asociados a las aplicaciones de procesos significativos.
A LA SEORA
SUBJ EFE DE LA DIVISiN DE
MUNICIPALIDADES
PRESENTE
J PT/BLC
CONTRALORA GENERAL DE LA REPBLICA
DIVISiN DE MUNICIPALIDADES
SUBDIVISiN DE AUDITORA E INSPECCiN
REA AUDITORA 1
- 2-
f) Sistemas administrativos municipales
Permisos de circulacin.
Tesorera municipal.
Patentes municipales.
g) Contratos vigentes.
- Adexus S.A.:
Servicio de centros de impresin multifuncionales y
fotocopiado de planos.
Asesora y Capacitacin Technotronic Ltda.
Servicio de instalacin de switch centrales.
- Bell Technologies S.A.
Servicio de arriendo de central telefnica y otros servicios para el
sistema de telefona.
- DirectTV Chile Televisin Ltda.
Servicio de televisin satelital en el edificio municipal.
- Elas J uri Clavera.
Servicio de acceso, informacin, atencin, diseo de pginas web y
servicios virtuales de Internet.
- E-Sign S.A.
Servicio de emisin de certificados electrnicos para permisos de
circulacin.
- GTD Teleductos S.A.
Servicio de instalacin de acceso Frame Relay digital de 128 Kbps
equipado con elemento terminal de comunicacin y router interfaz
usuario RJ -45.
- Ingeniera y procesos Electrnicos Contables Ltda. (Proexsi Ltda).
Servicio de sistema computacional integral bajo la modalidad "In
house".
- Legal Publishing Chile Ltda.
Servicio de suscripcin a unservicio de consulta va online.
- Servicio de Registro Civil e Identificacin.
Convenio de conectividad y prestacin de servicios a la Municipalidad
de Las Condes.
- Sociedad de Inversiones Unga S.A.
Servicio de recaudacin y mantencin de sistema computacional de
inventarios de equipos y bienes.
- Tecnodisk Servicio de Computacin Ltda.
Servicio de adquisicin de computadores personales.
h) Cumplimiento de los decretos supremos Ns 77, 81 Y 83, de 2004; y, Ns 93 Y
100, de 2006, del Ministerio Secretara General de la Presidencia.
En el contexto de los objetivos de auditora,
se evaluaron los temas relacionados con tecnologas de informacin en rgimen
operativo y que tienen relacin directa o indirecta con transacciones automatizadas de
los sistemas administrativos municipales.
En tal sentido, se efectu un anlisis de los
procedimientos municipales especficos y de la aplicacin de controles, con la
finalidad de verificar que la seguridad implantada en los procesos brinde a las
transacciones de los sistemas un resguardo operacional apropiado, as como que
CONTRALORA GENERAL DE LA REPBLICA
DIVISiN DE MUNICIPALIDADES
SUBDIVISiN DE AUDITORA E INSPECCiN
REA AUDITORA 1
-3-
hayan sido debidamente autorizadas, validadas y procesadas, de forma correcta y
oportuna.
La informacin utilizada fue proporcionada
por el director de control de la Municipalidad de Las Condes y puesta a disposicin de
esta Contralora General confecha 21 de septiembre de 2010.
Cabe precisar que, con carcter confidencial,
mediante oficio N 67.719, de 12 de noviembre de 2010, fueron puestas en
conocimiento del alcalde las observaciones comprobadas al trmino de la visita, con la
finalidad que formulara los alcances y precisiones que a su juicio procedieran, lo que
se concret mediante oficio ordinario alcaldicio N 1/1393, de 28 de noviembre de
2010.
1.- AMBIENTE TI ACTUAL DEL SERVICIO.
1.- Procesos significativos asociados a TI.
El municipio presenta los siguientes procesos
significativos:
a) Pago de permiso de circulacin y emisin de certificado.
b) Pago y emisin de patente comercial.
e) Decretos de pago y remuneraciones.
d) Transacciones de ingresos.
2.- Estructura organizacional.
\
El departamento de computacin e
informtica de la Municipalidad de Las Condes se encuentra en un nivel jerrquico
medio dentro de la estructura organizacional, dependiendo directamente de la
administracin municipal, situacin que determina la imposibilidad de una acabada y
profunda evaluacin para la toma de decisiones, que implique mejorar los procesos
municipales debido, adems, a la inexistencia de calificacin profesional acorde al
rea por parte de la jefatura, lo cual se grafica enel organigrama, anexo N 1.
El departamento ya sealado opera
prestando servicios de soporte de hardware y redes, encontrndose conformado por
cinco profesionales, uno de los cuales se desempea como jefe de dicha dependencia
y cuatro como subalternos, ms una secretaria, cuyo detalle se indica en el cuadro
siguiente.
CONTRALORA GENERAL DE LA REPBLICA
DIVISiN DE MUNICIPALIDADES
SUBDIVISiN DE AUDITORA E INSPECCiN
REA AUDITORA 1
-4-
Calidad
Calificacin
Dependencia
Nombre Cargo
tcnica
jurdica
profesional
jerrquica
lvaro Profesional-
Ingeniero Administrador
Fuentes J efe del Contrata
Gomien departamento
Comercial municipal
Marina
Ingeniero en Administrador
J imnez Profesional Planta
Seplveda
Informtica municipal
J uan Pea
Profesional Planta
Ingeniero civil Administrador
Pea industrial municipal
Marcelo
Profesional Planta
Ingeniero en Administrador
Ponce Tirado 1nformtica municipal
Alejandro
Ingeniero en Administrador
Surez Profesional Planta
Astudillo
Informtica municipal
J ohana
Secretaria Contrata Secretaria
Administrador
Rojas Rubio municipal
No se han realizado evaluaciones de
calificacin tcnica al personal que se desempea en la dependencia ya citada.
En su respuesta, la autoridad comunal, en
sntesis, corrobora lo planteado respecto a la dependencia jerrquica del
departamento de computacin e informtica, manifestando la intencin de dar mayor
relevancia a la gestin, por cuanto el administrador municipal es quin concentra las
funciones de coordinacin.
Asimismo, respecto a los funcionarios que
laboran en el citado departamento, indica que stos cuentan con la calificacin para
llevar a cabo el desarrollo e implementacin de proyectos en las reas de
computacin, informtica y telefona.
Al respecto, cabe sealar que el
administrador municipal es de profesin Ingeniero Agrnomo, formacin que no se
encuentra directamente relacionada con las labores efectuadas por el departamento
de computacin e informtica a nivel municipal, dependencia que se encuentra bajo
su dependencia. Por otra parte, al ser un departamento especializado, debiera
depender directamente de la autoridad comunal, con el objeto de entregar mayor
autonoma a los procesos de toma de decisiones y operaciones, por lo anterior, se
mantiene lo observado.
En lo referido a la ausencia de evaluaciones
de calificacin tcnica profesional, la autoridad expone que stas no son necesarias,
ya que los ttulos y la experiencia de los profesionales del rea, son suficientes para
asegurar las operaciones de la actual plataforma de hardware y software, adems, se
efectan evaluaciones semestrales del desempeo de los funcionarios. Sin embargo,
se observa la carencia de evaluaciones especializadas peridicas respecto de las
competencias tcnicas del personal de dicha rea, por lo cual procede mantener lo
observado.
CONTRALORA GENERAL DE LA REPBLICA
DIVISiN DE MUNICIPALIDADES
SUBDIVISiN DE AUDITORA E INSPECCiN
REA AUDITORA 1
-5 -
Cabe agregar que el ttulo profesional slo
acredita estudios, por parte del personal, pero no certifica que ellos realicen sus
funciones de acuerdo a los objetivos del departamento.
3.- Diagrama de red.
La operacin de las redes y procedimientos
para la gestin de equipos remotos, incluyendo los equipos en reas de usuarios,
tiene como responsable al jefe del departamento de computacin e informtica, con
dependencia de la administracin municipal, y la empresa Proexsi Ltda.,
respectivamente.
De acuerdo a los antecedentes
proporcionados por el jefe del departamento de computacin e informtica, la
Municipalidad de Las Condes cuenta actualmente con una red informtica
estructurada por unidad, adems de puntos de red certificados.
Por otra parte, la entidad presenta
deficiencias relacionadas con los procedimientos y servicios orientados a resguardar
la integridad de los datos municipales. Lo anterior, debido a que el municipio, aunque
cuenta con procedimientos destinados a dar continuidad a los servicios, no posee un
plan de recuperacin de desastres formal ante cualquier eventualidad, que agrupe
equipos de contingencia, procedimientos a realizar, plan alternativo, evaluacin de
reas crticas, difusin y prueba del planformal a nivel municipal.
Mediante memorndum N 574, de 21 de
septiembre de 2010, el jefe del departamento de computacin e informtica inform
los procedimientos a operar encasos de contingencia, a saber:
Servidor central de procesos se encuentra configurado en modalidad hotspare.
Respaldo diario en medios magnticos del software de las aplicaciones
municipales.
Respaldo diario de la auditora de cada una de las bases de datos del municipio
en medios magnticos.
UPS y un grupo electrgeno que sustenta a la red computacional y el equipo
central en caso de uncorte de energa elctrica.
Monitoreo y administracin del servidor central durante las 24 horas del da
Los diagramas del modelo general de la red
del municipio y el datacenter se presentan en anexo N2.
Adicionalmente se encuentran los siguientes
servidores activos, ubicados en la direccin de trnsito y transporte pblico, Avda.
Presidente Riesco N 5.296, se detalla en cuadro adjunto:
CONTRALORA GENERAL DE LA REPBLICA
DIVISiN DE MUNICIPALIDADES
SUBDIVISiN DE AUDITORA E INSPECCiN
REA AUDITORA 1
- 6 -
Nombre Cantidad CPU RAM Disco Duro
libra 400
PROEXSI Servidor MCP 1
Intel Xeon CPU
8GB 680GB
E5440-
2.83GB
UNISYS
ES3220l
PROEXSI Servidor Aplicaciones 1 Intel Xeon CPU 12 GB 680GB
X5450-
3.00GHz
Hp Proliant
Dl380 G5
PROEXSI Servidor Web 1 Intel Xeon CPU 3,25 GB 280 GB
E5430-
2.66GHz
Hp Proliant
Dl380 G5
PROEXSI Servidor Cartografa 1 Intel Xeon CPU 3,25 GB 280 GB
E5430-
2.66GHz
Dell Dimensin
OFPA Sal y Cubos Olap. 1
5150
1GB 80GB
Intel Pentium 4
CPU-3.40GHz
lenovo
HUELLA Produccin. 1
Intel Pentium
1GB 80GB
Dual CPU
E2160-1.8GHz
El alcalde en su respuesta, seala que el
municipio cuenta con un plan de recuperacin de desastres formal, el que est
establecido en las bases de licitacin del servicio, en la oferta del oferente adjudicado
y materializado con la aplicacin de los procedimientos definidos a travs de un
"Remote Database Backup", RDB, el cual consiste en :
Tener replicada una base de datos DMS-II, desde un Host Primario modelo
Libra 400 ubicado en Avda. Presidente Riesco N 246, hacia un Host
Secundario modelo Libra 590 ubicado en Moneda N 1.040).
la transferencia y actualizacin de datos entre ambos Host se realiza online, la
cual es realizada por una lnea privada de datos.
De acuerdo a lo anterior, corresponde
levantar la observacin formulada, toda vez que el municipio cuenta con
procedimientos establecidos en caso de contingencias y plan de recuperacin de
desastres informticos.
4.- Proyectos establecidos implementados.
Actualmente el municipio cuenta con los
siguientes proyectos vigentes:
CONTRALORA GENERAL DE LA REPBLICA
DIVISiN DE MUNICIPALIDADES
SUBDIVISiN DE AUDITORA E INSPECCiN
REA AUDITORA 1
- 7-
a) Sistemas online.
El jefe de departamento de computacin e
informtica, mediante memorndum N 618, de 5 de octubre de 2010, inform sobre
los sistemas online y el uso de firma electrnica avanzada, en los siguientes trminos:
~ Renovacin de certificado SSL 128 bits con la empresa E-SIGN S.A.,
por un perodo de 2 aos para sitio web transaccional
www.lascondesonline.cl.
~ Aplicacin de firma electrnica avanzada con dispositivo
criptogrfico, E-Token adquirido a la empresa E-CERTCHILE, en
proceso de Declaracin de Capital 2010, para el departamento de
patentes municipales.
~ Aplicacin de firma electrnica avanzada dentro del proceso de venta
de los permisos de circulacin por Internet del municipio, contratado
a la empresa E-SIGN S.A., a objeto que el contribuyente pueda
obtener enforma automtica el permiso de circulacin desde su casa
u oficina, sin concurrir al municipio.
b) Infraestructura tecnolgica.
Redes
Se cuenta con una red basada en un par de
switch central 3Com modelo 4.800, que realiza las tareas de conmutacin a niveles 2
y 3 del modelo OSI. Estos equipos, as como la central telefnica IP, servidores y
dispositivos de red, estn alojados en un datacenter municipal, el que posee aire
acondicionado, alimentacin estabilizada por UPS y respaldo de energa con
generadores.
Asimismo, en estos switchs L3 estn
definidas vlans 802.1Q para datos y vlans 802.1Q para telefona, de tal forma que
ambos trficos se mantienen separados. Las vlans estn asociadas a interfaces IP
con direccionamiento privado en base a RFC1918 y el direccionamiento de los
clientes es fijo.
Adems, los servicios que se ejecutan sobre
la red son los de datos y adicionalmente los de telefona IP, para los cuales est el
trfico con "Diffserv Code Point" (DSCP). Los servicios de datos son bsicamente
Internet y aquellos que tienen relacin con los sistemas informticos propios del
municipio, los que residen en unequipo central Libra 400 de marca Unisys.
Telefona IP.
Durante el ao 2008, se llam a licitacin
pblica para contratar los servicios de arriendo de central telefnica y otros servicios
para el sistema de telefona de la Municipalidad de Las Condes, ID 2560-11014-LP08,
adjudicada a la empresa Sell Technologies S.A. A la fecha se dispone de 705
telfonos IP enfuncionamiento.
La referida central IP y el nmero telefnico
9507000 soportan el sistema de telefona de todas las unidades municipales
interconectadas en red, y distribuidas endistintos puntos de la comuna.
'l i J
IL'
CONTRALORA GENERAL DE LA REPBLICA
DIVISiN DE MUNICIPALIDADES
SUBDIVISiN DE AUDITORA E INSPECCiN
REA AUDITORA 1
-8-
Enlace de comunicaciones:
Para las dependencias menores el municipio
dispone de servicios ADSL contratados a la empresa GTD Manquehue S.A., o
Telefnica Empresas Chile S.A., para acceso a Internet en las oficinas municipales
que se indican:
~ Infocentro del Centro Comunitario Diaguitas, Diaguitas N 911.
