Inf - Final n79-2010 Auditoria de Sistemas Informaticos-Marzo 2011

Informe Final
Municipalidad de
Las Condes
CONTRALORA GENERAL DE LA REPBLICA
Fecha 14 de marzo de 2011
NInforme: 79/2010
DIVISiN DE MUNICIPALIDADES
SUBDIVISiN DE AUDITORA E INSPECCiN
REA AUDITORA 1
DMSAI
16.037/10
243.479/10
247.247/10
1.201/10
REMITE INFORME FINAL QUE INDICA PMET
REF.
SANTIAGO,
Adjunto, remito a Ud., copia de Informe
Final N 79, de 2010, debidamente aprobado, sobre auditora al macroproceso de
Tecnologa de la Informacin, efectuada enese municipio.
Por Ordon dol Cont lor General
PRISC1LA J ARJ FUENTES
Abog~tlo
S l I O / a f t blvlaln d Municipalidades
AL SEOR
ALCALDE DE LA
MUNICIPALIDAD DE LAS CONDES
PRESENTEI
ODIVISIN DE MUNICIPALIDADES
REA DE AUDITORA 1
PMET
REF.
DMSAI
16.037/10
243.479/10
247.247/10
1.201/10
REMITE INFORME FINAL QUE INDICA
SANTIAGO, 1 4. t\~fi 1 1* O 15 ~49
Adjunto, srvase encontrar copia del
Informe Final N 79, de 2010, de esta Contralora General, con el fin de que, en la
primera sesin que celebre el concejo municipal, desde la fecha de su recepcin,
se sirva ponerlo en conocimiento de ese rgano colegiado entregndole copia del
mismo.
Al respecto, Ud. deber acreditar ante esta
Contralora General, en su calidad de secretario del concejo y ministro de fe, el
cumplimiento de este trmite dentro del plazo de diez das de efectuada esa
sesin.
AL SEOR (------------------
SECRETARIO MUNICIPAL DE LAS CONDES
PRESENTE
REA AUDITORA 1
DMSAI
16.037/10
243.479/10
247.247/10
1.201/10
REMITE INFORME FINAL QUE INDICA PMET
REF.
SANTIAGO,
Adjunto, remito a Ud., copia de Informe
Final N 79, de 2010, debidamente aprobado, sobre auditora al macroproceso de
Tecnologa de la Informacin, efectuada enese municipio.
Por Orden de Conlralor Genlilral
PRlSCILA ARA FUENTES
.bogado
Subjefe . In de Municipalidades
AL SEOR
DIRECTOR DE CONTROL
MUNICIPALIDAD DE LAS CONDES
PRESENTEI
REA AUDITORA 1
16.037/10
243.479/10
247.247/10
1.201/10
INFORME FINAL N 79, DE 2010, SOBRE
AUDITORA DE SISTEMAS
INFORMTICOS EN LA MUNICIPALIDAD
DE LAS CONDES. DMSAI N
SANTIAGO, ,~M M t 201'
En cumplimiento del plan anual de
fiscalizacin para el ao 2010 Y de acuerdo con las facultades establecidas en la ley
N 10.336, Orgnica de esta Institucin, esta Contralora General se constituy en la
Municipalidad de Las Condes, para efectuar una auditora de sistemas informticos.
Objetivo
El objetivo del examen consisti en revisar y
evaluar aspectos relacionados con las polticas, normas, prcticas y procedimientos
de control relativos a los sistemas basados en las tecnologas de informacin y
comunicaciones (TIC), incluidas aquellas actividades de tipo manual o no
automatizadas, que se desarrollan enel entorno de tales sistemas.
Metodologa
El trabajo se efectu conforme a las normas y
procedimientos de control aceptados por este Organismo Fiscalizador e incluy las
pruebas de validacin respectivas, sin perjuicio de utilizar otros medios tcnicos
estimados necesarios en las circunstancias.
Alcance
La revisten abarc el perodo comprendido
entre enero y junio de 2010, circunscribindose a las siguientes reas:
a) Controles generales de las tecnologas de la informacin (TI).
b) Controles de seguridad fsica.
e) Controles de procedimientos de respaldo.
d) Controles de recuperacin de desastres.
e) Controles especficos asociados a las aplicaciones de procesos significativos.
A LA SEORA
SUBJ EFE DE LA DIVISiN DE
MUNICIPALIDADES
PRESENTE
J PT/BLC
REA AUDITORA 1
- 2-
f) Sistemas administrativos municipales
Permisos de circulacin.
Tesorera municipal.
Patentes municipales.
g) Contratos vigentes.
- Adexus S.A.:
Servicio de centros de impresin multifuncionales y
fotocopiado de planos.
Asesora y Capacitacin Technotronic Ltda.
Servicio de instalacin de switch centrales.
- Bell Technologies S.A.
Servicio de arriendo de central telefnica y otros servicios para el
sistema de telefona.
- DirectTV Chile Televisin Ltda.
Servicio de televisin satelital en el edificio municipal.
- Elas J uri Clavera.
Servicio de acceso, informacin, atencin, diseo de pginas web y
servicios virtuales de Internet.
- E-Sign S.A.
Servicio de emisin de certificados electrnicos para permisos de
circulacin.
- GTD Teleductos S.A.
Servicio de instalacin de acceso Frame Relay digital de 128 Kbps
equipado con elemento terminal de comunicacin y router interfaz
usuario RJ -45.
- Ingeniera y procesos Electrnicos Contables Ltda. (Proexsi Ltda).
Servicio de sistema computacional integral bajo la modalidad "In
house".
- Legal Publishing Chile Ltda.
Servicio de suscripcin a unservicio de consulta va online.
- Servicio de Registro Civil e Identificacin.
Convenio de conectividad y prestacin de servicios a la Municipalidad
de Las Condes.
- Sociedad de Inversiones Unga S.A.
Servicio de recaudacin y mantencin de sistema computacional de
inventarios de equipos y bienes.
- Tecnodisk Servicio de Computacin Ltda.
Servicio de adquisicin de computadores personales.
h) Cumplimiento de los decretos supremos Ns 77, 81 Y 83, de 2004; y, Ns 93 Y
100, de 2006, del Ministerio Secretara General de la Presidencia.
En el contexto de los objetivos de auditora,
se evaluaron los temas relacionados con tecnologas de informacin en rgimen
operativo y que tienen relacin directa o indirecta con transacciones automatizadas de
los sistemas administrativos municipales.
En tal sentido, se efectu un anlisis de los
procedimientos municipales especficos y de la aplicacin de controles, con la
finalidad de verificar que la seguridad implantada en los procesos brinde a las
transacciones de los sistemas un resguardo operacional apropiado, as como que
REA AUDITORA 1
-3-
hayan sido debidamente autorizadas, validadas y procesadas, de forma correcta y
oportuna.
La informacin utilizada fue proporcionada
por el director de control de la Municipalidad de Las Condes y puesta a disposicin de
esta Contralora General confecha 21 de septiembre de 2010.
Cabe precisar que, con carcter confidencial,
mediante oficio N 67.719, de 12 de noviembre de 2010, fueron puestas en
conocimiento del alcalde las observaciones comprobadas al trmino de la visita, con la
finalidad que formulara los alcances y precisiones que a su juicio procedieran, lo que
se concret mediante oficio ordinario alcaldicio N 1/1393, de 28 de noviembre de
2010.
1.- AMBIENTE TI ACTUAL DEL SERVICIO.
1.- Procesos significativos asociados a TI.
El municipio presenta los siguientes procesos
significativos:
a) Pago de permiso de circulacin y emisin de certificado.
b) Pago y emisin de patente comercial.
e) Decretos de pago y remuneraciones.
d) Transacciones de ingresos.
2.- Estructura organizacional.
\
El departamento de computacin e
informtica de la Municipalidad de Las Condes se encuentra en un nivel jerrquico
medio dentro de la estructura organizacional, dependiendo directamente de la
administracin municipal, situacin que determina la imposibilidad de una acabada y
profunda evaluacin para la toma de decisiones, que implique mejorar los procesos
municipales debido, adems, a la inexistencia de calificacin profesional acorde al
rea por parte de la jefatura, lo cual se grafica enel organigrama, anexo N 1.
El departamento ya sealado opera
prestando servicios de soporte de hardware y redes, encontrndose conformado por
cinco profesionales, uno de los cuales se desempea como jefe de dicha dependencia
y cuatro como subalternos, ms una secretaria, cuyo detalle se indica en el cuadro
siguiente.