~ Infocentro Centro Comunitrio Rotonda Atenas, Avda. Coln N7.385.
~ Infocentro, Circulo de Adultos Mayores El Canelo, Curaco N 1.886.
~ Centro Comunitario Padre Alberto Hurtado.
~ Centro de atencin integral al nio y su familia.
~ Casa Coln.
~ Casa de la Discapacidad.
~ Casa Orientacin Familiar, Camino el Alba SIN.
~ Oficina Canil, Avda. Fleming N 9.809.
~ Bodega Municipal, Andrs Bello N2.610.
~ Internet inalmbrico para y edificio Municipal, Avda. Apoquindo N 3.400.
~ Internet Inalmbrico para y edificio Municipal, Avda. Apoquindo N 3.300.
~ Oficina convenio Sil, Los Militares.
~ Parque Tenis El Alba.
~ Parque Araucano.
Por otra parte, se mencionan los servrcios
proporcionados por la empresa GTD Teleductos S.A.; en relacin a los servicios de
enlaces de comunicacin.
- Provisin de lneas de comunicacin a travs de enlaces de fibras pticas
dedicadas, que interconectan los distintos inmuebles municipales.
- Se cuenta con tres enlaces de fibra ptica para Internet, los cuales permiten
otorgar acceso a Internet a los funcionarios municipales, distribuidos por la red
LAN en distintas dependencias municipales; publicar www.lascondes.c1 en la
web; disponer servidores de correo electrnico y publicar
www.lascondesonline.c1 en la web.
El detalle de los enlaces de comunicaciones
de la Municipalidad de Las Condes se detalla en anexo N 3.
c) Mantenimiento:
Mediante memorndum N 1.725, de 27 de
septiembre de 2010, emitido por el jefe del departamento de administracin, ste
inform sobre las medidas de mantenimiento del equipamiento de la sala de
servidores, cuyo detalle es el siguiente:
Respecto al equipo de aire acondicionado de la sala
de servidores, se realizaron las mantenciones detalladas en cuadro que sigue:
CONTRALORA GENERAL DE LA REPBLICA
DIVISiN DE MUNICIPALIDADES
SUBDIVISiN DE AUDITORA E INSPECCiN
REA AUDITORA 1
- 9 -
Dependencia municipal Empresa Certificado Fecha
Edificio consistorial Interna Climatizacin & Certificados 15-09-2010
Multiservicios S.A.
Edificio direccin de Sistemas Trmicos Certificado de 15-08-2010
Trnsito Ltda. mantencin
preventiva
Edificio Centro Cvico Master Clima S.A. Declaracin jurada 07-09-2009
En relacin a la mantencin de los sistemas de
extincin y deteccin de incendios, ello se detalla enel cuadro siguiente:
Dependencia Empresa Certificado Fecha
Municipal
Edificio consistorial Ovalle y Compaa Certificado N632 11-11-2003
Ltda.
Edificio consistorial Ovalle y Compaa Certificado mantencin 15-09-2010
Ltda. preventiva
Edificio centro Polex Chile S.A. Declaracin jurada 07-09-2009
cvico
Edificios Comercial Espinoza Certificado tcnico 15-09-2010
municipales Polanco Ltda.
El detalle de las mantenciones de la
instalacin elctrica se describe a continuacin.
Dependencia Municipal Empresa Certificado Fecha
Edificio consistorial Empresa ETIC Declaracin jurada 10-12-2003
S.A. notarial.
Edificio centro cvico SEC Superintendencia de 04-09-2009
Electricidad y
Combustible TE1
11.- SOBRE CONTROL INTERNO, PROCESOS TI Y EL RIESGO DE FRAUDE.
1.- Control interno.
En relacin con la toma de decisiones
respecto de las polticas de sistemas e inversin de equipamiento, sta se lleva a
cabo por personal no capacitado en informtica.
Por otra parte, dentro del departamento de
computacin e informtica no se manejan matrices de control, que consideren el
anlisis de acceso fsico a instalaciones y lgico de los sistemas.
No se han practicado revisiones programadas
y auditoras internas con un enfoque a las TI, lo que provoca la ausencia de informes
sobre el estado de la plataforma de hardware y software, revelando la falta de
planificacin que actualmente mantiene ese departamento en esta rea de operacin.
A modo de ejemplo, se puede citar que no
existen polticas de rotacin de equipos de acuerdo a su potencialidad y carga de
i
,r;)~
leJ
al
CONTRALORA GENERAL DE LA REPBLICA
DIVISiN DE MUNICIPALIDADES
SUBDIVISiN DE AUDITORA E INSPECCiN
REA AUDITORA 1
- 10 -
procesos informticos, asmusmo, no se realiza una evaluacin relacionada con la
criticidad de stos, con el fin de asegurar su funcionamiento continuo.
En relacin con los prrafos precedentes, el
jefe del departamento de computacin e informtica inform que se haba realizado
una auditora al actual funcionamiento del servidor central Libra 400, por la empresa
Unisys S.A., determinando que su capacidad no es suficiente para atender la
demanda en momentos peak, que el encolamiento de tareas se presenta por sobre el
mximo aceptable, que la memoria asignada a la base de datos resulta insuficiente y
que en los momentos peak de procesamiento no hay reserva tcnica para
emergencias.
Mediante decreto alcaldicio seccin 1
a
N 1.778, de 11 de mayo de 2005, se aprob el reglamento de organizacin interna de
funcionamiento de la Municipalidad de Las Condes, modificado por decreto seccin
1
a
N 2.683, de 12 de julio de 2006, que regula el funcionamiento de cada una de las
unidades involucradas en la gestin municipal.
El reglamento sealado, en su ttulo 1, seccin
cuarta, indica las funciones del departamento de computacin e informtica,
relacionadas con el estudio, evaluacin y proposicin de nuevas tecnologas,
proyectos informticos y desarrollo, a fin de optimizar la gestin administrativa del
municipio y los servicios informticos, dichas funciones se encuentran detalladas en
anexo N4.
Respecto de las polticas de sistemas e
inversin de equipamiento, el alcalde en su respuesta seala que el fundamento de
los proyectos informticos, as como de los riesgos y factibilidades tcnicas para
contratar nuevos servicios en tecnologas de informacin, es elaborado por los
profesionales que se desempean en el departamento de computacin e informtica,
agregando que se cuenta con la asesora de la empresa Solnet S.A., la que presta
ayuda en el mejoramiento continuo de los sistemas y migracin de la plataforma
tecnolg ica.
Respecto de lo expresado en el prrafo
precedente, corresponde mantener la observacin formulada sobre la materia, dado
que el profesional a cargo del departamento de computacin e informtica no cuenta
con la calificacin tcnica necesaria, dado su ttulo de ingeniero comercial, profesin
no relacionada especficamente con las labores propias del encargado de los
sistemas de informacin del municipio. Cabe sealar, que el departamento se
encuentra conformado, adems, por cuatro profesionales del rea de sistemas,
quienes en su conjunto elaboran las tareas de dicho departamento, sin embargo, las
decisiones y responsabilidades pertinentes recaen en el encargado sealado
anteriormente.
En cuanto a la inexistencia de matrices de
control, la autoridad, en su respuesta expone que el departamento sealado cuenta
con una matriz de riesgos, elaborada con informacin estadstica histrica del rea
informtica, ajustada a valorizacin de la infraestructura de TI actual del municipio, por
lo que procede levantar la observacin.
Adicionalmente, en relacin a la falta de
revisiones programadas y auditoras con un enfoque a las TI, el alcalde informa que
se hanefectuado las siguientes fiscalizaciones:
CONTRALORA GENERAL DE LA REPBLICA
DIVISiN DE MUNICIPALIDADES
SUBDIVISiN DE AUDITORA E INSPECCiN
REA AUDITORA 1
- 11 -
Revisin funcionamiento del servidor central Libra 400, realizado por la
empresa Unisys S.A.
Estudio de utilizacin de los sistemas computacionales que apoyan la gestin
de las direcciones municipales, realizado por DICTUC.
Estudio de los sistemas de informacin, para la generacin de indicadores de
toma de decisiones, realizado por la empresa Solnet S.A.
Analizada la respuesta del alcalde,
corresponde levantar la observacin formulada, excepto lo referido a la ausencia de
revisiones programadas, toda vez que stas no han sido efectuadas. Cabe sealar
que estas revisiones corresponden a chequeos realizados de acuerdo a una
planificacin de medidas preventivas en forma peridica, acciones que no se advierte
hayan sido efectuadas por el municipio. En efecto, la autoridad indica que se
desarroll una auditora por la empresa Unisys S.A., la cual tuvo como objeto revisar
el funcionamiento del servidor central Libra 400, sin embargo, dicha revisin no tiene
relacin con lo observado, respecto a las revisiones programadas de la plataforma de
software y hardware.
2.- Riesgos asociados a TI.
Segn los datos levantados, se consideraron
los siguientes riesgos asociados a los procesos de TI municipales:
a) Obtencin y/o renovacin de permiso de circulacin sin ingreso y/o
acreditacin fsica y online de datos sobre propietario, placa patente nica,
seguro obligatorio, revisin tcnica y multas impagas.
b) Obtencin y/o renovacin de patente municipal sin ingreso y/o acreditacin
de datos de contribuyente, propiedad, sucursales y datos del Servicio de
Impuestos Internos.
e) Emisin de decretos de pago sin registrar datos y/o sin comprobantes.
d) Decretos de pago imputados a cuentas presupuestarias que no
corresponden.
e) Emisin de cheque individual sin consultar datos en sistema de contabilidad
gubernamental.
f) Recepcin de pagos con clculo de intereses y multas fuera del perodo.
111.- REVISiN DE CONTRATOS VIGENTES ASOCIADOS A TI.
Los contratos suscritos por la Municipalidad
de Las Condes en el mbito de TI son operados por las empresas Adexus S.A.,
Asesora y Capacitacin Technotronic Ltda., Bell Technologies S.A., DirectTV Chile
Televisin Ltda., Elas J uri Clavera, E-Sign S.A., GTD Teleductos S.A., Ingeniera y
Procesos Electrnicos Contables S.A., Legal Publishing Chile Ltda., Servicio de
Registro Civil e Identificacin, Sociedad de Inversiones Unga S.A. y Tecnodisk
Servicio de Computacin Ltda.
CONTRALORA GENERAL DE LA REPBLICA
DIVISiN DE MUNICIPALIDADES
SUBDIVISiN DE AUDITORA E INSPECCiN
REA AUDITORA 1
- 12 -
Tales contratos, en el perodo en examen,
estn normados tcnicamente y en funcionamiento, realizndose anlisis y pruebas
de validacin de integridad de datos a registros de procesos crticos, evaluacin de
disponibilidad, tiempos de respuesta y reportes de salida.
En cuanto a los aspectos administrativos, es
necesario sealar lo siguiente:
1.- ADEXUS S.A.
Mediante decreto alcaldicio seccin 1a
N 2.410, de 12 de mayo de 2009, se adjudic a la empresa ADEXUS S.A., previa
licitacin pblica, ID N 2560-18-LP09, la prestacin del "Servicio de centros de
impresin multifuncionales y fotocopiado de planos para las unidades de la
Municipalidad de Las Condes", y sus modificaciones, que se indican en cuadro
adjunto.
N
decreto
alcaldicio
Servicio
Valor
mensual
s IVA
Fecha
Servicio original
2.410
12-05-2009 144,822
Incorpora 5 nuevas impresoras
multifuncionales marca Samsung,
modelo 6545N, establecindose un valor
unitario mensual es de 1,53 UF ms IVA,
lo anterior rige desde el 1 de marzo de
2010.
951 18-02-2010 7,650
Traspasa la supervisin del servicio al
departamento de administracin,
dependiente de la direccin de
administracin y finanzas.
1.252 19-03-2010 o
Incorpora urna impresora multifuncional
marca Samsung, modelo 6545N.
1.441
01-04-2010 1,530
Total 154,002
La vigencia del contrato es a contar de la
fecha de puesta en funcionamiento del servicio en su totalidad, por un perodo de 36
meses.
El costo fijo mensual asciende a 154,002 UF
ms IVA, ms un costo variable mensual de 0,052466 UF, que se detalla en cuadro
siguiente:
Servicio Costo unitario UF ms IVA
Impresin en blanco y negro 0,00017
Impresin a color 0,00158
Metro lineal de fotocopiado de planos 0,052466
CONTRALORA GENERAL DE LA REPBLICA
DIVISiN DE MUNICIPALIDADES
SUBDIVISiN DE AUDITORA E INSPECCiN
REA AUDITORA 1
- 13 -
Para el fiel cumplimiento del servicio se hizo
entrega de una boleta de garanta N 1144632, del Banco Internacional, por un monto
de $23.000.000.-, con vencimiento al 5 de octubre de 2011.
Durante el perodo en estudio el municipio no
ha realizado desembolsos por el contrato en referencia.
El contrato no considera clusulas sobre
operaciones orientadas a:
Asesora tcnica a proporcionar.
Planes de contingencia encaso de fallas enequipamiento.
Especificaciones de los detalles tcnicos por servicios entregados.
2.- Asesoras y Capacitacin Tecnotronic Ltda.
Mediante decreto alcaldicio seccin 1a
N 1.878, de 15 de abril de 2010, se contrat va trato directo, ID N 2345-1584-SE10,
a la empresa Asesoras y Capacitacin Tecnotronic Ltda., para la prestacin del
servicio de instalacin de switches centrales de respaldo en la sala de computacin
ubicada en Avda. Presidente Riesco N 5.296, Y sala de telefona, ubicada en piso 8
del edificio municipal ubicado en Avda. Apoquindo N 3.400, con una vigencia de 90
das a partir de la fecha de notificacin del decreto alcaldicio. El valor total del servicio
asciende a 87,79 UF IVA incluido.
El decreto alcaldicio invoca la causal de trato
directo contenida en el N 7, letras f) y g), del artculo 10 del decreto 250, de 2004, del
Ministerio de Hacienda, esto es, que segn la magnitud e importancia que implica la
contratacin se haga indispensable recurrir a un proveedor determinado en razn de
la confianza y seguridad que se derivan de su experiencia comprobada en la provisin
de los bienes o servicios requeridos, y siempre que se estime fundadamente que no
existen otros proveedores que otorguen esa seguridad y confianza, como asimismo,
cuando se trate de la reposicin o complementacin de equipamiento o servicios
accesorios, que deben necesariamente ser compatibles con los modelos, sistemas o
infraestructura previamente adquirida por la respectiva entidad, respectivamente,
siendo publicado enel portal mercadopblico.