REA AUDITORA 1
-4-
Calidad
Calificacin
Dependencia
Nombre Cargo
tcnica
jurdica
profesional
jerrquica
lvaro Profesional-
Ingeniero Administrador
Fuentes J efe del Contrata
Gomien departamento
Comercial municipal
Marina
Ingeniero en Administrador
J imnez Profesional Planta
Seplveda
Informtica municipal
J uan Pea
Profesional Planta
Ingeniero civil Administrador
Pea industrial municipal
Marcelo
Profesional Planta
Ponce Tirado 1nformtica municipal
Alejandro
Surez Profesional Planta
Astudillo
Informtica municipal
J ohana
Secretaria Contrata Secretaria
Administrador
Rojas Rubio municipal
No se han realizado evaluaciones de
calificacin tcnica al personal que se desempea en la dependencia ya citada.
En su respuesta, la autoridad comunal, en
sntesis, corrobora lo planteado respecto a la dependencia jerrquica del
departamento de computacin e informtica, manifestando la intencin de dar mayor
relevancia a la gestin, por cuanto el administrador municipal es quin concentra las
funciones de coordinacin.
Asimismo, respecto a los funcionarios que
laboran en el citado departamento, indica que stos cuentan con la calificacin para
llevar a cabo el desarrollo e implementacin de proyectos en las reas de
computacin, informtica y telefona.
Al respecto, cabe sealar que el
administrador municipal es de profesin Ingeniero Agrnomo, formacin que no se
encuentra directamente relacionada con las labores efectuadas por el departamento
de computacin e informtica a nivel municipal, dependencia que se encuentra bajo
su dependencia. Por otra parte, al ser un departamento especializado, debiera
depender directamente de la autoridad comunal, con el objeto de entregar mayor
autonoma a los procesos de toma de decisiones y operaciones, por lo anterior, se
mantiene lo observado.
En lo referido a la ausencia de evaluaciones
de calificacin tcnica profesional, la autoridad expone que stas no son necesarias,
ya que los ttulos y la experiencia de los profesionales del rea, son suficientes para
asegurar las operaciones de la actual plataforma de hardware y software, adems, se
efectan evaluaciones semestrales del desempeo de los funcionarios. Sin embargo,
se observa la carencia de evaluaciones especializadas peridicas respecto de las
competencias tcnicas del personal de dicha rea, por lo cual procede mantener lo
observado.
REA AUDITORA 1
-5 -
Cabe agregar que el ttulo profesional slo
acredita estudios, por parte del personal, pero no certifica que ellos realicen sus
funciones de acuerdo a los objetivos del departamento.
3.- Diagrama de red.
La operacin de las redes y procedimientos
para la gestin de equipos remotos, incluyendo los equipos en reas de usuarios,
tiene como responsable al jefe del departamento de computacin e informtica, con
dependencia de la administracin municipal, y la empresa Proexsi Ltda.,
respectivamente.
De acuerdo a los antecedentes
proporcionados por el jefe del departamento de computacin e informtica, la
Municipalidad de Las Condes cuenta actualmente con una red informtica
estructurada por unidad, adems de puntos de red certificados.
Por otra parte, la entidad presenta
deficiencias relacionadas con los procedimientos y servicios orientados a resguardar
la integridad de los datos municipales. Lo anterior, debido a que el municipio, aunque
cuenta con procedimientos destinados a dar continuidad a los servicios, no posee un
plan de recuperacin de desastres formal ante cualquier eventualidad, que agrupe
equipos de contingencia, procedimientos a realizar, plan alternativo, evaluacin de
reas crticas, difusin y prueba del planformal a nivel municipal.
Mediante memorndum N 574, de 21 de
septiembre de 2010, el jefe del departamento de computacin e informtica inform
los procedimientos a operar encasos de contingencia, a saber:
Servidor central de procesos se encuentra configurado en modalidad hotspare.
Respaldo diario en medios magnticos del software de las aplicaciones
municipales.
Respaldo diario de la auditora de cada una de las bases de datos del municipio
en medios magnticos.
UPS y un grupo electrgeno que sustenta a la red computacional y el equipo
central en caso de uncorte de energa elctrica.
Monitoreo y administracin del servidor central durante las 24 horas del da
Los diagramas del modelo general de la red
del municipio y el datacenter se presentan en anexo N2.
Adicionalmente se encuentran los siguientes
servidores activos, ubicados en la direccin de trnsito y transporte pblico, Avda.
Presidente Riesco N 5.296, se detalla en cuadro adjunto:
REA AUDITORA 1
- 6 -
Nombre Cantidad CPU RAM Disco Duro
libra 400
PROEXSI Servidor MCP 1
Intel Xeon CPU
8GB 680GB
E5440-
2.83GB
UNISYS
ES3220l
PROEXSI Servidor Aplicaciones 1 Intel Xeon CPU 12 GB 680GB
X5450-
3.00GHz
Hp Proliant
Dl380 G5
PROEXSI Servidor Web 1 Intel Xeon CPU 3,25 GB 280 GB
E5430-
2.66GHz
Hp Proliant
Dl380 G5
PROEXSI Servidor Cartografa 1 Intel Xeon CPU 3,25 GB 280 GB
E5430-
2.66GHz
Dell Dimensin
OFPA Sal y Cubos Olap. 1
5150
1GB 80GB
Intel Pentium 4
CPU-3.40GHz
lenovo
HUELLA Produccin. 1
Intel Pentium
1GB 80GB
Dual CPU
E2160-1.8GHz
El alcalde en su respuesta, seala que el
municipio cuenta con un plan de recuperacin de desastres formal, el que est
establecido en las bases de licitacin del servicio, en la oferta del oferente adjudicado
y materializado con la aplicacin de los procedimientos definidos a travs de un
"Remote Database Backup", RDB, el cual consiste en :
Tener replicada una base de datos DMS-II, desde un Host Primario modelo
Libra 400 ubicado en Avda. Presidente Riesco N 246, hacia un Host
Secundario modelo Libra 590 ubicado en Moneda N 1.040).
la transferencia y actualizacin de datos entre ambos Host se realiza online, la
cual es realizada por una lnea privada de datos.
De acuerdo a lo anterior, corresponde
levantar la observacin formulada, toda vez que el municipio cuenta con
procedimientos establecidos en caso de contingencias y plan de recuperacin de
desastres informticos.
4.- Proyectos establecidos implementados.
Actualmente el municipio cuenta con los
siguientes proyectos vigentes:
REA AUDITORA 1
- 7-
a) Sistemas online.
El jefe de departamento de computacin e
informtica, mediante memorndum N 618, de 5 de octubre de 2010, inform sobre
los sistemas online y el uso de firma electrnica avanzada, en los siguientes trminos:
~ Renovacin de certificado SSL 128 bits con la empresa E-SIGN S.A.,
por un perodo de 2 aos para sitio web transaccional
www.lascondesonline.cl.
~ Aplicacin de firma electrnica avanzada con dispositivo
criptogrfico, E-Token adquirido a la empresa E-CERTCHILE, en
proceso de Declaracin de Capital 2010, para el departamento de
patentes municipales.
~ Aplicacin de firma electrnica avanzada dentro del proceso de venta
de los permisos de circulacin por Internet del municipio, contratado
a la empresa E-SIGN S.A., a objeto que el contribuyente pueda
obtener enforma automtica el permiso de circulacin desde su casa
u oficina, sin concurrir al municipio.
b) Infraestructura tecnolgica.
Redes
Se cuenta con una red basada en un par de
switch central 3Com modelo 4.800, que realiza las tareas de conmutacin a niveles 2
y 3 del modelo OSI. Estos equipos, as como la central telefnica IP, servidores y
dispositivos de red, estn alojados en un datacenter municipal, el que posee aire
acondicionado, alimentacin estabilizada por UPS y respaldo de energa con
generadores.
Asimismo, en estos switchs L3 estn
definidas vlans 802.1Q para datos y vlans 802.1Q para telefona, de tal forma que
ambos trficos se mantienen separados. Las vlans estn asociadas a interfaces IP
con direccionamiento privado en base a RFC1918 y el direccionamiento de los
clientes es fijo.
Adems, los servicios que se ejecutan sobre
la red son los de datos y adicionalmente los de telefona IP, para los cuales est el
trfico con "Diffserv Code Point" (DSCP). Los servicios de datos son bsicamente
Internet y aquellos que tienen relacin con los sistemas informticos propios del
municipio, los que residen en unequipo central Libra 400 de marca Unisys.
Telefona IP.
Durante el ao 2008, se llam a licitacin
pblica para contratar los servicios de arriendo de central telefnica y otros servicios
para el sistema de telefona de la Municipalidad de Las Condes, ID 2560-11014-LP08,
adjudicada a la empresa Sell Technologies S.A. A la fecha se dispone de 705
telfonos IP enfuncionamiento.
La referida central IP y el nmero telefnico
9507000 soportan el sistema de telefona de todas las unidades municipales
interconectadas en red, y distribuidas endistintos puntos de la comuna.
'l i J
IL'
REA AUDITORA 1
-8-
Enlace de comunicaciones:
Para las dependencias menores el municipio
dispone de servicios ADSL contratados a la empresa GTD Manquehue S.A., o
Telefnica Empresas Chile S.A., para acceso a Internet en las oficinas municipales
que se indican:
~ Infocentro del Centro Comunitario Diaguitas, Diaguitas N 911.
~ Infocentro Centro Comunitrio Rotonda Atenas, Avda. Coln N7.385.
~ Infocentro, Circulo de Adultos Mayores El Canelo, Curaco N 1.886.
~ Centro Comunitario Padre Alberto Hurtado.
~ Centro de atencin integral al nio y su familia.
~ Casa Coln.
~ Casa de la Discapacidad.
~ Casa Orientacin Familiar, Camino el Alba SIN.
~ Oficina Canil, Avda. Fleming N 9.809.
~ Bodega Municipal, Andrs Bello N2.610.
~ Internet inalmbrico para y edificio Municipal, Avda. Apoquindo N 3.400.
~ Internet Inalmbrico para y edificio Municipal, Avda. Apoquindo N 3.300.
~ Oficina convenio Sil, Los Militares.
~ Parque Tenis El Alba.
~ Parque Araucano.
Por otra parte, se mencionan los servrcios
proporcionados por la empresa GTD Teleductos S.A.; en relacin a los servicios de
enlaces de comunicacin.
- Provisin de lneas de comunicacin a travs de enlaces de fibras pticas
dedicadas, que interconectan los distintos inmuebles municipales.
- Se cuenta con tres enlaces de fibra ptica para Internet, los cuales permiten
otorgar acceso a Internet a los funcionarios municipales, distribuidos por la red
LAN en distintas dependencias municipales; publicar www.lascondes.c1 en la
web; disponer servidores de correo electrnico y publicar
www.lascondesonline.c1 en la web.
El detalle de los enlaces de comunicaciones
de la Municipalidad de Las Condes se detalla en anexo N 3.
c) Mantenimiento:
Mediante memorndum N 1.725, de 27 de
septiembre de 2010, emitido por el jefe del departamento de administracin, ste
inform sobre las medidas de mantenimiento del equipamiento de la sala de
servidores, cuyo detalle es el siguiente:
Respecto al equipo de aire acondicionado de la sala
de servidores, se realizaron las mantenciones detalladas en cuadro que sigue:
REA AUDITORA 1
- 9 -
Dependencia municipal Empresa Certificado Fecha
Edificio consistorial Interna Climatizacin & Certificados 15-09-2010
Multiservicios S.A.
Edificio direccin de Sistemas Trmicos Certificado de 15-08-2010
Trnsito Ltda. mantencin
preventiva
Edificio Centro Cvico Master Clima S.A. Declaracin jurada 07-09-2009
En relacin a la mantencin de los sistemas de
extincin y deteccin de incendios, ello se detalla enel cuadro siguiente:
Dependencia Empresa Certificado Fecha
Municipal
Edificio consistorial Ovalle y Compaa Certificado N632 11-11-2003
Ltda.
Edificio consistorial Ovalle y Compaa Certificado mantencin 15-09-2010
Ltda. preventiva
Edificio centro Polex Chile S.A. Declaracin jurada 07-09-2009
cvico
Edificios Comercial Espinoza Certificado tcnico 15-09-2010
municipales Polanco Ltda.
El detalle de las mantenciones de la
instalacin elctrica se describe a continuacin.
Dependencia Municipal Empresa Certificado Fecha
Edificio consistorial Empresa ETIC Declaracin jurada 10-12-2003
S.A. notarial.
Edificio centro cvico SEC Superintendencia de 04-09-2009
Electricidad y
Combustible TE1
11.- SOBRE CONTROL INTERNO, PROCESOS TI Y EL RIESGO DE FRAUDE.
1.- Control interno.
En relacin con la toma de decisiones
respecto de las polticas de sistemas e inversin de equipamiento, sta se lleva a
cabo por personal no capacitado en informtica.
Por otra parte, dentro del departamento de
computacin e informtica no se manejan matrices de control, que consideren el
anlisis de acceso fsico a instalaciones y lgico de los sistemas.
No se han practicado revisiones programadas
y auditoras internas con un enfoque a las TI, lo que provoca la ausencia de informes
sobre el estado de la plataforma de hardware y software, revelando la falta de
planificacin que actualmente mantiene ese departamento en esta rea de operacin.
A modo de ejemplo, se puede citar que no
existen polticas de rotacin de equipos de acuerdo a su potencialidad y carga de
i
,r;)~
leJ
al
REA AUDITORA 1
- 10 -
procesos informticos, asmusmo, no se realiza una evaluacin relacionada con la
criticidad de stos, con el fin de asegurar su funcionamiento continuo.
En relacin con los prrafos precedentes, el
jefe del departamento de computacin e informtica inform que se haba realizado
una auditora al actual funcionamiento del servidor central Libra 400, por la empresa
Unisys S.A., determinando que su capacidad no es suficiente para atender la
demanda en momentos peak, que el encolamiento de tareas se presenta por sobre el
mximo aceptable, que la memoria asignada a la base de datos resulta insuficiente y
que en los momentos peak de procesamiento no hay reserva tcnica para
emergencias.
Mediante decreto alcaldicio seccin 1
a
N 1.778, de 11 de mayo de 2005, se aprob el reglamento de organizacin interna de
funcionamiento de la Municipalidad de Las Condes, modificado por decreto seccin
1
a
N 2.683, de 12 de julio de 2006, que regula el funcionamiento de cada una de las
unidades involucradas en la gestin municipal.
El reglamento sealado, en su ttulo 1, seccin
cuarta, indica las funciones del departamento de computacin e informtica,
relacionadas con el estudio, evaluacin y proposicin de nuevas tecnologas,
proyectos informticos y desarrollo, a fin de optimizar la gestin administrativa del
municipio y los servicios informticos, dichas funciones se encuentran detalladas en
anexo N4.
Respecto de las polticas de sistemas e
inversin de equipamiento, el alcalde en su respuesta seala que el fundamento de
los proyectos informticos, as como de los riesgos y factibilidades tcnicas para
contratar nuevos servicios en tecnologas de informacin, es elaborado por los
profesionales que se desempean en el departamento de computacin e informtica,
agregando que se cuenta con la asesora de la empresa Solnet S.A., la que presta
ayuda en el mejoramiento continuo de los sistemas y migracin de la plataforma
tecnolg ica.
Respecto de lo expresado en el prrafo
precedente, corresponde mantener la observacin formulada sobre la materia, dado
que el profesional a cargo del departamento de computacin e informtica no cuenta
con la calificacin tcnica necesaria, dado su ttulo de ingeniero comercial, profesin
no relacionada especficamente con las labores propias del encargado de los
sistemas de informacin del municipio. Cabe sealar, que el departamento se
encuentra conformado, adems, por cuatro profesionales del rea de sistemas,
quienes en su conjunto elaboran las tareas de dicho departamento, sin embargo, las
decisiones y responsabilidades pertinentes recaen en el encargado sealado
anteriormente.
En cuanto a la inexistencia de matrices de
control, la autoridad, en su respuesta expone que el departamento sealado cuenta
con una matriz de riesgos, elaborada con informacin estadstica histrica del rea
informtica, ajustada a valorizacin de la infraestructura de TI actual del municipio, por
lo que procede levantar la observacin.
Adicionalmente, en relacin a la falta de
revisiones programadas y auditoras con un enfoque a las TI, el alcalde informa que
se hanefectuado las siguientes fiscalizaciones:
REA AUDITORA 1
- 11 -
Revisin funcionamiento del servidor central Libra 400, realizado por la
empresa Unisys S.A.
Estudio de utilizacin de los sistemas computacionales que apoyan la gestin
de las direcciones municipales, realizado por DICTUC.