Para el fiel cumplimiento del servicio, la
empresa deba hacer entrega de una boleta de garanta o vale vista a nombre de la
municipalidad, por un monto equivalente al 10% del valor total del contrato, con una
vigencia igual a la del contrato ms 30 das, documento que no fue proporcionado por
el municipio durante al auditora.
Sobre lo anterior, el alcalde en su respuesta,
no adjunta la boleta de garanta respectiva, por lo que se mantiene la observacin.
Durante el perodo en estudio el municipio no
ha realizado desembolsos por el servicio contratado.
En relacin al contrato, no se consideran
clusulas sobre operaciones orientadas a:
Fechas de facturacin de los servicios.
Especificaciones de valores y detalles tcnicos por servicios entregados.
Multas por fallas enel servicio.
CONTRALORA GENERAL DE LA REPBLICA
DIVISiN DE MUNICIPALIDADES
SUBDIVISiN DE AUDITORA E INSPECCiN
REA AUDITORA 1
- 14-
Asesora tcnica a proporcionar.
Plan de contingencia por siniestros fsicos.
3.- Bell Technologies S.A.
Mediante decreto alcaldicio seccin 1a
N 4.967, de 21 de noviembre de 2008, se adjudic a la empresa mencionada,
mediante licitacin pblica ID N 2560-11014-LP08, el servicio de "Arriendo de central
telefnica y otros servicios para el sistema de telefona de la Municipalidad de Las
Condes", con una vigencia por 48 meses, perodo que podra renovarse por nica vez
hasta por unmximo de 12 meses.
La prestacin adjudicada ha incorporado
sucesivas modificaciones, pagando la Municipalidad de Las Condes un valor mensual
ascendente a 234,42279 UTM, IVA incluido, cuyo detalle se indica a continuacin:
Valor
Ndecreto
Fecha Servicio
mensual
alcaldicio UTMIVA
incluido
4.967 21-11-2008 Servicio original 230,94121
Supervisin del
..
servrcio,
corresponder al departamento de
1.164 12-03-2010 administracin, dependiente de la O
direccin de administracin y
finanzas.
Incorpora 40 equipos telefnicos
marca Avaya, modelo 1608 tipo B
por un valor de 0,05326 UTM ms
2.332 20-05-2010 IVA; y 10 equipos telefnicos 3,48158
maraca Avaya modelo 9620 tipo A
por un valor de 0,07953 UTM ms
IVA.
Total 234,42279
Para el fiel cumplimiento del contrato, la
empresa citada hizo entrega de las boletas de garantas N 371860-2, por 700 UF, Y
N 371861-0, por 300 UF, por responsabilidad civil por daos a terceros, ambos
documentos del Banco de Chile, convencimiento al 21 de enero de 2013.
Durante el perodo en estudio el municipio ha
desembolsado la suma de $8.445.289.-, el detalle se seala en anexo N 5.1.
En relacin al contrato en comento, no se
consideran clusulas sobre operaciones orientadas a:
Plan de contingencia encaso de desastres y/o prdidas de las comunicaciones.
Fechas de facturacin de los servicios.
Especificaciones de valores y detalles tcnicos por servicios entregados.
Asesora tcnica a proporcionar.
CONTRALORA GENERAL DE LA REPBLICA
DIVISiN DE MUNICIPALIDADES
SUBDIVISiN DE AUDITORA E INSPECCiN
REA AUDITORA 1
-15 -
4.- DirectTV Chile Televisin Ltda.
Mediante decreto alcaldicio seccin 1a
N 862, de 23 de febrero de 2005, fue formalizado el contrato entre esa entidad
municipal y la empresa Sky Chile Televisin Directa al Hogar Limitada y Compaa en
Comandita por Acciones, hoy DirectTV Chile Televisin Ltda., para la prestacin del
servicio de televisin satelital enel edificio municipal, establecindose una vigencia de
unao, pudiendo renovarse automticamente por perodos iguales de 6 meses.
Sobre el particular, cabe sealar que, el
servicio fue contratado va trato directo, no aduciendo una causal legal o
reglamentaria para recurrir a tal modalidad excepcional de contratacin.
Adems, el decreto alcaldicio ya indicado, no
fue publicado en portal www.mercadopublico.c1. de acuerdo a las verificaciones
efectuadas. Consultado al respecto al jefe de computacin e informtica, ste seal
mediante correo electrnico de 10 de noviembre de 2010, que a la fecha del citado
documento, que corresponde al 23 de enero de 2005, no era requisito de la Ley de
Transparencia realizar dicha publicacin.
Sobre lo anterior, resulta del caso precisar
que la obligacin de que se trata no encuentra su origen en el cuerpo legal sealado
por el aludido funcionario, sino en los artculos 18,19 Y 20 de la ley N 19.886, de
Bases sobre Contratos Administrativos de Suministro y Prestacin de Servicios, y su
reglamento, contenido en decreto N 250 de 2004, del Ministerio de Hacienda, que
exigen la concurrencia de una causal legal para la realizacin de contrataciones va
trato directo, y que ello se apruebe mediante resolucin fundada, que debe publicarse
en el portal de compras pblicas, segn los artculos 8 de la ley y 10, 49, 50 Y 57,
letra d) de su reglamento.
En todo caso, si la explicacin del aludido
funcionario se refiriera a la entrada en vigencia plena del sistema de informacin de la
ley de compras pblicas, debe precisarse que ello se produjo el 1 de enero de 2005,
conforme los decretos Ns 1.179, de 2003, y 638, de 2004, ambos del Ministerio de
Hacienda, a travs de los cuales se estableci el calendario de incorporacin gradual
de las municipalidades al sistema de informacin, de modo tal que, al momento de
suscribirse el contrato impugnado -23 de febrero de 2005- la Municipalidad de Las
Condes se encontraba en la obligacin de dictar una resolucin fundada y publicarla
en el portal.
Respecto del fiel cumplimiento del contrato,
no se encuentra estipulada la entrega de algn documento de resguardo.
En su respuesta, el edil seala que se
proceder, durante el ao 2011, a efectuar una licitacin del servicio de TV cable, para
efectos de regularizar la falta de razones fundadas para la contratacin directa del
servicio.
Sobre la falta de estipulacin de garantas en
el contrato precedentemente sealado, el edil no se pronuncia.
Al respecto, se levanta la observacin, en el
entendido que el municipio efectivamente licitar los servicios de que se trata durante
~ 2011, lo que ser verificado enfuturas fiscalizaciones.
CONTRALORA GENERAL DE LA REPBLICA
DIVISiN DE MUNICIPALIDADES
SUBDIVISiN DE AUDITORA E INSPECCiN
REA AUDITORA 1
- 16 -
El contrato ha sufrido sucesivas
modificaciones, cuyo detalle se indica a continuacin, debiendo pagar la Municipalidad
de Las Condes unvalor mensual ascendente a $180.500.-.
Valor
Ndecreto
Fecha Servicio
mensual $
alcaldicio IVA
incluido
862 23-02-2005 Contrato original. 76.000
Establecer que la empresa con la que se
2.540 27-06-2006 suscribi el contrato es DirectTV Chile O
TelevisinLtda.
Incorpora servicio de televisin satelital a
4.967 26-12-2007
los departamentos de seguridad ciudadana
73.000
y emergencia, y en el nuevo edificio de
centro comunitario Padre Hurtado.
Incorporael servicio detelevisinsatelital al
964 18-02-2010 departamentode deportes eventos y 31.500
recreacin.
Total 180.500
Durante el perodo en revisten esa entidad
comunal desembols la suma de $39.050.-, por los servicios prestados, de acuerdo a
los antecedentes puestos a disposicin por esa corporacin en el transcurso de la
visita. Ver anexo N 5.2.
En relacin al contrato y sus modificaciones
posteriores, no se consideran clusulas sobre operaciones orientadas a:
Fecha de facturacin de los servicios.
Especificaciones de valores y detalles tcnicos por servicios entregados.
Multas por fallas.
Asesora tcnica a proporcionar.
5.- Elas J uri Clavera
Con fecha 8 de abril de 1997, esa entidad
comunal celebr con don Elas J uri Clavera un contrato para la entrega de servicios
de acceso, informacin, atencin, diseo de pginas Web y servicios virtuales de
Internet, acto formalizado por decreto alcaldicio seccin 1
a
N 753, de 14 de abril de
1997, con una duracin de 2 aos contados desde la fecha de inicio, siendo renovado
tcita y automticamente por perodos iguales y sucesivos de dos aos, y cuyo pago
mensual asciende a $950.000.- ms IVA.
Posteriormente, con fecha 1 de octubre de
2003, el contrato fue modificado y ampliado en lo que respecta a otorgar al municipio
el servicio de asistencia periodstica, a travs de un profesional del rea, para el
diseo de una pgina Web, y de unadministrador de correos electrnicos corporativos
y administracin de base de datos, lo que fue aprobado por decreto alcaldicio seccin
CONTRALORA GENERAL DE LA REPBLICA
DIVISiN DE MUNICIPALIDADES
SUBDIVISiN DE AUDITORA E INSPECCiN
REA AUDITORA 1
- 17 -
1
a
N 2.787, de 13 de octubre de 2003, fijndose un honorario mensual de
$2.027.653.-.
Para el fiel cumplimiento del contrato, don
Elas J uri Clavera deba hacer entrega de una boleta de garanta o vale vista por un
monto de 130 UF, con una vigencia igual al plazo que reste de la prrroga
actualmente vigente del contrato, ms 30 das.
La supervisin del contrato corresponde al
departamento de informtica, unidad que tiene a cargo la supervisin tcnica y
administrativa en lo que dice relacin con la visacin de los pagos a efectuar al
contratista.
Con fecha 1 de febrero de 2010, la
Municipalidad de Las Condes modific el contrato en referencia, establecindose que
el valor mensual de los servicios contratados asciende a $2.511.731.-, ms IVA, acto
que fue formalizado por decreto alcaldicio seccin 1a N 1.337, de 25 de marzo de
2010.
Para garantizar el fiel y oportuno
cumplimiento del contrato, el seor J uri Clavera hizo entrega de una boleta de
garanta bancaria N 060017-7, del Banco de Chile, por 140 UF, a nombre de la
municipalidad, confecha de vencimiento el 21 de mayo de 2012.
En el perodo bajo examen, esa entidad ha
desembolsado la suma $17.481.673.-, por los servicios recibidos, ver anexo N 5.3.
En relacin al contrato y sus modificaciones,
no se consideran clusulas sobre operaciones orientadas a:
Plan de contingencia para accesos indebidos y lgicos.
Cumplimiento de normativa gubernamental respecto a publicacin, uso y
administracin de la informacin municipal.
Disposiciones para informar, notificar e investigar los incidentes y las
violaciones a la seguridad a travs del sitio Web.
Especificaciones de valores y detalles tcnicos por servicios entregados.
Asesora tcnica a proporcionar.
Confidencialidad de la informacin municipal.
6.- E-Sign S.A.
Mediante decreto alcaldicio seccin 1a
N 2.408, de 26 de mayo de 2010, esa entidad comunal contrat a la empresa citada,
la adquisicin de software de firma electrnica y el servicio denominado "Emisin de
certificados electrnicos para permisos de circulacin de la Municipalidad de Las
Condes", con vigencia hasta el 31 de diciembre de 2010.
El servicio fue adquirido mediante trato
directo, invocando el artculo 10 N 7 letra g), del decreto 250 de 2004 del Ministerio
de Hacienda, en el cual autoriza dicha modalidad "Cuando se trate de la reposicin o
complementacin de equipamiento o servicios accesorios, que deben necesariamente
ser compatibles con los modelos, sistemas o infraestructura previamente adquirida por
la respectiva entidad", asimismo, se dict la respectiva resolucin fundada, la cual fue
publicada en el portal www.mercadopblico.cl. mediante orden de compra
CONTRALORA GENERAL DE LA REPBLICA
DIVISiN DE MUNICIPALIDADES
SUBDIVISiN DE AUDITORA E INSPECCiN
REA AUDITORA 1
-18 -
.li)
L
N 2345-1584-SE10. Sobre el particular, no se determinaron observaciones que
formular en la materia examinada.
La prestacin sealada comprende
configuracin de implementacin e integracin de plataforma, as como la firma
electrnica de documentos correspondientes al tramo 501-1.000 mensual. A
continuacin, se indica los costos de servicios y adicionales:
Servicio Valor
Incorporacin de software de firma 165 UF ms IVA por una sola
electrnica vez.
Servicio de firma electrnica correspondiente 15,71 UF ms IVA.
al tramo 501-1.000
Costo por superar las 1.000 unidades 0,0157 UF ms IVA por cada
firma electrnica adicional.
Para el fiel cumplimiento de la ejecucin de
los servicios, la empresa hizo entrega de la boleta de garanta N 272897, del Banco
Security por $ 813.468.-, con vencimiento al 28 de febrero de 2011, sin embargo,
dicho documento no dice relacin con lo establecido en el decreto alcaldicio ya citado,
toda vez que el valor de la boleta de garanta debiera ser el equivalente en UF, y no
valorizada en pesos, como ocurre en la especie.
La autoridad edilicia en su respuesta no
adjunta antecedentes que permitan salvar lo observado respecto de la garanta
sealada anteriormente, por lo que procede mantener dicha objecin.
Durante el perodo en estudio el municipio no
ha realizado desembolsos por estos servicios.
En relacin con el contrato analizado, no se
consideran clusulas sobre operaciones orientadas a:
Especificaciones de los detalles tcnicos por servicios entregados.
Asesora tcnica a proporcionar.
Fecha de inicio del contrato.
Multas por fallas enel servicio entregado.
Plan de contingencias para siniestros fsicos y lgicos.
7.- GTD Teleductos S.A.
a) Servicio de instalacin de acceso Frame Relay digital a 128 Kbps
Confecha 14 de febrero de 1996, esa entidad
edilicia suscribi con la empresa Teleductos S.A., hoy GTD Teleductos S.A., un
contrato por el servicio de instalacin de acceso Frame Relay digital a 128 Kbps,
equipado con elemento terminal de comunicacin y router interfaz usuario RJ -45 en
Avda. Presidente Riesco N 5.296, con los siguientes puntos: "Isidora Goyenechea
N 3.372, Avda. Apoquindo N 3.384, Avda. Apoquindo N 3.300, Avda. Apoquindo
N 3.401 Y Callao N2.928".
Dicho contrato fue sancionado mediante
decreto alcaldicio seccin 1
a
N 502, de 8 de marzo de 1996, con una duracin de 3
aos a contar de la fecha de suscripcin, pudiendo ser renovado por perodos iguales
y sucesivos de unao.
CONTRALORA GENERAL DE LA REPBLICA
DIVISiN DE MUNICIPALIDADES
SUBDIVISiN DE AUDITORA E INSPECCiN
REA AUDITORA 1
- 19 -
El valor inicial a pagar por los servrcros
contratados ascenda a 70 UF ms IVA por la instalacin, monto que se pag por una
sola vez, y 48,5 UF ms IVA mensual por el arriendo y mantencin de las cinco lneas.
Durante el perodo en estudio, esa entidad
comunal ha desembolsado la suma de $57.562.750.-, ver anexo N 5.4.
Para el fiel cumplimiento del contrato y la
ejecucin de los servicios, la empresa hizo entrega la boleta de garanta N 256126,
del Banco Security, por 14,28 UF, con vencimiento al 30 de septiembre 2010,
documento renovado por boleta de garanta N 280610, de 30 de septiembre de 2010,
del mismo banco, por 14,28 UF, con vencimiento al 30 de noviembre de 2011.
El contrato citado ha sido modificado en
diversas oportunidades, incorporndose nuevos servicios y modificndose el valor
mensual a pagar. En efecto, el valor a pagar por los servicios contratados por la
Municipalidad de Las Condes asciende a 365,63 UF ms IVA. Ver anexo N 6.1.
b) Servicio de traslado, instalacin y puesta en marcha del enlace de fibra
ptica para redes de computacin endependencias municipales
Mediante decreto alcaldicio seccin
1a N 3.198, de 9 de julio de 2008, se contrat con la empresa ya citada, va trato
directo, el servicio de traslado, instalacin y puesta en marcha del enlace de fibra
ptica para redes de computacin endependencias municipales, segn se indica:
Ubicacin actual Ubicacin traslado
Conexin Origen Conexin de destino Conexin Origen
Conexin de
destino
Avda. Cristbal
Avda. Alexander
Avda. Cristbal Avda. Padre
Coln N 9.331
Fleming
Coln N 9.331 Hurtado N 1.155
N 9.601
La duracin del servicio tuvo una vigencia de
15 das, contados desde la notificacin del decreto alcaldicio y un valor total de 11,9
UF IVA incluido, no encontrndose ste vigente a la fecha.
La Municipalidad de Las Condes no puso a
disposicin de esta Contralora General la boleta de garanta por fiel cumplimiento del
servicio.
En su respuesta, la autoridad comunal no
adjunta los antecedentes relacionados con la boleta de garanta, por lo que procede
mantener la observacin.
En relacin a los contratos referidos no se
consider clusulas sobre operaciones orientadas a:
Planes de contingencia encaso de desastres fsicos.
Multas por fallas enel servicio entregado.
Asesora tcnica a proporcionar.
Fecha de facturacin del servicio.
Especificaciones de los detalles tcnicos por servicios entregados.
Disposiciones para informar, notificar e investigar los incidentes y las
violaciones a la seguridad.
CONTRALORA GENERAL DE LA REPBLICA
DIVISiN DE MUNICIPALIDADES
SUBDIVISiN DE AUDITORA E INSPECCiN
REA AUDITORA 1
- 20-
8.- Ingeniera y Procesos Electrnicos Contables S.A.
a) Desarrollo de sistemas administrativos
Mediante decreto alcaldicio seccin
1
a
N 1.467, de 23 de octubre de 1987, se adjudic a la empresa Proexsi Ltda. la
propuesta pblica denominada sistema computacional integral bajo la modalidad "In
house service", para el desarrollo de los sistemas que se indican, con un valor
mensual de 842 UF IVA incluido, ms 5.627 UF, IVA incluido, por el perodo de
renovacin de permisos de circulacin, y con vigencia de 3 aos, renovable por
perodos sucesivos de 2 aos.
El contrato en anlisis est compuesto de dos
etapas, la primera comprende remuneraciones personal municipal, personal PEM,
personal POJ H, registro comunal permisos de circulacin, licencias de conducir,
patentes comerciales, control de bienes, adquisiciones y control de bodega; y,
contabilidad gubernamental (contabilidad de caja, contabilidad central y contabilidad
presupuestaria). La segunda etapa comprende contabilidad gubernamental
(conciliacin bancaria, anlisis contable, anlisis de gestin y anlisis de gastos),
banco de datos sociales, banco de datos propiedades comunales y organizaciones
comunitarias.
La prestacin de los servicios se encuentra
respaldada mediante boleta de garanta N 18737 de Banco Santander Chile, por
1.296,1242 UF, con vencimiento el 29 de junio de 2011.
La prestacin adjudicada ha incorporado
sucesivas modificaciones, las que se detallan en anexo N 6.2, siendo las ltimas las
siguientes:
Con fecha 29 de mayo de 2007, mediante decreto alcaldicio seccin
1
a
N 2.548, se estableci los valores unitarios mensuales a cobrar por los
servicios contratados, los que seran los siguientes:
Servicio computacional UF mensual ms IVA
Remuneraciones 54,25
Reqistro comunal permisos de circulacin 173,84
Licencias de conducir 56,58
Patentes municipales 10,50
Control de bienes 14,00
Adquisicin y control de bodegas 23,33
Contabilidad gubernamental 104,41
Banco de datos propiedades comunales 28,58
Oficina de partes 52,19
J uzgados de polica local 20,00
Administracin red departamento de licencias de conducir 60,00
Administracin red departamento de J uzgados de Polica
Local 80,00
Partes empadronados departamento de seguridad ciudadana 45,00
Administracin red departamento de patentes municipales y
tesorera 50,00
Administracin red del departamento de seguridad ciudadana 70,00
CONTRALORA GENERAL DE LA REPBLICA
DIVISiN DE MUNICIPALIDADES
SUBDIVISiN DE AUDITORA E INSPECCiN
REA AUDITORA 1
- 21 -
Administracin de direccin de obras municipales 65,00
Administracin de sistemas de egresos, recursos humanos y
remuneraciones 70,00
Administracin de sistemas de desarrollo comunitario 70,00
Sistemas computacionales por Internet y sistema social 41,50
Total 1.089,18
Mediante decreto alcaldicio seccin 1
a
N 3.049, de 27 de junio de 2008, se
agregan los servicios siguientes:
Servicio computacional Valor UF
Extensin horaria por la operacin, administracin y 1,25 ms IVA por
mantencin de los sistemas computacionales. hora
Administracin de sistema computacional para permisos de
circulacin durante los das no hbiles de marzo y primera 89 ms IVA por el
semana de abril. perodo.
Mantencin y administracin de cartografa digital. 80 ms IVA por mes.
Con fecha 17 de febrero de 2010, mediante decreto alcaldicio seccin 1
a
N 947, fue incorporado el servicio de desarrollo de sistema computacional de
la primera etapa de permisos de circulacin online, por unvalor de 119 UF, IVA
incluido, con una duracin de 30 das hbiles a contar de la fecha de firma del
decreto respectivo.
Para el fiel cumplimiento del servicio, la
empresa hizo entrega de la boleta de garanta N 183961, del Banco Santander Chile,
por 11,9 UF, con vencimiento el 30 de septiembre de 2010.
Mediante decreto alcaldicio seccin 1
a
N 1.119, de 8 de marzo de 2010, se
incorpor la mantencin y adecuacin del sistema de patentes comerciales
para emitir certificados de inversiones, solicitud de rebaja y certificado de
distribucin de capital propio va Internet, cuyo valor ascendi a 471,24 UF IVA
incluido, con una vigencia desde la fecha de suscripcin hasta el 15 de abril de
2010.
Para el fiel cumplimiento del servicio la
empresa hizo entrega de la boleta de garanta N 15626, del Banco Santander Chile,
por unmonto de 118 UF, con vencimiento el20 de junio de 2010.
La Municipalidad de Las Condes paga por los
servicios contratados un valor mensual ascendente a 1.169,18 UF ms IVA, ms los
costos variables por servicio de extensin horaria de las operaciones, cuyo detalle se
indica a continuacin:
Valor mensual:
Concepto UF mensual ms IVA
Servicio computacional decreto alcaldicio seccin 1
a
N2.548 1.089,18
Mantencin y administracin de cartografa digital. 80,00
Total 1.169,18
CONTRALORA GENERAL DE LA REPBLICA
DIVISiN DE MUNICIPALIDADES
SUBDIVISiN DE AUDITORA E INSPECCiN
REA AUDITORA 1
- 22-
Valor variable
Concepto UF mensual ms IVA por hora
Extensin horaria por la operacin, administracin y
mantencin de los sistemas computacionales 1,25
Total 1,25
b) Adquisicin o arriendo de equipo central y otros servicios o arriendo de Datacenter
con equipo central y otros servicios para la Municipalidad de Las Condes
Mediante decreto alcaldicio seccin 1
a
N 3.967, de 3 de septiembre de 2008, se adjudic la propuesta pblica, ID N 2560-
16-LP08, a la empresa Ingeniera y Procesos Contables Ltda., por el servicio
denominado "Adquisicin o arriendo de equipo central y otros servicios o arriendo de
Datacenter con equipo central y otros servicios para la Municipalidad de Las Condes",
con un plazo de vigencia de 48 meses contados desde la notificacin del decreto
alcaldicio, sin embargo, se indica que previo acuerdo del concejo municipal podr
renovarse por nica vez hasta por unperodo de 12 meses.
El valor de los servicios asciende a la suma
mensual equivalente en pesos a 276,71679 UTM, ms IVA.
Mediante boleta de garanta N 10780, del
Banco Santander Chile, por 600 UF Y con vencimiento el 30 de noviembre de 2010, se
respalda el fiel cumplimiento del servicio. Sin embargo, el contrato indica que dicha
boleta tendr una vigencia por la totalidad del acuerdo, ms 60 das, lo que debera
vencer en noviembre de 2012.
Sobre el particular, la autoridad no se
pronuncia, por lo que se mantiene la observacin.
Durante el perodo en estudio, el municipio ha
desembolsado por los servicios sealados en las letras a) y b), la suma de
$334.456.920.-, ver anexo N 5.5.
En relacin a los servicios contratados y sus
posteriores modificaciones, no se consideran clusulas sobre operaciones orientadas
a:
Controles para asegurar la proteccin contra software malicioso.
Procedimientos para determinar si ha ocurrido algn compromiso en los datos
municipales.
Plan de contingencia para accesos indebidos, siniestros fsicos y lgicos.
Restricciones de copiado y divulgacin de informacin municipal.
Confidencialidad de la informacin municipal.
Devolucin o destruccin de la informacin y bienes, amparado por las
regulaciones legales y trmino de la relacin contractual.
Posibilidad de auditar mdulos del sistema administrativo municipal y los datos.
En relacin a la ausencia de las clusulas
detalladas anteriormente, el alcalde en su respuesta indica algunas acciones
realizadas por el municipio en ste mbito, tales como uso de antivirus en servidores,
firewa11 y equipo Proxy para control de contenido web, almacenamiento de
transacciones en lnea en dos pares de discos, migracin de datos auditoras a
mdulos, sin embargo, no seala si se proceder a incluir tales exigencias en las
bases de futuras licitaciones de los servicios.
CONTRALORA GENERAL DE LA REPBLICA
DIVISiN DE MUNICIPALIDADES
SUBDIVISiN DE AUDITORA E INSPECCiN
REA AUDITORA 1
- 23 -
9.- Legal Publishing Chile Ltda.
Mediante decreto alcaldicio seccin
1aN 2058, de 28 de mayo de 2004, se aprob el contrato celebrado con la empresa
LexisNexis Chile Ltda., hoy Legal Publishing Chile Ltda., para el otorgamiento del
servicio denominado "Suscripcin a unservicio de consulta va online para el producto
Full Legal", con una duracin de 6 meses desde el 1 de julio de 2004, renovable por
perodos sucesivos de 1 ao. El valor mensual asciende a $237.851.-, IVA incluido.
En relacin al servrcio mencionado
anteriormente, este fue contratado mediante trato directo, no aducindose causal legal
o reglamentaria alguna, por lo mismo, no existe una resolucin fundada debidamente
publicada en el sistema de informacin de compras pblicas, infringiendo los artculos
8 de la ley N 19.886 Y 10, 49, 50 Y 57, letra d) de su reglamento.
La autoridad comunal en su respuesta indica
que se est evaluando si existen otras empresas en el mercado que presten los
mismos servicios, con el fin de realizar una licitacin durante el ao 2011.
Tomando en consideracin que la respuesta
slo alude a una eventualidad, no resuelta, procede mantener la observacin. Entodo
caso, cabe anotar que, de no haber otros oferentes, bien puede celebrarse un nuevo
trato directo, pero cumpliendo a cabalidad los requisitos legales y reglamentarios.
Para el fiel cumplimiento del contrato y la
ejecucin de los servicios, la empresa citada hizo entrega de la boleta de garanta
N 0194658, del Banco Santander Chile, por $ 142.711.-, con vencimiento al 29 de
diciembre de 2011.
Durante el perodo en estudio y, de acuerdo a
los antecedentes puestos a disposicin, el municipio no ha realizado desembolsos por
el contrato.
En relacin con este contrato, no se
consideran clusulas sobre operaciones orientadas a:
Asesora tcnica a proporcionar.
Multas por fallas enel servicio entregado.
Fechas de facturacin de los servicios.
10.- Servicio de Registro Civil e Identificacin.
Mediante decreto alcaldicio seccin 1a
N 1.929, de 4 de julio de 2000, se aprob el convenio denominado "Conectividad y
prestacin de servicios entre el Servicio de Registro Civil e Identificacin e Ilustre
Municipalidad de Las Condes", el cual fue celebrado confecha 11 de febrero de 2000.
Los servicios contratados corresponden a
conexin a la red corporativa llamada Red SRCel, la cual se realiza a travs de una
red pblica Frame Relay de la empresa Teleductos S.A., sin embargo, se podr
adoptar otro mecanismo de conectividad enel futuro.
Asimismo, se estableci que por los servicios
recibidos, se pagar por una sola vez una cuota de 20 UF ms IVA para conectar un
.~
1
CONTRALORA GENERAL DE LA REPBLICA
DIVISiN DE MUNICIPALIDADES
SUBDIVISiN DE AUDITORA E INSPECCiN
REA AUDITORA 1
- 24-
mximo de 3 unidades, y por cada unidad adicional la suma de 3 UF ms IVA, ms
una cuota mensual de 5 UF ms IVA por cada puesto de trabajo.
El convenio tiene una duracin indefinida
salvo que alguna de las partes exprese lo contrario con 90 das de anticipacin.
Durante el perodo en estudio el municipio ha
desembolsado pagos por el mencionado servicio por la suma de $ 1.497.897.-, ver
anexo N5.6.