Estudio de los sistemas de informacin, para la generacin de indicadores de
toma de decisiones, realizado por la empresa Solnet S.A.
Analizada la respuesta del alcalde,
corresponde levantar la observacin formulada, excepto lo referido a la ausencia de
revisiones programadas, toda vez que stas no han sido efectuadas. Cabe sealar
que estas revisiones corresponden a chequeos realizados de acuerdo a una
planificacin de medidas preventivas en forma peridica, acciones que no se advierte
hayan sido efectuadas por el municipio. En efecto, la autoridad indica que se
desarroll una auditora por la empresa Unisys S.A., la cual tuvo como objeto revisar
el funcionamiento del servidor central Libra 400, sin embargo, dicha revisin no tiene
relacin con lo observado, respecto a las revisiones programadas de la plataforma de
software y hardware.
2.- Riesgos asociados a TI.
Segn los datos levantados, se consideraron
los siguientes riesgos asociados a los procesos de TI municipales:
a) Obtencin y/o renovacin de permiso de circulacin sin ingreso y/o
acreditacin fsica y online de datos sobre propietario, placa patente nica,
seguro obligatorio, revisin tcnica y multas impagas.
b) Obtencin y/o renovacin de patente municipal sin ingreso y/o acreditacin
de datos de contribuyente, propiedad, sucursales y datos del Servicio de
Impuestos Internos.
e) Emisin de decretos de pago sin registrar datos y/o sin comprobantes.
d) Decretos de pago imputados a cuentas presupuestarias que no
corresponden.
e) Emisin de cheque individual sin consultar datos en sistema de contabilidad
gubernamental.
f) Recepcin de pagos con clculo de intereses y multas fuera del perodo.
111.- REVISiN DE CONTRATOS VIGENTES ASOCIADOS A TI.
Los contratos suscritos por la Municipalidad
de Las Condes en el mbito de TI son operados por las empresas Adexus S.A.,
Asesora y Capacitacin Technotronic Ltda., Bell Technologies S.A., DirectTV Chile
Televisin Ltda., Elas J uri Clavera, E-Sign S.A., GTD Teleductos S.A., Ingeniera y
Procesos Electrnicos Contables S.A., Legal Publishing Chile Ltda., Servicio de
Registro Civil e Identificacin, Sociedad de Inversiones Unga S.A. y Tecnodisk
Servicio de Computacin Ltda.
REA AUDITORA 1
- 12 -
Tales contratos, en el perodo en examen,
estn normados tcnicamente y en funcionamiento, realizndose anlisis y pruebas
de validacin de integridad de datos a registros de procesos crticos, evaluacin de
disponibilidad, tiempos de respuesta y reportes de salida.
En cuanto a los aspectos administrativos, es
necesario sealar lo siguiente:
1.- ADEXUS S.A.
Mediante decreto alcaldicio seccin 1a
N 2.410, de 12 de mayo de 2009, se adjudic a la empresa ADEXUS S.A., previa
licitacin pblica, ID N 2560-18-LP09, la prestacin del "Servicio de centros de
impresin multifuncionales y fotocopiado de planos para las unidades de la
Municipalidad de Las Condes", y sus modificaciones, que se indican en cuadro
adjunto.
N
decreto
alcaldicio
Servicio
Valor
mensual
s IVA
Fecha
Servicio original
2.410
12-05-2009 144,822
Incorpora 5 nuevas impresoras
multifuncionales marca Samsung,
modelo 6545N, establecindose un valor
unitario mensual es de 1,53 UF ms IVA,
lo anterior rige desde el 1 de marzo de
2010.
951 18-02-2010 7,650
Traspasa la supervisin del servicio al
departamento de administracin,
dependiente de la direccin de
administracin y finanzas.
1.252 19-03-2010 o
Incorpora urna impresora multifuncional
marca Samsung, modelo 6545N.
1.441
01-04-2010 1,530
Total 154,002
La vigencia del contrato es a contar de la
fecha de puesta en funcionamiento del servicio en su totalidad, por un perodo de 36
meses.
El costo fijo mensual asciende a 154,002 UF
ms IVA, ms un costo variable mensual de 0,052466 UF, que se detalla en cuadro
siguiente:
Servicio Costo unitario UF ms IVA
Impresin en blanco y negro 0,00017
Impresin a color 0,00158
Metro lineal de fotocopiado de planos 0,052466
REA AUDITORA 1
- 13 -
Para el fiel cumplimiento del servicio se hizo
entrega de una boleta de garanta N 1144632, del Banco Internacional, por un monto
de $23.000.000.-, con vencimiento al 5 de octubre de 2011.
Durante el perodo en estudio el municipio no
ha realizado desembolsos por el contrato en referencia.
El contrato no considera clusulas sobre
operaciones orientadas a:
Asesora tcnica a proporcionar.
Planes de contingencia encaso de fallas enequipamiento.
Especificaciones de los detalles tcnicos por servicios entregados.
2.- Asesoras y Capacitacin Tecnotronic Ltda.
N 1.878, de 15 de abril de 2010, se contrat va trato directo, ID N 2345-1584-SE10,
a la empresa Asesoras y Capacitacin Tecnotronic Ltda., para la prestacin del
servicio de instalacin de switches centrales de respaldo en la sala de computacin
ubicada en Avda. Presidente Riesco N 5.296, Y sala de telefona, ubicada en piso 8
del edificio municipal ubicado en Avda. Apoquindo N 3.400, con una vigencia de 90
das a partir de la fecha de notificacin del decreto alcaldicio. El valor total del servicio
asciende a 87,79 UF IVA incluido.
El decreto alcaldicio invoca la causal de trato
directo contenida en el N 7, letras f) y g), del artculo 10 del decreto 250, de 2004, del
Ministerio de Hacienda, esto es, que segn la magnitud e importancia que implica la
contratacin se haga indispensable recurrir a un proveedor determinado en razn de
la confianza y seguridad que se derivan de su experiencia comprobada en la provisin
de los bienes o servicios requeridos, y siempre que se estime fundadamente que no
existen otros proveedores que otorguen esa seguridad y confianza, como asimismo,
cuando se trate de la reposicin o complementacin de equipamiento o servicios
accesorios, que deben necesariamente ser compatibles con los modelos, sistemas o
infraestructura previamente adquirida por la respectiva entidad, respectivamente,
siendo publicado enel portal mercadopblico.
Para el fiel cumplimiento del servicio, la
empresa deba hacer entrega de una boleta de garanta o vale vista a nombre de la
municipalidad, por un monto equivalente al 10% del valor total del contrato, con una
vigencia igual a la del contrato ms 30 das, documento que no fue proporcionado por
el municipio durante al auditora.
Sobre lo anterior, el alcalde en su respuesta,
no adjunta la boleta de garanta respectiva, por lo que se mantiene la observacin.
ha realizado desembolsos por el servicio contratado.
En relacin al contrato, no se consideran
clusulas sobre operaciones orientadas a:
Fechas de facturacin de los servicios.
Especificaciones de valores y detalles tcnicos por servicios entregados.
Multas por fallas enel servicio.
REA AUDITORA 1
- 14-
Plan de contingencia por siniestros fsicos.
3.- Bell Technologies S.A.
N 4.967, de 21 de noviembre de 2008, se adjudic a la empresa mencionada,
mediante licitacin pblica ID N 2560-11014-LP08, el servicio de "Arriendo de central
telefnica y otros servicios para el sistema de telefona de la Municipalidad de Las
Condes", con una vigencia por 48 meses, perodo que podra renovarse por nica vez
hasta por unmximo de 12 meses.
La prestacin adjudicada ha incorporado
sucesivas modificaciones, pagando la Municipalidad de Las Condes un valor mensual
ascendente a 234,42279 UTM, IVA incluido, cuyo detalle se indica a continuacin:
Valor
Ndecreto
Fecha Servicio
mensual
alcaldicio UTMIVA
incluido
4.967 21-11-2008 Servicio original 230,94121
Supervisin del
..
servrcio,
corresponder al departamento de
1.164 12-03-2010 administracin, dependiente de la O
direccin de administracin y
finanzas.
Incorpora 40 equipos telefnicos
marca Avaya, modelo 1608 tipo B
por un valor de 0,05326 UTM ms
2.332 20-05-2010 IVA; y 10 equipos telefnicos 3,48158
maraca Avaya modelo 9620 tipo A
por un valor de 0,07953 UTM ms
IVA.