11.- Sociedad de Inversiones Unga S.A.
Mediante decreto alcaldicio seccin 1
a
N 209
de 13 de enero de 2010, ID N2345-207-SE10, se autoriza la contratacin directa de
la empresa Sociedad de Inversiones Unga S.A., para prestar el servicio de
"Recaudacin y mantencin de sistema computacional de inventario de equipos y
bienes", instalado en departamento de administracin, por un valor mensual de 8 UF
ms IVA, y con una duracin hasta el 30 de noviembre de 2012, no especificando la
fecha de inicio.
El servicio fue adquirido mediante trato
directo, invocando el artculo 10 N 7, letra e), del decreto 250, de 2004, del Ministerio
de Hacienda, esto es, cuando la contratacin de que se trate slo pueda realizarse
con los proveedores que sean titulares de los respectivos derechos de propiedad
intelectual, industrial, licencias, patentes y otros, antecedentes que se consideran
suficientes para la adquisicin directa, asimismo, es del caso sealar que se dict
resolucin fundada, la cual fue publicada en el portal www.mercadopblico.cl.no
determinndose observaciones que formular en la materia examinada.
El presente contrato se encuentra respaldado
por la boleta de garanta N 145249, del Banco de Crdito e Inversiones, por 19,04
UF, con fecha de vencimiento al 31 de diciembre de 2012.
Por el contrato, el municipio ha efectuado
pagos por la suma $1.101.477.- durante el perodo revisado, ver anexo N 5.7.
En relacin a lo anterior, no se consideran
clusulas sobre operaciones orientadas a:
Especificaciones de los detalles tcnicos del servicio.
Fecha de inicio del contrato.
Asesora tcnica a proporcionar.
Multas por fallas en el servicio entregado.
Controles para asegurar la proteccin de la informacin, su respaldo y
administracin contra software malicioso.
Plan de contingencias para acceso indebido, siniestros fsicos y lgicos.
12.- Tecnodisk Servicio de Computacin Limitada.
Mediante decreto alcaldicio seccin 1a
N 4.532, de 16 de noviembre de 2009, se adjudic a la empresa Tecnodisk Servicio
de Computacin limitada, la licitacin pblica N 2560-53-LP09, para la "Adquisicin
de computadores personales para la Municipalidad de Las Condes", por un monto
total de $ 99.560.042.- IVA incluido, por la adquisicin de 141 computadores
CONTRALORA GENERAL DE LA REPBLICA
DIVISiN DE MUNICIPALIDADES
SUBDIVISiN DE AUDITORA E INSPECCiN
REA AUDITORA 1
- 25-
personales con licencia de Microsoft Office 2007, con una vigencia desde el 17 de
noviembre de 2009 hasta el31 de diciembre de 2010.
Para el fiel cumplimiento del contrato y la
ejecucin de los servicios, la empresa hizo entrega la boleta de garanta N 0356740,
del Banco de Crdito e Inversiones, por $ 5.000.000.-, con vencimiento al 31 de
diciembre de 2010.
Posteriormente, mediante decretos alcaldicios
seccin 1a Ns 189, de 12 de enero, y 4.028, de 13 de octubre, ambos de 2010, se
modific el acuerdo, segn detalle que se indica a continuacin:
Decreto Fecha Monto Cantidad Licencia Office
alcaldicio $ de equipos 2007
N
189 12.01.10 42.365.975
20
-V
40
...
4028 13.10.10 16.421.640 30 X
Durante el perodo en estudio el municipio no
ha realizado desembolsos en relacin con el contrato mencionado.
En el contrato no se consideran clusulas
sobre operaciones orientadas a:
Plan de contingencia en caso de desastres fsicos.
Asesora tcnica a proporcionar post-venta.
Especificaciones tcnicas de los bienes entregados.
En relacin con los contratos con las
empresas sealadas precedentemente, deben efectuarse los siguientes alcances:
a) Debido al alto nivel de especificacin
de las bases administrativas y tcnicas desarrolladas por el municipio para adquirir
servicios informticos, la cantidad de oferentes se reduce ostensiblemente,
prolongando el suministro de los servicios por parte de las mismas empresas
proveedoras.
b) Respecto de los contratos celebrados
con fecha anterior a la entrada en vigencia de la ley N 19.886, con la empresa
Ingeniera y Procesos Electrnicos Contables, ao 1987; GTD Teleductos S.A, ao
1996, y Elas J uri Clavera, ao 1997, cabe indicar que, si bien el artculo tercero
transitorio de la ley N 19.886, de Bases sobre Contratos Administrativos de
Suministro y Prestacin de Servicios, seala que los contratos administrativos que se
regulan en dicha ley y cuyas bases hayan sido aprobadas antes de la entrada en
vigencia de la misma, se regularn por la normativa legal vigente a la fecha de
aprobacin de las correspondientes bases, lo que determina que tales contratos
quedan excluidos de la regulacin establecida en dicho cuerpo legal, debe tenerse
presente que el inciso primero del artculo 9 de la ley N 18.575, Orgnica
Constitucional de Bases Generales de la Administracin del Estado, previene que "Los
contratos administrativos se celebrarn previa propuesta pblica, en conformidad a la
ley", agregando su inciso segundo que "El procedimiento concursal se regir por los
principios de libre concurrencia de los oferentes al llamado administrativo y de
igualdad ante las bases que rigen el contrato".
CONTRALORA GENERAL DE LA REPBLICA
DIVISiN DE MUNICIPALIDADES
SUBDIVISiN DE AUDITORA E INSPECCiN
REA AUDITORA 1
- 26-
Conforme lo anterior, la jurisprudencia
administrativa ha concluido que las clusulas contractuales de renovacin automtica
pugnan con el principio de transparencia, en cuanto por su intermedio la autoridad
administrativa omite o evita la exposicin de acuerdos reales o tcitos con su
contraparte particular, en orden a mantener un status qua fijado con anterioridad, de
modo tal que la administracin se encuentra impedida de prolongar sus contrataciones
mediante continuas prrrogas, en tanto ello vulnera el principio de probidad
administrativa, por la va del principio de transparencia (aplica criterio contenido en
dictamen N46.746, de 2009 y 7.661 de 2010).
e) Respecto de las prestaciones de
servicios posteriores a la vigencia de la citada ley N 19.886, el municipio ha
establecido renovaciones sucesivas de los servicios y/o insumas contratados con las
empresas sealadas encuadro adjunto:
Empresa Servicio con prrroga
Bell Technologies S.A.
-V
DirectTV Chile Televisin Ltda.
-V
Legal Publishing Chile Ltda.
...
Sobre el particular, cabe sealar que la
jurisprudencia de este Organismo de Control ha manifestado que la prctica de
acordar continuas prrrogas de contratos, cuya vigencia se extiende, en
consecuencia, indefinidamente, no parece conciliable con el artculo 9 del DFL. N 1-
19.653, de 2000, del Ministerio Secretara General de la Presidencia, que fija el texto
refundido, coordinado y sistematizado de la ley N 18.575, Orgnica Constitucional de
Bases Generales de la Administracin del Estado, ni con el sistema de licitacin
pblica establecido en la ley N 19.886, cuya finalidad es asegurar la libre
concurrencia de una pluralidad de proponentes, con el objeto de seleccionar la oferta
ms conveniente al inters del servicio licitante (aplica criterio contenido en
dictmenes Ns 48.524, de 2006, 19.712, de 2007, entre otros).
Asimismo, debe tenerse presente al respecto
lo establecido enel artculo 12 del reglamento de la ley N 19.886.
d) Solicitados los contratos celebrados
entre esa entidad comunal y las empresas ADEXUS S.A.; Asesoras y Capacitacin
Tecnotronic Ltda., Bell Technologies S.A., E-Sign S.A., Ingeniera y Procesos
Electrnicos Ltda., Sociedad de Inversiones Unga S.A. y Technodisk Servicios de
Computacin Ltda., por los servicios prestados, el jefe del departamento de
computacin e informtica, mediante correo electrnico, de 26 de octubre de 2010,
inform que las prestaciones otorgadas por las empresas citadas precedentemente no
se encuentran formalizadas mediante un contrato, toda vez que estn regulados a
travs del decreto alcaldicio respectivo y la notificacin a la empresa proveedora.
e) En relacin al presupuesto municipal
del rea informtica, se observa que el presupuesto correspondiente al 2010, registra
un aumento de un 5,34% en comparacin al presupuesto del ao 2009, y se ha
ejecutado, al 25 de octubre de 2010, un total de $738.422.434.-, lo que equivale al
51,05%, ver anexo N 7.
Ensu respuesta, la autoridad no se pronuncia
respecto a lo sealado en la letra a), por lo que procede mantener la observacin.
o~
~
CONTRALORA GENERAL DE LA REPBLICA
DIVISiN DE MUNICIPALIDADES
SUBDIVISiN DE AUDITORA E INSPECCiN
REA AUDITORA 1
- 27 -
Adicionalmente, cabe sealar que la alta especificidad impuesta por el municipio en
los requerimientos de las licitaciones, conlleva a que se prorrogue en forma sucesiva
los servicios de un mismo proveedor, en desmedro de otros existentes en el mercado,
que prestan el mismo servicio.
Respecto a lo informado en las letras b), y e),
el alcalde indica que se incluirn clusulas especiales que permitan regular aquellos
contratos que contravienen lo dispuesto en la ley N 19.886, sin embargo, dichas
medidas no han sido ejecutadas a la fecha, por lo que se mantienen las
observaciones.
Seguidamente, en cuanto a la letra d), se
invoca por parte de la autoridad edilicia, el artculo N 1.438 del Cdigo Civil, el cual
seala que un "Contrato o convencin es unacto por el cual una parte se obliga para
con otra a dar, hacer o no hacer alguna cosa. Cada parte puede ser una o muchas
personas, en consecuencia, es contrato, cualquier acuerdo de voluntades, que nazca
del concurso real de las voluntades de dos o ms personas y que tenga por objeto
que las partes se obliguen para con otra a dar, hacer o no hacer alguna cosa. Lo
anterior, independientemente de la materializacin jurdica de ella, la cual no es
exigida como requisito para la existencia de uncontrato."
Sobre lo anterior, cabe sealar, que al
superar el valor del servicio recibido, la suma de 100 UF, ste debe ser formalizado a
travs de un contrato de prestacin de servicios (aplica criterio contenido en dictamen
N 15.554, de 2010).
Evaluados los antecedentes, procede
mantener las observaciones, toda vez que no se enuncian medidas al respecto, y los
antecedentes aportados no permiten subsanar lo objetado.
Respecto a la ausencia de clusulas en los
contratos, sobre asesora tcnica a proporcionar, planes de contingencia antes fallas
en el equipamiento, especificacin de los detalles tcnicos y fechas de facturacin de
los servicios, la autoridad comunal, en su respuesta, seala que stas se encuentran
incorporadas en las respectivas bases administrativas y tcnicas, las cuales forman
parte integral del contrato. Evaluados los nuevos antecedentes proporcionados,
procede levantar las observaciones formuladas respecto de los contratos Ns 1; 3; Y
12, por cuanto los antecedentes fueron suministrados. Sin embargo, se debe
mantener las observaciones de los contratos N s. 2; 4; 5; 6; 7; 9; Y 11, debido a que
no se adjuntan los antecedentes respectivos.
IV.-CONTROLES GENERALES ASOCIADOS AL ENTORNO TI.
1.- Controles generales de tecnologas de informacin.
a) La auditora practicada comprob que
los controles asociados a las tecnologas de informacin no cumplen a cabalidad con
el resguardo de informacin, debido a que el perfilamiento en los accesos posee
diferentes asignaciones de permisos, a pesar de estar ste estructurado y asignado
por el administrador de los sistemas municipales, generando unconstante incremento
en los tipos de cuentas que acceden a los sistemas administrativos y, a su vez,
pudiendo permitir el acceso de personas no autorizadas a los atributos de lectura,
CONTRALORA GENERAL DE LA REPBLICA
DIVISiN DE MUNICIPALIDADES
SUBDIVISiN DE AUDITORA E INSPECCiN
REA AUDITORA 1
- 28 -
grabacin, errusron, impresin y otros, respecto de procesos informatizados que
involucran datos sensibles que administra esa entidad edilicia.
b) Se comprob que no existen
procedimientos de encriptacin de la informacin.
c) A nivel municipal, no existe un
procedimiento formal de eliminacin de la informacin respaldada, sin embargo, sta
se realiza anualmente.
d) En relacin al mantenimiento
preventivo, se acredit que este servicio se encuentra externalizado por parte del
municipio.
e) El jefe del departamento de
computacin e informtica seal, mediante memorando N 574 de 21 de septiembre
de 2010, que las polticas de adquisicin de software consisten en adquirir equipos de
marca 18M, Lenovo, HP, Oell, Compaq entre otros, con el sistema operativo
preinstalado con sus respectivas licencias de Windows sin plazo de expiracin,
asimismo, para cada equipo se adquieren las licencias de Microsoft Office y Antivirus
McAffe , y en relacin a licencias de software opensource, se indica que estas no son
utilizadas.
f) En cuanto a la vulnerabilidad de las
redes municipales, se dispone de los siguientes elementos para salvaguardarlas:
Firewall con control de contenido marca Sonicwall modelo NSA 3500.
Tres Firewall Cisco 515.
Software de analizador de red Sniffer Portable LAN.
Software de administracin de redes 3 COM Intelligent Management Center.
g) De acuerdo a las validaciones
efectuadas se corrobor que el procedimiento utilizado para el control de stock mnimo
consiste en externalizar los servicios tecnolgicos, incorporando en las bases de
licitacin "la solucin llave en mano", es decir, el suministro total de los servicios,
insumos y operaciones por parte de la empresa.
Para insumos menores se dispone de un stock
mnimo, de acuerdo al anlisis de la demanda histrica de consumo de las unidades
municipales, entre los que se cuentan OVO, CO, mouse y otros insumos informticos.
h) En relacin a la normativa de
seguridad y certificacin de instalaciones de sistemas de control de acceso a la sala
de servidores, se indican a continuacin aquellas informadas mediante memorndum
N 574, de 21 de septiembre de 2010:
En sala servidores de Avda. Apoquindo N 3.400, se dispone de protocolo de
control de acceso mediante tarjeta magntica y llaves de seguridad.
En sala de equipos del edificio centro cvico, se dispone de llaves con copia en
guardia central y copia endepartamento de computacin e informtica.
En sala de equipos de seguridad ciudadana y emergencia se dispone de llaves
con copia enguardia central y copia endepartamento anteriormente sealado.
En la oficina de Proexsi Ltda., ubicada en calle Moneda N 1.040, se encuentra
equipo central de respaldo, que dispone de protocolo de control de acceso
mediante tarjeta magntica y operador 7x24.
CONTRALORA GENERAL DE LA REPBLICA
DIVISiN DE MUNICIPALIDADES
SUBDIVISiN DE AUDITORA E INSPECCiN
REA AUDITORA 1
- 29-
Ensala de servidores de direccin de trnsito se dispone de llaves, una a cargo
del jefe de la unidad de Proexsi Ltda.; y una copia en el departamento de
computacin e informtica.
Para acceder a la sala de servidores es necesario dar aviso previo a la
encargada de la empresa Proexsi Ltda., la cual presta servicios en las
instalaciones del departamento de trnsito. Asimismo, en el caso de realizar
alguna mantencin, sta debe estar previamente coordinada con Proexsi Ltda.
i) Los procedimientos para el proceso de
asignacin, modificacin y eliminacin de perfiles de accesos y atributos para el uso
de sistemas administrativos por parte del personal municipal consisten,
principalmente, en crear perfiles de usuarios por grupos a los cuales pertenece un
funcionario; adems, si procede, un funcionario puede pertenecer a ms de un perfil
dentro de unsistema o varios sistemas.
La administracin de perfiles de usuarios
forma parte de la administracin de sistemas contratada a la empresa Proexsi Ltda.;
de acuerdo a solicitudes especficas de los funcionarios responsables y
administradores de sistemas.
j) Existe un registro de incidentes de
prdidas de datos, en formato planilla, donde cada mes hay un registro de las
suspensiones y las cadas del servicio.
Ensu respuesta la autoridad municipal indica,
respecto de la letra a), que los perfiles son creados de acuerdo a las funciones de
cada empleado, asimismo, cada sistema posee un mdulo de administracin de
usuarios, y que se generar una normativa que regule los protocolos de acceso y
permisos de los sistemas computacionales y de las bases de datos respectivos. Al
respecto, y en el entendido que se implementar la medida anunciada, se levanta la
observacin, sin perjuicio de las validaciones que se practiquen en futuras
fiscalizaciones de este Organismo de Control.
En relacin a la letra b), inform que,
efectivamente, no existe un procedimiento de encriptacin de los datos municipales,
dado que no se considera necesario, debido al uso del equipo Unisys Libra 590, por
cuanto la tecnologa usada incorpora medidas de seguridad. Conforme lo anterior, se
levanta la observacin.
Adicionalmente, en lo que respecta a la letra
e), corrobora la inexistencia de unprocedimiento formal de eliminacin de informacin,
manteniendo el municipio un respaldo histrico de 5 aos, de acuerdo al servicio
prestado por Proexsi Ltda. Al respecto, y no habiendo aportado antecedentes que
acrediten medidas correctivas para regularizar dicha situacin, procede mantener lo
observado.
1.1.- Inventario de equipamiento informtico.
Se practic una revisten del inventario de
activos informticos, tecnolgicos y de telecomunicaciones, proporcionado por el jefe
de departamento de computacin e informtica mediante correo electrnico de 7 de
octubre de 2010, aplicndose el sistema de muestreo aleatorio que, recurriendo a
parmetros del 95% de confianza, 3% de precisin y una tasa de error del 3%,
determin una muestra de 109 equipos, lo que representa un 12,02%, de un total de
907 equipos, el detalle se indica en anexo N 8.
(i J
IllL
CONTRALORA GENERAL DE LA REPBLICA
DIVISiN DE MUNICIPALIDADES
SUBDIVISiN DE AUDITORA E INSPECCiN
REA AUDITORA 1
- 30-
Efectuadas verificaciones en terreno, se pudo
constatar las siguientes situaciones:
a) 4 equipos computacionales poseen un
procesador distinto al mencionado en los inscritos en planilla auxiliar de activos
informticos, lo que equivale al 3,67%, ver anexo N 9.1.
b) 6 equipos computacionales tienen una
capacidad de disco duro distinta a la registrada en el inventario, lo que equivale al
5,5 %, ver anexo N 9.2
e) 8 equipos computacionales tienen
memoria RAM diferente a la declarada en los registros del inventario, lo que equivale
al 7,34% del total de la muestra, ver anexo N 9.3.
d) Se detectaron 3 equipos
computacionales con versin de office distinto al registrado, lo que equivale al 2,75%,
ver anexo N 9.4.
e) Se determin un total de 6 equipos
que no pudieron ser revisados, lo que equivale al 5,5% del total de la muestra, las
razones se encuentran detalladas enanexo N 9.5.
f) Se detectaron 2 equipos
computacionales con usuario no individualizado, debido a que el actual funcionario se
encuentra ocupando unequipo asignado a otra persona, ver anexo N 9.6.
g) Se determin un total de 6 equipos
con marca de computador distinta a la de los registros, lo que equivale al 6,42%, ver
anexo N 9.7.
h) Ninguno de los equipos revisados
contaba con sellos de seguridad, lo que equivale al 100%.
La autoridad edilicia en su respuesta informa
sobre la cantidad real de computadores, notebook y servidores de propiedad
municipal instalados y funcionando en distintas direcciones municipales, la que
asciende a la cantidad de 798 equipos.
Cabe sealar que la cantidad informada en la
respuesta municipal difiere de la informada segn los registros proporcionados
durante la auditora desarrollada, por la cantidad de 907 equipos, situacin que no fue
aclarada.
Por otra parte, seala el Alcalde que se
instalaron 200 candados de seguridad, procedimiento que se continuar realizando.
En relacin a lo observado en las letras a), b),
e), d), e), f), y g), la autoridad no se pronuncia, por lo tanto, stas se mantienen.
En conformidad a lo sealado y a la medida
de mejoramiento adoptada, corresponde levantar la observacin especificada de la
letra h), no as para las letras restantes del numeral 1.1, por no adjuntar
documentacin de respaldo que den cuenta de su correccin, por consiguiente ellas
se mantienen.
t
CONTRALORA GENERAL DE LA REPBLICA
DIVISiN DE MUNICIPALIDADES
SUBDIVISiN DE AUDITORA E INSPECCiN
REA AUDITORA 1
- 31 -
1.2.- Carencia de licencias.
El murucipro cumple parcialmente con el
licenciamiento de la plataforma de software de operaciones "Sistemas operativos
como Windows 2000, Windows XP, Windows Vista, Windows 7, Mac Os X, Windows
Server 2000, Windows Server 2003", aplicaciones de oficina "Microsoft Office",
software de base de datos "SQl Server", software de seguridad "Antivirus" y otros,
"Autocad y Arcview en direccin de obras".
De un total de 907 equipos computacionales
a nivel municipal que requieren licencia, 885 son estaciones de trabajo, 11 notebook y
11 servidores de respaldo, seguridad y operaciones. lo anterior, fue informado
mediante correo electrnico de 19 de octubre de 2010, por el jefe del departamento de
computacin e informtica.
Enlo que respecta a licencias de aplicaciones
de Microsoft Office que se encuentran en funcionamiento, se informa que del total de
computadores de escritorio y notebook, que equivalen a 896 equipos, el 100% posee
licencia vigente.
los 907 equipos de propiedad del municipio,
que incluyen equipos estacionarios, notebook y servidores, poseen en su totalidad
licencias de sistema operativo vigente.
De un total de 20 equipos que utilizan el
programa Autocad, ubicados en la direccin de obras municipales y 2 que utilizan
Arcview, la totalidad de ellos poseen sus licencias al da, lo que representa el 100%.
Adicionalmente, se verific que los 3 equipos
que cuenta con la aplicacin de base de datos SQl Server poseen licencia
regularizada.
Se suma a lo anterior, que la totalidad de los
equipos se encuentran licenciados con antivirus McAffe.
En resumen, de los 907 equipos activos en la
plataforma, los softwares instalados por equipo y las licencias que se encuentran
certificadas, se detallan en anexo N 10, se utiliza el formato de descripcin Xl N, en el
cual se indica mediante la X el tipo de software usado y con la N la cantidad de
equipos con licencia.
Sin embargo, en la revisin efectuada a los
decretos de pagos relacionados con la compra de licencias se acredit que existen
236 equipos de untotal de 896 entre estaciones de trabajo y notebook, con licencia de
Microsoft Office, lo que equivale a un 26,34%; adicionalmente en relacin a las
licencias de Autocad, se acredit que del total de 20 equipos que poseen dicho
sistema, 6 poseen licencia vigente; finalmente, de los 907 equipos que posee el
municipio, 200 poseen licencias de antivirus McAfee, lo que equivale a un 22,05%, lo
cual de detalla a continuacin.
CONTRALORA GENERAL DE LA REPBLICA
DIVISiN DE MUNICIPALIDADES
SUBDIVISiN DE AUDITORA E INSPECCiN
REA AUDITORA 1
- 32-
Licencias Microsoft Office.
Proveedor N Fecha Licencia N Informado Diferencia
Fact Adquirida Municipio
Comercializador 10868 25- 11- Microsoft 20
No
No
a 2 2008 Office
disponible
disponible
Integral Ltda.
Tecknodisk 2028 21- 01- Microsoft 60 No No
Servicio de 2010 Office disponible disponible
Computacin
Ltda
Aminorte S.A. 13912 17- 06- Microsoft 14 No No
2010 Office disponible disponible
Comercializador 18353 15- 04- Microsoft 1 No No
a Notebook 2010 Office disponible disponible
Center
Tecnodisk 1898 20- 11- Microsoft 141 No No
Servicio de 2009 Office disponible disponible
Computacin
Ltda
Total 236
Licencias Autocad.
Proveedor N Fecha Licencia N Informado Diferencia
Fact Adquirida Municipio
Aminorte S.A. 10351 9- 12- Autocad 2 No disponible No
2008 disponible
Computer Desing 10582 24- 11- Autocad 4 No disponible No
Chile S.A. 2009 disponible
Total 6 20 14
Licencias Antivirus y Arcview.
Proveedor N Fecha Licencia N Informado Diferencia
Fact Adquirida Municipio
Miranda Selle 101099 17- 06- Antivirus 200 907 707
Computacin 2010
ESRI Chile S.A. 2277 04- 12- Arcview 2 2 O
2009
Cabe precisar, sobre los cuadros
precedentes, que el jefe del departamento de computacin e informtica inform que
el inventario del equipamiento informtico no se encuentra desagregado por
proveedor, por lo que slo se cuenta con el nmero total de equipos municipales, por
lo que la diferencia indicada en stos se determin contrastando lo registrado en el
inventario y lo acreditado a travs de las facturas de compra de licencias.
r
,
A continuacin se muestra detalle de vigencia
e licencias por tipo de software y proveedor:
CONTRALORA GENERAL DE LA REPBLICA
DIVISiN DE MUNICIPALIDADES
SUBDIVISiN DE AUDITORA E INSPECCiN
REA AUDITORA 1
-33-
Software Tipo de software Proveedor
Vigencia
Licencia
Office Para uso Impresin Uno Comercializad ora
Profesional administrativo lnteoral Ltda. Ilimitado
Autocad LT
2009 Dibujo Aminorte S.A. Ilimitado
PhotoShop Diseo Item Ltda. Ilimitado
Firma Diciembre
electrnica Certificacin E-Sino S.A. 2010
MacAfee Antivirus Compuser Ltda. J unio 2012
Para uso
Office 2007 administrativo Aminorte S.A. Ilimitado
Para uso Tecknodisk Servicio de
Office 2007 administrativo Computacin Ltda. Ilimitado
Autocad LT
2010 Dibujo CDC Computer Desion S.A. Ilimitado
Arcgis, ArcView Cartografa ESRI Chile S.A. Ilimitado
Tecknodisk Servicio de
Para uso Computacin
Office 2007 administrativo Ltda. Ilimitado
Para uso
Office MAC administrativo Notebook Center Ltda. Ilimitado
Para uso Tecknodisk Servicio de
Office 2007 administrativo Computacin Ltda. Ilimitado
Mediante memorndum N 671, de 28 de
octubre de 2010, el jefe del departamento de computacin e informtica inform sobre
un error en la entrega de la informacin relativa a la cantidad de licencias de
propiedad del municipio, aportndose antecedentes sobre las licencias adquiridas
desde el ao 2001 al 2010, y cuyo desglose del licenciamiento municipal qued
conformado de la siguiente manera:
468 licencias de Microsoft Office.
33 licencias de Autocad.
1.154 licencias de Antivirus.
46 licencias de Winsows XPNista.
32 licencias de otro software.
Sin embargo, de acuerdo a la plataforma de
equipos computacionales informados por la entidad, la cual asciende a untotal de 798
equipos, contina existiendo falta de licenciamiento en la plataforma informtica, por lo
que se mantiene la observacin.
2.- Seguridad fsica.
Para efectos de validar la seguridad fsica se
efectu una visita a la sala de servidores municipales, lo que permiti comprobar lo
siguiente:
a) En las habitaciones anexas a la sala de servidores, en reas de circulacin del
personal se encuentran partes, piezas y equipamiento computacional, pudiendo
provocar accidentes y/o problemas de operacin, ver anexo N 11.
b) Existe equipamiento computacional embalado y otros bienes municipales en
habitacin contigua al Datacenter, sin embargo, no se cuenta con inventario
CONTRALORA GENERAL DE LA REPBLICA
DIVISiN DE MUNICIPALIDADES
SUBDIVISiN DE AUDITORA E INSPECCiN
REA AUDITORA 1
- 34-
pormenorizado y, adems, se desconoce el contenido de las cajas, ver anexo
N 11.
e) Al interior de la sala de servidores no se utilizan abrazaderas de cables de red y
elctrico, con la finalidad de minimizar el tendido en el piso y organizar las
conexiones por equipos, ya que algunas cruzan la sala en diagonal y se
encuentran fijadas con cinta adhesiva.
d) A nivel general, la dependencia no cuenta con aseo programado en las reas
comunes y para su equipamiento.
e) Se aprecia que los racks de comunicaciones no son cerrados y, por lo tanto, no
cuentan con puerta ni chapa de seguridad, con la finalidad de evitar
manipulacin de los cables de conexin. Asimismo, el rack de servidores se
encuentra con la puerta abierta y sin llave de seguridad para su cierre.
f) Se detect la existencia de untablero elctrico y de UPS, los cuales no cuentan
con chapa de seguridad, vulnerando la seguridad y determinando riesgos en
relacin a las operaciones relacionadas con el suministro de energa elctrica.
g) Los enchufes normales, tipo hacha, trifsicos para la UPS y monofsicos, se
encuentran administrados por interruptores automticos independientes,
segregando la instalacin elctrica por reas.
h) La puerta de la sala de servidores presenta una chapa de seguridad que se
encuentra operativa, sinembargo sta no es utilizada, mantenindose abierta.