Total 234,42279
Para el fiel cumplimiento del contrato, la
empresa citada hizo entrega de las boletas de garantas N 371860-2, por 700 UF, Y
N 371861-0, por 300 UF, por responsabilidad civil por daos a terceros, ambos
documentos del Banco de Chile, convencimiento al 21 de enero de 2013.
Durante el perodo en estudio el municipio ha
desembolsado la suma de $8.445.289.-, el detalle se seala en anexo N 5.1.
En relacin al contrato en comento, no se
consideran clusulas sobre operaciones orientadas a:
Plan de contingencia encaso de desastres y/o prdidas de las comunicaciones.
REA AUDITORA 1
-15 -
4.- DirectTV Chile Televisin Ltda.
N 862, de 23 de febrero de 2005, fue formalizado el contrato entre esa entidad
municipal y la empresa Sky Chile Televisin Directa al Hogar Limitada y Compaa en
Comandita por Acciones, hoy DirectTV Chile Televisin Ltda., para la prestacin del
servicio de televisin satelital enel edificio municipal, establecindose una vigencia de
unao, pudiendo renovarse automticamente por perodos iguales de 6 meses.
Sobre el particular, cabe sealar que, el
servicio fue contratado va trato directo, no aduciendo una causal legal o
reglamentaria para recurrir a tal modalidad excepcional de contratacin.
Adems, el decreto alcaldicio ya indicado, no
fue publicado en portal www.mercadopublico.c1. de acuerdo a las verificaciones
efectuadas. Consultado al respecto al jefe de computacin e informtica, ste seal
mediante correo electrnico de 10 de noviembre de 2010, que a la fecha del citado
documento, que corresponde al 23 de enero de 2005, no era requisito de la Ley de
Transparencia realizar dicha publicacin.
Sobre lo anterior, resulta del caso precisar
que la obligacin de que se trata no encuentra su origen en el cuerpo legal sealado
por el aludido funcionario, sino en los artculos 18,19 Y 20 de la ley N 19.886, de
Bases sobre Contratos Administrativos de Suministro y Prestacin de Servicios, y su
reglamento, contenido en decreto N 250 de 2004, del Ministerio de Hacienda, que
exigen la concurrencia de una causal legal para la realizacin de contrataciones va
trato directo, y que ello se apruebe mediante resolucin fundada, que debe publicarse
en el portal de compras pblicas, segn los artculos 8 de la ley y 10, 49, 50 Y 57,
letra d) de su reglamento.
En todo caso, si la explicacin del aludido
funcionario se refiriera a la entrada en vigencia plena del sistema de informacin de la
ley de compras pblicas, debe precisarse que ello se produjo el 1 de enero de 2005,
conforme los decretos Ns 1.179, de 2003, y 638, de 2004, ambos del Ministerio de
Hacienda, a travs de los cuales se estableci el calendario de incorporacin gradual
de las municipalidades al sistema de informacin, de modo tal que, al momento de
suscribirse el contrato impugnado -23 de febrero de 2005- la Municipalidad de Las
Condes se encontraba en la obligacin de dictar una resolucin fundada y publicarla
en el portal.
Respecto del fiel cumplimiento del contrato,
no se encuentra estipulada la entrega de algn documento de resguardo.
En su respuesta, el edil seala que se
proceder, durante el ao 2011, a efectuar una licitacin del servicio de TV cable, para
efectos de regularizar la falta de razones fundadas para la contratacin directa del
servicio.
Sobre la falta de estipulacin de garantas en
el contrato precedentemente sealado, el edil no se pronuncia.
Al respecto, se levanta la observacin, en el
entendido que el municipio efectivamente licitar los servicios de que se trata durante
~ 2011, lo que ser verificado enfuturas fiscalizaciones.
REA AUDITORA 1
- 16 -
El contrato ha sufrido sucesivas
modificaciones, cuyo detalle se indica a continuacin, debiendo pagar la Municipalidad
de Las Condes unvalor mensual ascendente a $180.500.-.
Valor
Ndecreto
Fecha Servicio
mensual $
alcaldicio IVA
incluido
862 23-02-2005 Contrato original. 76.000
Establecer que la empresa con la que se
2.540 27-06-2006 suscribi el contrato es DirectTV Chile O
TelevisinLtda.
Incorpora servicio de televisin satelital a
4.967 26-12-2007
los departamentos de seguridad ciudadana
73.000
y emergencia, y en el nuevo edificio de
centro comunitario Padre Hurtado.
Incorporael servicio detelevisinsatelital al
964 18-02-2010 departamentode deportes eventos y 31.500
recreacin.
Total 180.500
Durante el perodo en revisten esa entidad
comunal desembols la suma de $39.050.-, por los servicios prestados, de acuerdo a
los antecedentes puestos a disposicin por esa corporacin en el transcurso de la
visita. Ver anexo N 5.2.
En relacin al contrato y sus modificaciones
posteriores, no se consideran clusulas sobre operaciones orientadas a:
Fecha de facturacin de los servicios.
Multas por fallas.
5.- Elas J uri Clavera
Con fecha 8 de abril de 1997, esa entidad
comunal celebr con don Elas J uri Clavera un contrato para la entrega de servicios
de acceso, informacin, atencin, diseo de pginas Web y servicios virtuales de
Internet, acto formalizado por decreto alcaldicio seccin 1
a
N 753, de 14 de abril de
1997, con una duracin de 2 aos contados desde la fecha de inicio, siendo renovado
tcita y automticamente por perodos iguales y sucesivos de dos aos, y cuyo pago
mensual asciende a $950.000.- ms IVA.
Posteriormente, con fecha 1 de octubre de
2003, el contrato fue modificado y ampliado en lo que respecta a otorgar al municipio
el servicio de asistencia periodstica, a travs de un profesional del rea, para el
diseo de una pgina Web, y de unadministrador de correos electrnicos corporativos
y administracin de base de datos, lo que fue aprobado por decreto alcaldicio seccin
REA AUDITORA 1
- 17 -
1
a
N 2.787, de 13 de octubre de 2003, fijndose un honorario mensual de
$2.027.653.-.
Para el fiel cumplimiento del contrato, don
Elas J uri Clavera deba hacer entrega de una boleta de garanta o vale vista por un
monto de 130 UF, con una vigencia igual al plazo que reste de la prrroga
actualmente vigente del contrato, ms 30 das.
La supervisin del contrato corresponde al
departamento de informtica, unidad que tiene a cargo la supervisin tcnica y
administrativa en lo que dice relacin con la visacin de los pagos a efectuar al
contratista.
Con fecha 1 de febrero de 2010, la
Municipalidad de Las Condes modific el contrato en referencia, establecindose que
el valor mensual de los servicios contratados asciende a $2.511.731.-, ms IVA, acto
que fue formalizado por decreto alcaldicio seccin 1a N 1.337, de 25 de marzo de
2010.
Para garantizar el fiel y oportuno
cumplimiento del contrato, el seor J uri Clavera hizo entrega de una boleta de
garanta bancaria N 060017-7, del Banco de Chile, por 140 UF, a nombre de la
municipalidad, confecha de vencimiento el 21 de mayo de 2012.
En el perodo bajo examen, esa entidad ha
desembolsado la suma $17.481.673.-, por los servicios recibidos, ver anexo N 5.3.
En relacin al contrato y sus modificaciones,
no se consideran clusulas sobre operaciones orientadas a:
Plan de contingencia para accesos indebidos y lgicos.
Cumplimiento de normativa gubernamental respecto a publicacin, uso y
administracin de la informacin municipal.
Disposiciones para informar, notificar e investigar los incidentes y las
violaciones a la seguridad a travs del sitio Web.
Confidencialidad de la informacin municipal.
6.- E-Sign S.A.
N 2.408, de 26 de mayo de 2010, esa entidad comunal contrat a la empresa citada,
la adquisicin de software de firma electrnica y el servicio denominado "Emisin de
certificados electrnicos para permisos de circulacin de la Municipalidad de Las
Condes", con vigencia hasta el 31 de diciembre de 2010.
El servicio fue adquirido mediante trato
directo, invocando el artculo 10 N 7 letra g), del decreto 250 de 2004 del Ministerio
de Hacienda, en el cual autoriza dicha modalidad "Cuando se trate de la reposicin o
complementacin de equipamiento o servicios accesorios, que deben necesariamente
ser compatibles con los modelos, sistemas o infraestructura previamente adquirida por
la respectiva entidad", asimismo, se dict la respectiva resolucin fundada, la cual fue
publicada en el portal www.mercadopblico.cl. mediante orden de compra
REA AUDITORA 1
-18 -
.li)
L
N 2345-1584-SE10. Sobre el particular, no se determinaron observaciones que
formular en la materia examinada.