A lo anterior se suma la inexistencia de un
sistema automtico de control de acceso, que registre los ingresos a la sala de
servidores.
i) La iluminacin existente al interior de la sala de servidores es deficiente, se
aprecia la existencia de tubos fluorescentes defectuosos.
j) Se observa la ausencia de canaletas Legrand en algunas reas, que tienen por
finalidad cubrir el cableado de datos y comunicaciones. Adems, se encuentran
partes y piezas en desuso, ver anexo N 11.
k) El cableado de los servidores y perifricos se encuentra distribuido y nombrado
de acuerdo a las normas vigentes.
1) Algunos servidores no se encuentran etiquetados con nombre y funcin.
m) A nivel de seguridad, la sala de servidores no cuenta con circuito cerrado de
televisin, que permita administrar una o ms cmaras externas con la finalidad
de realizar grabaciones del movimiento diario en reas crticas, como son sala
de servidores y contiguas. De acuerdo a lo anterior, existe la posibilidad de que
se vulneren las instalaciones.
n) La sala de servidores se encuentra cerrada perimetralmente por muros slidos
y una mampara de vidrio en estructuras de aluminio, la cual no posee
propiedades de aislacin calrica, lo cual vulnera la seguridad y las condiciones
de temperatura ambiental.
o) No se cuenta con sensores de humo y humedad para minimizar riesgos de
incendio y deterioro enel equipamiento.
CONTRALORA GENERAL DE LA REPBLICA
DIVISiN DE MUNICIPALIDADES
SUBDIVISiN DE AUDITORA E INSPECCiN
REA AUDITORA 1
- 35-
p) Al interior de la sala de servidores existe un extintor mvil vigente con
vencimiento de su carga en agosto de 2011 y certificado por la empresa
Comercial Segindex Ltda; el cual se encuentra sin una posicin fija y
sealizacin. Asimismo, existe un segundo extintor, el cual se localiza en el
piso de la sala de informtica, sin encontrarse con fijacin mural, el cual se
encuentra vigente y certificado a la misma fecha del citado previamente. La
falta de sealtica y correcta localizacin impide unfcil acceso a ellos en caso
de requerirse su uso.
q) Se aprecia la existencia de interruptores automticos adosados al muro, sin
aislacin entre los materiales, el cual se encuentra revestido de una placa de
madera, vulnerando la seguridad y pudiendo provocar incendio.
r) Las instalaciones de comunicaciones no se encuentran certificadas.
s) Se aprecian dos unidades de aire acondicionado que mantienen los equipos
operando en el rango de los 19 a 20 grados Celsius, sin embargo, su
localizacin no permite que el aire que se emite pueda ser propagado
uniformemente a todas las unidades por la amplitud de la sala. Asimismo, en
los muros slidos de la sala de servidores se encuentran cables elctricos que
proveen electricidad a las unidades de aire acondicionado, no habindose
realizado la alimentacin de los equipos por medio de uncable sellado.
t) No se aprecia la utilizacin de sealtica de apoyo a la seguridad.
u) No se efecta un registro del personal en trnsito ni del que presta servicios
externos, como tampoco de las actividades realizadas al interior de la sala de
servidores. Solamente existe una bitcora de respaldo en papel, consignando
labores diarias y pendientes por parte del operador.
v) Existen muebles murales del tipo gabinete para almacenar discos y cintas de
respaldo, con las llaves puestas, lo que vulnera la seguridad. Asimismo, los
respaldos no se encuentran etiquetados, especificando al menos el contenido,
la fecha, el encargado que lo realiz y las pruebas de levantamiento y/o
chequeo de integridad.
w) En la dependencia anexa a la sala de servidores donde se encuentra el grupo
electrgeno diesel, existen dos puertas metlicas para acceder desde el
exterior, lo cual reviste riesgos de acceso, puesto que no existe circuito cerrado
de televisin (CCTV) que permita regular la seguridad.
En relacin a las observaciones efectuadas
en las letras a), y b), d), 1), Y v), la autoridad edilicia en su respuesta indica que dichas
situaciones se encuentran corregidas, lo cual fue corroborado mediante revisin
efectuada enterreno.
Respecto a la letra e), la autoridad seala
que, por razones tcnicas, se decidi utilizar racks de comunicaciones en forma
abierta. Sin embargo, las validaciones efectuadas se determin que ellos se
'- mantienen sin seguridad de acceso, lo cual posibilita la vulneracin de las
comunicaciones, a su turno, los servidores de datos son resguardados con llave.
En cuanto a la letra u), informa que la
empresa Proexsi Ltda., dispone de una bitcora diaria para el registro de personal que
CONTRALORA GENERAL DE LA REPBLICA
DIVISiN DE MUNICIPALIDADES
SUBDIVISiN DE AUDITORA E INSPECCiN
REA AUDITORA 1
- 36-
ingresa en forma fsica al Oatacenter, la cual se encuentra publicada en la intranet
municipal.
Por otra parte, informa que se tomarn las
medidas tendientes a regularizar lo relativo a la no utilizacin de sistema automtico
de control de acceso; ausencia de canaletas, puntos de red; falta de circuito cerrado
de televisin en dependencias del departamento de computacin e informtica;
inexistencia de sensores y humedad, entre otras.
De acuerdo a los antecedentes aportados y
las revisiones efectuadas en la sala de servidores, se levantan las observaciones
contenidas en la letras a), b), d), 1), u), y v), y se mantienen las contenidas en las
letras e); e); f); h); i); j); m); n); o); p); q); r); s); t); y w), por cuanto no se han tomado
las medidas para corregir dichas falencias.
3.- Procedimientos de respaldo.
Efectuada una revisin a la sala de servidores
del municipio, con el fin de validar los respaldos de informacin, se pudo comprobar lo
siguiente:
a) Observaciones a procedimientos de respaldo:
No existe unresponsable nico de los respaldos.
Los dispositivos de respaldo no se prueban regularmente, para asegurar
que puedan ser de utilidad en una emergencia.
Existen diferencias entre los procedimientos de respaldo y las acciones
sealadas dentro del plan de recuperacin de desastres.
Ensu respuesta, el alcalde seala, respecto a
la inexistencia de un responsable para los respaldos que, para la realizacin de stos,
la empresa Proexsi Ltda., tiene contratado un encargado del rea mainframe del
Oatacenter y dos operadores, antecedentes que permiten levantar la observacin.
Adicionalmente, sobre la falta de pruebas de
dispositivos de respaldo, se indica que existe un procedimiento para chequear
regularmente la integridad de los medios magnticos y su contenido, por lo que
procede levantar la observacin.
Sobre las diferencias entre los procedimientos
de respaldo y el plan de contingencias, la autoridad corrobora la observacin,
agregando que dichos procedimientos en forma independiente no presentan
inconsistencias ya que pueden ser usados en forma separada sin presentar
inconvenientes, sin embargo, analizados en su conjunto, siguen persistiendo las
diferencias. Por otra parte, se indica que se ha dispuesto regularizar mediante decreto
alcaldicio el plan de contingencia, lo cual no ha sido realizado, por lo tanto, se
mantiene la observacin eneste tercer aspecto.
b) Procedimientos de respaldos internos.
Unidad SOLT A: Se respaldan Bases de datos y discos.
El respaldo se realiza diariamente de lunes a
sbado, en unidades SOLT en dos copias, es de tipo incremental y utiliza el
CONTRALORA GENERAL DE LA REPBLICA
DIVISiN DE MUNICIPALIDADES
SUBDIVISiN DE AUDITORA E INSPECCiN
REA AUDITORA 1
- 37 -
criterio de Abuelo-Padre-Hijo, agregando archivos a la cinta anterior, hasta que
esta complete su capacidad. Por otra parte, las cintas se rotan y son enviadas
diariamente a la casa matriz por seguridad.
En relacin al respaldo LCTRASP, ste se
realiza en SOLT en dos copias, de lunes a viernes, y se respaldan los cambios
y actualizaciones de los ejecutables de los sistemas.
Con respecto a la base de datos SQL, este
respaldo es diario y automtico, de lunes a domingo, las cuales quedan en las
SOLT, dos copias, enel respaldo semanal, mensual y anual.
Respaldos Windows
Unidad B SOLT: Se respaldan 2 copias de las
particiones de Windows en servidor central Libra 400.
1. Unidad grabador OVO interno servidor de cartografa. Se respalda
servidor de cartografa en2 copias
2. Unidad grabador OVO interno servidor Web de produccin: En este
se traspasan respaldos de la Huella, base2 y SQL, los cuales se
realizan en medio de almacenamiento OVO en 2 copias.
Respaldo Bases, Discos y Servidores Externos.
Este respaldo se realiza con una organizacin
diaria, semanal, mensual y anual, donde su distribucin es la siguiente:
En relacin a las bases datos OMSII, se
realiza el respaldo con dmutility a disco, encontrndose las bases online; una
vez que estn todas ellas copiadas, se traspasan a cinta magntica. Esto
corresponde al respaldo total de la particin MCP del servidor central LIBRA
400. Cada da viernes se utilizan dos SOLT para realizar las dos copias que
indican las normas de la empresa.
Los discos se respaldan incluyendo el "disco
de sistema". Para realizar el respaldo se utilizan las mismas 2 SOLT descritas y
se incluyen los discos de respaldo de las bases. Asimismo, para estos
respaldos se utiliza el criterio de Abuelo-Padre-Hijo, con 6 SOLT (un par por
semana), con lo que se cumple con los procedimientos de respaldo.
En cuanto a los servidores externos, stos se
respaldan paralelamente al Mainframe y se utilizan 25 OVO-RW con el criterio
Abuelo-Padre-Hijo.
Resguardo fsico de respaldos
Los respaldos se realizan en dos copias, las
cuales se distribuyen endos ubicaciones fsicas distintas, una de ellas enAvda.
Presidente Riesco N 5.296 Y la otra en calle Moneda N 1.040, casa matriz de
la empresa Proexsi Ltda.
c) Procedimientos de respaldos externos.
CONTRALORA GENERAL DE LA REPBLICA
DIVISiN DE MUNICIPALIDADES
SUBDIVISiN DE AUDITORA E INSPECCiN
REA AUDITORA 1
- 38-
Mediante memorndum de 30 de septiembre
de 2010, emitido por el sub-gerente de datacenter de la empresa Proexsi Ltda.,
se indica que los procesos de respaldo que son ejecutados sobre las bases de
datos municipales, corresponden a tareas realizadas bajo procedimientos
certificados ISO 9001:2008 y que se desarrollan de la siguiente manera:
Respaldo incremental con periodicidad diaria en formato de renovacin de
dispositivo de almacenamiento cada tres das.
Respaldo histrico mensual con almacenamiento de 12 meses mvil.
Respaldo histrico anual con almacenamiento de 5 aos.
los procesos de respaldos se efectan en
dispositivos de cintas SDTl, y formato DVD, en dos copias, de las cuales una
es almacenada en la misma sala de operacin donde se encuentra la
plataforma central municipal y otra en las oficinas centrales de la empresa
Proexsi Ltda..
4.- Plan de recuperacin de desastres.
Mediante memorndum N 574, de 21 de
septiembre de 2010, emitido por el jefe del departamento de computacin e
informtica, se informa que el plan de contingencia de los sistemas del servicio
comprende las siguientes operaciones:
a) Se posee una UPS y ungrupo electrgeno que sustenta a la red computacional
y el servidor central Libra 400 encaso de uncorte de energa elctrica.
b) El servidor central Libra 400, est configurado en modalidad hotspare, esto
significa que en el momento de falla de un disco, automticamente el disco en
hotspare cumple la funcin del que tuvo la anomala.
e) Diariamente se respalda en medios magnticos el software de las aplicaciones
municipales, de modo que, ante cualquier prdida de informacin de los
sistemas a nivel de aplicacin, esta puede ser recuperada de inmediato a
travs de este respaldo.
d) Diariamente se respaldan las transacciones SQl de cada una de las bases de
datos del municipio en medios magnticos, lo que implica que ante cualquier
prdida de informacin a nivel de base de datos, ella puede ser recuperada a
travs de estos respaldos. Enforma adicional, toda la informacin en los discos
del servidor central Libra 400 es respaldada semanalmente en cintas
magnticas SDl T.
e) la empresa proveedora de los sistemas municipales Proexsi Ltda. mantiene un
monitoreo y administracin del servidor central durante 24 horas al da. Entre
las 07:45 horas y las 22:00 horas existen turnos rotativos de dos operadores en
forma presencial y despus de las 22:00 horas se monitorea enforma remota.
Por otra parte, para mantener la continuidad
operacional de los servicios informticos para la comunidad, se cuenta con
grupos electrgenos y UPS en las dependencias que se indican:
-Edificio Municipal, Centro Cvico, Seguridad Ciudadana y Emergencia.
CONTRALORA GENERAL DE LA REPBLICA
DIVISiN DE MUNICIPALIDADES
SUBDIVISiN DE AUDITORA E INSPECCiN
REA AUDITORA 1
- 39-
-Direccin de Desarrollo Comunitario.
Sin embargo, no se cuenta con un plan de
contingencia formalizado mediante decreto alcaldicio y que conste de fase preventiva,
fase reactiva y fase de mitigacin.
Sobre el particular, el alcalde en su respuesta
seala que se han impartido las instrucciones para que dicho plan sea formalizado a
travs de undecreto alcaldicio.
No obstante, dada la ausencia de
documentacin que respalde la medida expuesta, corresponde mantener lo objetado
inicialmente.
V.- EJECUCiN DE RECORRIDOS DE CONTROLES GENERALES ASOCIADOS A
TI.
1.- Sistemas administrativos municipales, incluidos servicios online.
1.1.- Funciones.
Las funciones que realizan los sistemas
administrativos municipales en relacin con los procesos significativos analizados son
los siguientes:
a) Sistema contabilidad gubernamental.
Ingreso de cuentas contables, programas y centro de costos.
Ingreso de tablas para el funcionamiento del sistema (meses,
reas, tipo de comprobantes contables, tipo de documentos, tabla
centro costos, programas, parmetros y proveedores).
Ingreso de presupuesto inicial y modificaciones presupuestarias.
Ingreso de obligaciones (contratos, orden de compra,
adjudicaciones y factibilidades).
Ingreso de devengados por proveedor (facturas).
Confeccin de rdenes de pago.
Ingreso y contabilizacin de documentos contables, rendiciones de
cuentas.
b) Sistema tesorera municipal.
-Boletas de garanta.
Mantencin de garantas.
Consulta documento engaranta.
Ingreso de contratos.
-Egresos.
Emisin de cheques de distintas cuentas corrientes.