La prestacin sealada comprende
configuracin de implementacin e integracin de plataforma, as como la firma
electrnica de documentos correspondientes al tramo 501-1.000 mensual. A
continuacin, se indica los costos de servicios y adicionales:
Servicio Valor
Incorporacin de software de firma 165 UF ms IVA por una sola
electrnica vez.
Servicio de firma electrnica correspondiente 15,71 UF ms IVA.
al tramo 501-1.000
Costo por superar las 1.000 unidades 0,0157 UF ms IVA por cada
firma electrnica adicional.
Para el fiel cumplimiento de la ejecucin de
los servicios, la empresa hizo entrega de la boleta de garanta N 272897, del Banco
Security por $ 813.468.-, con vencimiento al 28 de febrero de 2011, sin embargo,
dicho documento no dice relacin con lo establecido en el decreto alcaldicio ya citado,
toda vez que el valor de la boleta de garanta debiera ser el equivalente en UF, y no
valorizada en pesos, como ocurre en la especie.
La autoridad edilicia en su respuesta no
adjunta antecedentes que permitan salvar lo observado respecto de la garanta
sealada anteriormente, por lo que procede mantener dicha objecin.
ha realizado desembolsos por estos servicios.
En relacin con el contrato analizado, no se
Fecha de inicio del contrato.
Multas por fallas enel servicio entregado.
Plan de contingencias para siniestros fsicos y lgicos.
7.- GTD Teleductos S.A.
a) Servicio de instalacin de acceso Frame Relay digital a 128 Kbps
Confecha 14 de febrero de 1996, esa entidad
edilicia suscribi con la empresa Teleductos S.A., hoy GTD Teleductos S.A., un
contrato por el servicio de instalacin de acceso Frame Relay digital a 128 Kbps,
equipado con elemento terminal de comunicacin y router interfaz usuario RJ -45 en
Avda. Presidente Riesco N 5.296, con los siguientes puntos: "Isidora Goyenechea
N 3.372, Avda. Apoquindo N 3.384, Avda. Apoquindo N 3.300, Avda. Apoquindo
N 3.401 Y Callao N2.928".
Dicho contrato fue sancionado mediante
decreto alcaldicio seccin 1
a
N 502, de 8 de marzo de 1996, con una duracin de 3
aos a contar de la fecha de suscripcin, pudiendo ser renovado por perodos iguales
y sucesivos de unao.
REA AUDITORA 1
- 19 -
El valor inicial a pagar por los servrcros
contratados ascenda a 70 UF ms IVA por la instalacin, monto que se pag por una
sola vez, y 48,5 UF ms IVA mensual por el arriendo y mantencin de las cinco lneas.
Durante el perodo en estudio, esa entidad
comunal ha desembolsado la suma de $57.562.750.-, ver anexo N 5.4.
Para el fiel cumplimiento del contrato y la
ejecucin de los servicios, la empresa hizo entrega la boleta de garanta N 256126,
del Banco Security, por 14,28 UF, con vencimiento al 30 de septiembre 2010,
documento renovado por boleta de garanta N 280610, de 30 de septiembre de 2010,
del mismo banco, por 14,28 UF, con vencimiento al 30 de noviembre de 2011.
El contrato citado ha sido modificado en
diversas oportunidades, incorporndose nuevos servicios y modificndose el valor
mensual a pagar. En efecto, el valor a pagar por los servicios contratados por la
Municipalidad de Las Condes asciende a 365,63 UF ms IVA. Ver anexo N 6.1.
b) Servicio de traslado, instalacin y puesta en marcha del enlace de fibra
ptica para redes de computacin endependencias municipales
Mediante decreto alcaldicio seccin
1a N 3.198, de 9 de julio de 2008, se contrat con la empresa ya citada, va trato
directo, el servicio de traslado, instalacin y puesta en marcha del enlace de fibra
ptica para redes de computacin endependencias municipales, segn se indica:
Ubicacin actual Ubicacin traslado
Conexin Origen Conexin de destino Conexin Origen
Conexin de
destino
Avda. Cristbal
Avda. Alexander
Avda. Cristbal Avda. Padre
Coln N 9.331
Fleming
Coln N 9.331 Hurtado N 1.155
N 9.601
La duracin del servicio tuvo una vigencia de
15 das, contados desde la notificacin del decreto alcaldicio y un valor total de 11,9
UF IVA incluido, no encontrndose ste vigente a la fecha.
La Municipalidad de Las Condes no puso a
disposicin de esta Contralora General la boleta de garanta por fiel cumplimiento del
servicio.
En su respuesta, la autoridad comunal no
adjunta los antecedentes relacionados con la boleta de garanta, por lo que procede
mantener la observacin.
En relacin a los contratos referidos no se
consider clusulas sobre operaciones orientadas a:
Planes de contingencia encaso de desastres fsicos.
Fecha de facturacin del servicio.
Disposiciones para informar, notificar e investigar los incidentes y las
violaciones a la seguridad.
REA AUDITORA 1
- 20-
8.- Ingeniera y Procesos Electrnicos Contables S.A.
a) Desarrollo de sistemas administrativos
1
a
N 1.467, de 23 de octubre de 1987, se adjudic a la empresa Proexsi Ltda. la
propuesta pblica denominada sistema computacional integral bajo la modalidad "In
house service", para el desarrollo de los sistemas que se indican, con un valor
mensual de 842 UF IVA incluido, ms 5.627 UF, IVA incluido, por el perodo de
renovacin de permisos de circulacin, y con vigencia de 3 aos, renovable por
perodos sucesivos de 2 aos.
El contrato en anlisis est compuesto de dos
etapas, la primera comprende remuneraciones personal municipal, personal PEM,
personal POJ H, registro comunal permisos de circulacin, licencias de conducir,
patentes comerciales, control de bienes, adquisiciones y control de bodega; y,
contabilidad gubernamental (contabilidad de caja, contabilidad central y contabilidad
presupuestaria). La segunda etapa comprende contabilidad gubernamental
(conciliacin bancaria, anlisis contable, anlisis de gestin y anlisis de gastos),
banco de datos sociales, banco de datos propiedades comunales y organizaciones
comunitarias.
La prestacin de los servicios se encuentra
respaldada mediante boleta de garanta N 18737 de Banco Santander Chile, por
1.296,1242 UF, con vencimiento el 29 de junio de 2011.
La prestacin adjudicada ha incorporado
sucesivas modificaciones, las que se detallan en anexo N 6.2, siendo las ltimas las
siguientes:
Con fecha 29 de mayo de 2007, mediante decreto alcaldicio seccin
1
a
N 2.548, se estableci los valores unitarios mensuales a cobrar por los
servicios contratados, los que seran los siguientes:
Servicio computacional UF mensual ms IVA
Remuneraciones 54,25
Reqistro comunal permisos de circulacin 173,84
Licencias de conducir 56,58
Patentes municipales 10,50
Control de bienes 14,00
Adquisicin y control de bodegas 23,33
Contabilidad gubernamental 104,41
Banco de datos propiedades comunales 28,58
Oficina de partes 52,19
J uzgados de polica local 20,00
Administracin red departamento de licencias de conducir 60,00
Administracin red departamento de J uzgados de Polica
Local 80,00
Partes empadronados departamento de seguridad ciudadana 45,00
Administracin red departamento de patentes municipales y
tesorera 50,00
Administracin red del departamento de seguridad ciudadana 70,00
REA AUDITORA 1
- 21 -
Administracin de direccin de obras municipales 65,00
Administracin de sistemas de egresos, recursos humanos y
remuneraciones 70,00
Administracin de sistemas de desarrollo comunitario 70,00
Sistemas computacionales por Internet y sistema social 41,50
Total 1.089,18
a
N 3.049, de 27 de junio de 2008, se
agregan los servicios siguientes:
Servicio computacional Valor UF
Extensin horaria por la operacin, administracin y 1,25 ms IVA por
mantencin de los sistemas computacionales. hora
Administracin de sistema computacional para permisos de
circulacin durante los das no hbiles de marzo y primera 89 ms IVA por el
semana de abril. perodo.
Mantencin y administracin de cartografa digital. 80 ms IVA por mes.
Con fecha 17 de febrero de 2010, mediante decreto alcaldicio seccin 1
a
N 947, fue incorporado el servicio de desarrollo de sistema computacional de
la primera etapa de permisos de circulacin online, por unvalor de 119 UF, IVA
incluido, con una duracin de 30 das hbiles a contar de la fecha de firma del
decreto respectivo.
Para el fiel cumplimiento del servicio, la
empresa hizo entrega de la boleta de garanta N 183961, del Banco Santander Chile,
por 11,9 UF, con vencimiento el 30 de septiembre de 2010.
a
N 1.119, de 8 de marzo de 2010, se
incorpor la mantencin y adecuacin del sistema de patentes comerciales
para emitir certificados de inversiones, solicitud de rebaja y certificado de
distribucin de capital propio va Internet, cuyo valor ascendi a 471,24 UF IVA
incluido, con una vigencia desde la fecha de suscripcin hasta el 15 de abril de
2010.
Para el fiel cumplimiento del servicio la
empresa hizo entrega de la boleta de garanta N 15626, del Banco Santander Chile,
por unmonto de 118 UF, con vencimiento el20 de junio de 2010.
La Municipalidad de Las Condes paga por los
servicios contratados un valor mensual ascendente a 1.169,18 UF ms IVA, ms los
costos variables por servicio de extensin horaria de las operaciones, cuyo detalle se
indica a continuacin:
Valor mensual:
Concepto UF mensual ms IVA
Servicio computacional decreto alcaldicio seccin 1
a
N2.548 1.089,18
Mantencin y administracin de cartografa digital. 80,00
Total 1.169,18
REA AUDITORA 1
- 22-
Valor variable
Concepto UF mensual ms IVA por hora
Extensin horaria por la operacin, administracin y
mantencin de los sistemas computacionales 1,25
Total 1,25
b) Adquisicin o arriendo de equipo central y otros servicios o arriendo de Datacenter
con equipo central y otros servicios para la Municipalidad de Las Condes
a
N 3.967, de 3 de septiembre de 2008, se adjudic la propuesta pblica, ID N 2560-
16-LP08, a la empresa Ingeniera y Procesos Contables Ltda., por el servicio
denominado "Adquisicin o arriendo de equipo central y otros servicios o arriendo de
Datacenter con equipo central y otros servicios para la Municipalidad de Las Condes",
con un plazo de vigencia de 48 meses contados desde la notificacin del decreto
alcaldicio, sin embargo, se indica que previo acuerdo del concejo municipal podr
renovarse por nica vez hasta por unperodo de 12 meses.
El valor de los servicios asciende a la suma
mensual equivalente en pesos a 276,71679 UTM, ms IVA.
Mediante boleta de garanta N 10780, del
Banco Santander Chile, por 600 UF Y con vencimiento el 30 de noviembre de 2010, se
respalda el fiel cumplimiento del servicio. Sin embargo, el contrato indica que dicha
boleta tendr una vigencia por la totalidad del acuerdo, ms 60 das, lo que debera
vencer en noviembre de 2012.
Sobre el particular, la autoridad no se
pronuncia, por lo que se mantiene la observacin.
Durante el perodo en estudio, el municipio ha
desembolsado por los servicios sealados en las letras a) y b), la suma de
$334.456.920.-, ver anexo N 5.5.
En relacin a los servicios contratados y sus
posteriores modificaciones, no se consideran clusulas sobre operaciones orientadas
a:
Controles para asegurar la proteccin contra software malicioso.
Procedimientos para determinar si ha ocurrido algn compromiso en los datos
municipales.
Plan de contingencia para accesos indebidos, siniestros fsicos y lgicos.
Restricciones de copiado y divulgacin de informacin municipal.
Confidencialidad de la informacin municipal.
Devolucin o destruccin de la informacin y bienes, amparado por las
regulaciones legales y trmino de la relacin contractual.
Posibilidad de auditar mdulos del sistema administrativo municipal y los datos.
En relacin a la ausencia de las clusulas
detalladas anteriormente, el alcalde en su respuesta indica algunas acciones
realizadas por el municipio en ste mbito, tales como uso de antivirus en servidores,
firewa11 y equipo Proxy para control de contenido web, almacenamiento de
transacciones en lnea en dos pares de discos, migracin de datos auditoras a
mdulos, sin embargo, no seala si se proceder a incluir tales exigencias en las
bases de futuras licitaciones de los servicios.
REA AUDITORA 1
- 23 -
9.- Legal Publishing Chile Ltda.
1aN 2058, de 28 de mayo de 2004, se aprob el contrato celebrado con la empresa
LexisNexis Chile Ltda., hoy Legal Publishing Chile Ltda., para el otorgamiento del
servicio denominado "Suscripcin a unservicio de consulta va online para el producto
Full Legal", con una duracin de 6 meses desde el 1 de julio de 2004, renovable por
perodos sucesivos de 1 ao. El valor mensual asciende a $237.851.-, IVA incluido.
En relacin al servrcio mencionado
anteriormente, este fue contratado mediante trato directo, no aducindose causal legal
o reglamentaria alguna, por lo mismo, no existe una resolucin fundada debidamente
publicada en el sistema de informacin de compras pblicas, infringiendo los artculos
8 de la ley N 19.886 Y 10, 49, 50 Y 57, letra d) de su reglamento.
La autoridad comunal en su respuesta indica
que se est evaluando si existen otras empresas en el mercado que presten los
mismos servicios, con el fin de realizar una licitacin durante el ao 2011.
Tomando en consideracin que la respuesta
slo alude a una eventualidad, no resuelta, procede mantener la observacin. Entodo
caso, cabe anotar que, de no haber otros oferentes, bien puede celebrarse un nuevo
trato directo, pero cumpliendo a cabalidad los requisitos legales y reglamentarios.
ejecucin de los servicios, la empresa citada hizo entrega de la boleta de garanta
N 0194658, del Banco Santander Chile, por $ 142.711.-, con vencimiento al 29 de
diciembre de 2011.
Durante el perodo en estudio y, de acuerdo a
los antecedentes puestos a disposicin, el municipio no ha realizado desembolsos por
el contrato.
En relacin con este contrato, no se
10.- Servicio de Registro Civil e Identificacin.
N 1.929, de 4 de julio de 2000, se aprob el convenio denominado "Conectividad y
prestacin de servicios entre el Servicio de Registro Civil e Identificacin e Ilustre
Municipalidad de Las Condes", el cual fue celebrado confecha 11 de febrero de 2000.
Los servicios contratados corresponden a
conexin a la red corporativa llamada Red SRCel, la cual se realiza a travs de una
red pblica Frame Relay de la empresa Teleductos S.A., sin embargo, se podr
adoptar otro mecanismo de conectividad enel futuro.
Asimismo, se estableci que por los servicios
recibidos, se pagar por una sola vez una cuota de 20 UF ms IVA para conectar un
.~
1
REA AUDITORA 1
- 24-
mximo de 3 unidades, y por cada unidad adicional la suma de 3 UF ms IVA, ms
una cuota mensual de 5 UF ms IVA por cada puesto de trabajo.
El convenio tiene una duracin indefinida
salvo que alguna de las partes exprese lo contrario con 90 das de anticipacin.
Durante el perodo en estudio el municipio ha
desembolsado pagos por el mencionado servicio por la suma de $ 1.497.897.-, ver
anexo N5.6.
11.- Sociedad de Inversiones Unga S.A.
a
N 209
de 13 de enero de 2010, ID N2345-207-SE10, se autoriza la contratacin directa de
la empresa Sociedad de Inversiones Unga S.A., para prestar el servicio de
"Recaudacin y mantencin de sistema computacional de inventario de equipos y
bienes", instalado en departamento de administracin, por un valor mensual de 8 UF
ms IVA, y con una duracin hasta el 30 de noviembre de 2012, no especificando la
fecha de inicio.
El servicio fue adquirido mediante trato
directo, invocando el artculo 10 N 7, letra e), del decreto 250, de 2004, del Ministerio
de Hacienda, esto es, cuando la contratacin de que se trate slo pueda realizarse
con los proveedores que sean titulares de los respectivos derechos de propiedad
intelectual, industrial, licencias, patentes y otros, antecedentes que se consideran
suficientes para la adquisicin directa, asimismo, es del caso sealar que se dict
resolucin fundada, la cual fue publicada en el portal www.mercadopblico.cl.no
determinndose observaciones que formular en la materia examinada.
El presente contrato se encuentra respaldado
por la boleta de garanta N 145249, del Banco de Crdito e Inversiones, por 19,04
UF, con fecha de vencimiento al 31 de diciembre de 2012.