Emisin de listados de informacin, como cuenta corriente de
proveedor.
Generacin de listado de conciliaciones bancarias y retenciones de
impuesto.
CONTRALORA GENERAL DE LA REPBLICA
DIVISiN DE MUNICIPALIDADES
SUBDIVISiN DE AUDITORA E INSPECCiN
REA AUDITORA 1
- 40 -
Contabilizacin de movimientos contables.
-Ingresos.
Apertura y cierre de cajas.
Anulacin de ingresos.
Cuadraturas de cajas.
Contabilizacin de ingresos.
Conciliacin de ingresos.
Pagos a travs de Internet.
Emisin informes varios.
Consulta de recaudacin por cajas.
e) Sistema patentes comerciales.
Consulta de patentes.
Listar patentes CIPA, segn tipo.
Administrar solicitud de patente.
Mantencin del maestro de patentes.
Clculo de patentes.
Anulacin de patentes y/o giros.
d) Sistema permisos de circulacin.
Generacin de giro para pago de permisos de circulacin.
Generacin de duplicado de permisos de circulacin.
Emisin de giros de fondos a terceros
Bloqueo por sistema de placas patentes.
Consultas de pagos aos anteriores, de registro de multas, de
incorporaciones y de traslados.
Generacin de giros de sellos.
Mantencin de traslado.
Asignacin de cdigo de S.1.1.
Anulacin de giros mal emitidos.
1.2.- Tipos de usuarios.
De acuerdo con la informacin entregada, las
cuentas de usuario utilizadas para interactuar con todos los sistemas se conforman
por perfiles y atributos, que se subdividen de la forma que sigue:
Aplicaciones Perfiles Atributos
Permiso de circulacin
Habilitar
Visible
Patentes comerciales
Administrador (A) Ingresar
Supervisor (B) Listar
Tesorera municipal
Usuario (C) Modificar
Usuario Bsico (D) Eliminar
Contabilidadgubernamental
Imprimir
Consultar
CONTRALORA GENERAL DE LA REPBLICA
DIVISiN DE MUNICIPALIDADES
SUBDIVISiN DE AUDITORA E INSPECCiN
REA AUDITORA 1
- 41 -
La creacin de los usuarios se realiza a
travs de la cuenta administrador, entregando privilegios a travs de atributos
asignados que definen el tipo de cuenta. El mantenedor opera mediante nombre y
clave habilitada para obtener el tipo de acceso.
Por otra parte, los permisos se entregan al
usuario, independientemente por cada sistema, siendo el administrador el encargado
de conceder el acceso. El procedimiento indicado se realiza en trminos informales,
no quedando establecida la autorizacin de creacin de cuenta ni la baja de la misma
cuando el funcionario deja de prestar servicios al municipio.
1.3.- Evaluacin de la integridad de la informacin.
La Municipalidad de Las Condes cuenta con
3 bases de datos para los sistemas evaluados, las que alojan 48 tablas de registros,
evalundose las que tienen directa relacin con los procesos significativos asociados
a TI y que administran datos crticos.
En el caso particular de control de acceso
lgico, se evalu la cantidad de personal activo, pasivo, y su relacin contractual con
el municipio, validando la integridad de datos relevantes, con el fin de comparar la
informacin procesada con las cuentas de usuario activas para un funcionario y los
permisos otorgados para dicha cuenta.
Del anlisis practicado se advirti la
inexistencia de llave primaria para el campo tabla_cdigo de la tabla de la base de
datos del sistema tesorera municipal. La misma situacin se refleja en la tabla
"solicitud de patentes" con el campo solpa_rut_a. Ver anexo N 12.1.1.
Ensu respuesta, la autoridad comunal seala
que se puso en marcha unprocedimiento formal para la creacin y baja de cuentas, el
que ser formalizado mediante el decreto alcaldicio correspondiente.
Adicionalmente, indic que la llave primaria
para el campo tabla_codigo, est compuesta por dos campos, los que corresponden a
tabla_tipo y tabla_codigo. En el caso de la tabla "solicitud de patentes" la llave
primaria est conformada por solpa_tipo_solic, salpa_ano y solpa_num_solic.
La respuesta del municipio no adjunta
documentos de respaldo que acrediten las mejoras planteadas, por lo tanto, se
mantiene lo observado, a excepcin de lo referido a la inexistencia de llaves primarias.
1.3.1.- Control de datos numricos.
El sistema de tesorera municipal presenta
falla en el control de pagos en lnea, debido a que existen duplicaciones de pagos.
Asimismo, no existe un validador de pago en lnea que informe al contribuyente
acerca del xito o error de la operacin. Adems, en caso de encontrarse pagado el
monto pendiente, el sistema no posee un mdulo que administre restricciones para
evitar dobles pagos por unmismo concepto.
Por otra parte, las transacciones efectuadas
por Internet se reflejan en el sistema, sin embargo, al no ser informada la ejecucin
del pago, ello permite al contribuyente la realizacin de un segundo pago, el cual se
registra en el banco y, dependiendo de la hora, es informado al municipio en el mismo
f
CONTRALORA GENERAL DE LA REPBLICA
DIVISiN DE MUNICIPALIDADES
SUBDIVISiN DE AUDITORA E INSPECCiN
REA AUDITORA 1
- 42-
da de la transaccin, en caso contrario ello sucede al da siguiente, dificultando la
imputacin del monto pagado.
Enrelacin a las diferencias, a nivel municipal
la empresa Proexsi Ltda., realiza un cruce de datos manual, a fin de ingresar las
transacciones no registradas de manera automtica enel sistema.
Sobre lo anterior, la autoridad municipal en su
respuesta expone que se efectu una revisin de los procedimientos utilizados por los
distintos medios de pago y se actualiz el sistema utilizado debido a cambios en la
plataforma de los bancos, asimismo, se incorpor un programa background, que
revisa y regulariza los pagos diarios que tuvieron problemas, por lo cual, a la fecha,
las fallas no se hanvuelto a producir, lo anterior fue corroborado mediante chequeo de
los sistemas enunciados, por lo que se levantan las observaciones.
1.3.2.- Control de validacin enel ingreso de datos.
El anlisis realizado permiti advertir que, en
el mdulo de patentes municipales, al ingresar las direcciones de los contribuyentes,
no se realiza validacin respecto de si esta pertenece a la comuna. Por lo anterior, a
nivel de base de datos, es posible que ella contenga direcciones que no correspondan
a la comuna de Las Condes, pudiendo comprometer los procesos de cobranza que
realiza el municipio.
En su respuesta, el alcalde seala, en
sntesis, que esa entidad comunal cuenta con un maestro de calles, a travs del cual
se chequea que la calle digitada pertenezca a la comuna. Asimismo, en el caso de las
factibilidades tcnicas del uso de suelo, previo al otorgamiento de las patentes
municipales, ellas son revisadas por la direccin de obras.
La validacin efectuada corrobor que no se
ha implantado un control automtico a nivel de mdulo de patentes municipales,
siendo ste de carcter manual. Asimismo, solicitados los respaldos de las medidas
subsidiarias de aqul, sealadas en el prrafo precedente, stos no fueron
proporcionados, por lo que procede mantener la observacin.
1.3.3.- Verificacin del modelo de datos.
Con fecha 14 de septiembre de 2010 se
solicit a la autoridad municipal la entrega de documentacin relativa al diseo lgico
de la base de datos que soporta los sistemas municipales implantados por la empresa
Proexsi Ltda. Enforma posterior, la comisin fiscalizadora se reuni con el gerente de
plataforma de servicios de la empresa ya sealada, el cual entreg documentacin
relativa a diccionarios de datos de las bases en estudio. Las bases de datos y los
diagramas de flujos de informacin fueron recepcionados con fecha 21 de septiembre
de 2010, segn memorndum N 574, del jefe del departamento de computacin e
informtica, ver anexo N 13.
Al obtenerse acceso parcial al diseo lgico,
se realiz un proceso de anlisis de las tablas que mantienen los sistemas en la base
de datos, entregadas por la empresa Proexsi Ltda. Del anlisis se advierte que en el
modelo de datos existe riesgo de inconsistencias, cuentas sin validacin de unicidad y
repetidas, as como ausencia de datos en las tablas para ciertos elementos
contenidos en la base de datos.
CONTRALORA GENERAL DE LA REPBLICA
DIVISiN DE MUNICIPALIDADES
SUBDIVISiN DE AUDITORA E INSPECCiN
REA AUDITORA 1
- 43 -
En su respuesta, la autoridad comunal
informa que se efectu una solicitud a la empresa proveedora Proexsi Ltda., para la
regularizacin de la entrega parcial del diseo lgico, sin embargo, esa entidad
comunal no aport documentacin de respaldo de la medida adoptada, por lo que
corresponde mantener lo observado inicialmente.
1.3.4.- Control de integridad.
El sistema de patentes municipales se
constituye por varios campos de datos, dentro del cual se incluye solpa_rut_a, que
representa nmeros de RUT no consistentes con el diseo lgico definido, puesto que
en el anlisis efectuado a la base de datos se verific que existen registros con el
campo del valor numrico en blanco, ver anexo N 12.1.2.
Por otra parte, al realizar el clculo de la
patente municipal, el sistema pide validar la operacin mediante el reingreso de
usuario y clave. La validacin en el reingreso debiera ser asociada a una cuenta de
nivel superior como el super-usuario, debido a que se realizan cambios crticos para
posteriores clculos.
El alcalde en su respuesta informa que el
campo solpa_rut, es alfanumrico, incluyendo guin y digito verificador, agregando
que, en relacin al clculo de la patente municipal, se evaluar su aplicacin.
Asimismo, en lo referente a las validaciones
en el clculo de las patentes comerciales, la respuesta indica que se revisar su
aplicacin para mejorar la seguridad del sistema. Sin embargo, dicha medida no ha
sido implementada, por lo que procede mantener lo observado.
1.3.5.- Control de reglas de negocio.
Respecto de la aplicacin de contabilidad
gubernamental, en el maestro presupuestario, al realizar la descarga de convenios de
patentes municipales se producen anomalas en la asociacin del ao, no
referenciando aos anteriores.
Por otra parte, en el mdulo de patentes
comerciales, al realizar una consulta de patente por nombre, el sistema no slo
entrega registros del campo consultado sino tambin por nmero de RUT, fecha,
direccin, entre otros.
Las aplicaciones en uso no presentan la
posibilidad de realizar cambios de contrasea de ingreso para la cuenta de usuario. El
nico procedimiento de tipo informal existente es solicitar la nueva contrasea al
administrador para que ste la digite y active.
En su respuesta, la autoridad informa que
como procedimiento para regularizar las situaciones observadas, se han adoptado las
siguientes medidas:
a) Las cuentas de convenio se cambian a comienzos de cada ao, y las cuentas
del ao pasan a cuentas de aos anteriores.
b) La consulta est diseada para que utilice el parmetro ingresado, rut, nombre,
fecha, direccin, etc, como dato inicial de la bsqueda y no como dato exacto.
CONTRALORA GENERAL DE LA REPBLICA
DIVISiN DE MUNICIPALIDADES
SUBDIVISiN DE AUDITORA E INSPECCiN
REA AUDITORA 1
- 44-
Sobre lo anterior, y en atencin a que las
medidas fueron implementadas, segn las verificaciones efectuadas, corresponde
levantar las observaciones planteadas.
1.3.6.- Pruebas de caja negra.
la auditora practicada permiti advertir lo
siguiente:
Examinado en forma aleatoria uno de los
mdulos en estudio, se advirti que en la pantalla pagos, correspondiente a permisos
de circulacin, se present una anomala respecto de la impresin del valor de la
segunda cuota pagada por el contribuyente, debido a que el monto no corresponde a
la pagada.
En todo caso, para el resto de los mdulos
administrativos municipales, las pruebas realizadas no arrojaron deficiencias respecto
a sus operaciones.
El alcalde en su respuesta informa que las
situaciones observadas no pudieron ser replicadas, sin embargo, se proceder a un
constante monitoreo para corregir los errores cuando sea pertinente.
Por lo anterior, se mantiene la observacin,
por cuanto no se indican medidas tendientes a regularizar lo objetado.
1.3.7.- Pruebas de razonabilidad de cifras calculadas histricamente.
Durante el examen se efectu una
verificacin aleatoria de los sistemas administrativos, no presentndose diferencias en
las muestras respecto a los clculos de valores.
1.3.8.- Control de gestin de log de errores.
El sistema administrativo municipal no cuenta
con registro de transacciones en cada mdulo proporcionado por la empresa Proexsi
Ltda., con el fin de reportar las acciones realizadas por los usuarios poseedores de
cuentas vigentes con privilegios. Adicionalmente, no existen consultas a los sistemas
para sustentar auditoras internas de seguimiento de operaciones anmalas.
la autoridad comunal seala en su respuesta
que la plataforma de sistemas cuenta con un servicio de listados de informacin de
auditora, proporcionado a travs de consulta SQl sobre la base de datos, y el
seguimiento efectuado de las operaciones registradas. Asimismo, la bitcora detalla
las transacciones por rut y hora de ejecucin.
Sobre el particular, esa entidad comunal no
hizo entrega de documentacin de respaldo que acredite lo expuesto
precedentemente, por lo que corresponde mantener lo observado inicialmente.
1.3.9.-Anlisis de sistemas administrativos municipales.
Se desarroll una evaluacin para cada
mdulo, advirtiendo que se producen problemas puntuales de procesamiento, ingreso
y validacin de datos. Al respecto, se desprende el siguiente detalle de falencias:
CONTRALORA GENERAL DE LA REPBLICA
DIVISiN DE MUNICIPALIDADES
SUBDIVISiN DE AUDITORA E INSPECCiN
REA AUDITORA 1
- 45-
a) Tesorera municipal.
La estructura de las claves no se encuentra definida a nivel lgico
mediante restricciones de sistema ni existe normativa de
administracin.
El sistema permite el ingreso de claves no alfanumricas.
No existe, a nivel de mdulo de control de acceso, una poltica de
rotacin de clave asociada a unperodo de tiempo.
No existe bloqueo automtico del sistema despus de un perodo
de inactividad.
Los registros de operaciones no cuentan con el campo hora, slo
se respalda cuando se realiza un impresin del documento.
Las claves de acceso de las cajas son de conocimiento pblico
entre los usuarios de la unidad.
No cuenta con giros especficos para multas de TAG.
No existe opcin de extraccin masiva de permisos de circulacin
y cargo de patentes municipales del ao anterior.
El sistema no cuenta con identificacin de modalidad de pago del
tributo.
A nivel de reportes, no existe emisin de certificados de deuda.
En relacin al sitio de pagos online, no se presenta la opcin de
rescatar comprobantes de pago de impuestos.