Por el contrato, el municipio ha efectuado
pagos por la suma $1.101.477.- durante el perodo revisado, ver anexo N 5.7.
En relacin a lo anterior, no se consideran
clusulas sobre operaciones orientadas a:
Especificaciones de los detalles tcnicos del servicio.
Fecha de inicio del contrato.
Multas por fallas en el servicio entregado.
Controles para asegurar la proteccin de la informacin, su respaldo y
administracin contra software malicioso.
Plan de contingencias para acceso indebido, siniestros fsicos y lgicos.
12.- Tecnodisk Servicio de Computacin Limitada.
N 4.532, de 16 de noviembre de 2009, se adjudic a la empresa Tecnodisk Servicio
de Computacin limitada, la licitacin pblica N 2560-53-LP09, para la "Adquisicin
de computadores personales para la Municipalidad de Las Condes", por un monto
total de $ 99.560.042.- IVA incluido, por la adquisicin de 141 computadores
REA AUDITORA 1
- 25-
personales con licencia de Microsoft Office 2007, con una vigencia desde el 17 de
noviembre de 2009 hasta el31 de diciembre de 2010.
ejecucin de los servicios, la empresa hizo entrega la boleta de garanta N 0356740,
del Banco de Crdito e Inversiones, por $ 5.000.000.-, con vencimiento al 31 de
diciembre de 2010.
Posteriormente, mediante decretos alcaldicios
seccin 1a Ns 189, de 12 de enero, y 4.028, de 13 de octubre, ambos de 2010, se
modific el acuerdo, segn detalle que se indica a continuacin:
Decreto Fecha Monto Cantidad Licencia Office
alcaldicio $ de equipos 2007
N
189 12.01.10 42.365.975
20
-V
40
...
4028 13.10.10 16.421.640 30 X
ha realizado desembolsos en relacin con el contrato mencionado.
En el contrato no se consideran clusulas
sobre operaciones orientadas a:
Plan de contingencia en caso de desastres fsicos.
Asesora tcnica a proporcionar post-venta.
Especificaciones tcnicas de los bienes entregados.
En relacin con los contratos con las
empresas sealadas precedentemente, deben efectuarse los siguientes alcances:
a) Debido al alto nivel de especificacin
de las bases administrativas y tcnicas desarrolladas por el municipio para adquirir
servicios informticos, la cantidad de oferentes se reduce ostensiblemente,
prolongando el suministro de los servicios por parte de las mismas empresas
proveedoras.
b) Respecto de los contratos celebrados
con fecha anterior a la entrada en vigencia de la ley N 19.886, con la empresa
Ingeniera y Procesos Electrnicos Contables, ao 1987; GTD Teleductos S.A, ao
1996, y Elas J uri Clavera, ao 1997, cabe indicar que, si bien el artculo tercero
transitorio de la ley N 19.886, de Bases sobre Contratos Administrativos de
Suministro y Prestacin de Servicios, seala que los contratos administrativos que se
regulan en dicha ley y cuyas bases hayan sido aprobadas antes de la entrada en
vigencia de la misma, se regularn por la normativa legal vigente a la fecha de
aprobacin de las correspondientes bases, lo que determina que tales contratos
quedan excluidos de la regulacin establecida en dicho cuerpo legal, debe tenerse
presente que el inciso primero del artculo 9 de la ley N 18.575, Orgnica
Constitucional de Bases Generales de la Administracin del Estado, previene que "Los
contratos administrativos se celebrarn previa propuesta pblica, en conformidad a la
ley", agregando su inciso segundo que "El procedimiento concursal se regir por los
principios de libre concurrencia de los oferentes al llamado administrativo y de
igualdad ante las bases que rigen el contrato".
REA AUDITORA 1
- 26-
Conforme lo anterior, la jurisprudencia
administrativa ha concluido que las clusulas contractuales de renovacin automtica
pugnan con el principio de transparencia, en cuanto por su intermedio la autoridad
administrativa omite o evita la exposicin de acuerdos reales o tcitos con su
contraparte particular, en orden a mantener un status qua fijado con anterioridad, de
modo tal que la administracin se encuentra impedida de prolongar sus contrataciones
mediante continuas prrrogas, en tanto ello vulnera el principio de probidad
administrativa, por la va del principio de transparencia (aplica criterio contenido en
dictamen N46.746, de 2009 y 7.661 de 2010).
e) Respecto de las prestaciones de
servicios posteriores a la vigencia de la citada ley N 19.886, el municipio ha
establecido renovaciones sucesivas de los servicios y/o insumas contratados con las
empresas sealadas encuadro adjunto:
Empresa Servicio con prrroga
Bell Technologies S.A.
-V
DirectTV Chile Televisin Ltda.
-V
Legal Publishing Chile Ltda.
...
Sobre el particular, cabe sealar que la
jurisprudencia de este Organismo de Control ha manifestado que la prctica de
acordar continuas prrrogas de contratos, cuya vigencia se extiende, en
consecuencia, indefinidamente, no parece conciliable con el artculo 9 del DFL. N 1-
19.653, de 2000, del Ministerio Secretara General de la Presidencia, que fija el texto
refundido, coordinado y sistematizado de la ley N 18.575, Orgnica Constitucional de
Bases Generales de la Administracin del Estado, ni con el sistema de licitacin
pblica establecido en la ley N 19.886, cuya finalidad es asegurar la libre
concurrencia de una pluralidad de proponentes, con el objeto de seleccionar la oferta
ms conveniente al inters del servicio licitante (aplica criterio contenido en
dictmenes Ns 48.524, de 2006, 19.712, de 2007, entre otros).
Asimismo, debe tenerse presente al respecto
lo establecido enel artculo 12 del reglamento de la ley N 19.886.
d) Solicitados los contratos celebrados
entre esa entidad comunal y las empresas ADEXUS S.A.; Asesoras y Capacitacin
Tecnotronic Ltda., Bell Technologies S.A., E-Sign S.A., Ingeniera y Procesos
Electrnicos Ltda., Sociedad de Inversiones Unga S.A. y Technodisk Servicios de
Computacin Ltda., por los servicios prestados, el jefe del departamento de
computacin e informtica, mediante correo electrnico, de 26 de octubre de 2010,
inform que las prestaciones otorgadas por las empresas citadas precedentemente no
se encuentran formalizadas mediante un contrato, toda vez que estn regulados a
travs del decreto alcaldicio respectivo y la notificacin a la empresa proveedora.
e) En relacin al presupuesto municipal
del rea informtica, se observa que el presupuesto correspondiente al 2010, registra
un aumento de un 5,34% en comparacin al presupuesto del ao 2009, y se ha
ejecutado, al 25 de octubre de 2010, un total de $738.422.434.-, lo que equivale al
51,05%, ver anexo N 7.
Ensu respuesta, la autoridad no se pronuncia
respecto a lo sealado en la letra a), por lo que procede mantener la observacin.
o~
~
REA AUDITORA 1
- 27 -
Adicionalmente, cabe sealar que la alta especificidad impuesta por el municipio en
los requerimientos de las licitaciones, conlleva a que se prorrogue en forma sucesiva
los servicios de un mismo proveedor, en desmedro de otros existentes en el mercado,
que prestan el mismo servicio.
Respecto a lo informado en las letras b), y e),
el alcalde indica que se incluirn clusulas especiales que permitan regular aquellos
contratos que contravienen lo dispuesto en la ley N 19.886, sin embargo, dichas
medidas no han sido ejecutadas a la fecha, por lo que se mantienen las
observaciones.
Seguidamente, en cuanto a la letra d), se
invoca por parte de la autoridad edilicia, el artculo N 1.438 del Cdigo Civil, el cual
seala que un "Contrato o convencin es unacto por el cual una parte se obliga para
con otra a dar, hacer o no hacer alguna cosa. Cada parte puede ser una o muchas
personas, en consecuencia, es contrato, cualquier acuerdo de voluntades, que nazca
del concurso real de las voluntades de dos o ms personas y que tenga por objeto
que las partes se obliguen para con otra a dar, hacer o no hacer alguna cosa. Lo
anterior, independientemente de la materializacin jurdica de ella, la cual no es
exigida como requisito para la existencia de uncontrato."
Sobre lo anterior, cabe sealar, que al
superar el valor del servicio recibido, la suma de 100 UF, ste debe ser formalizado a
travs de un contrato de prestacin de servicios (aplica criterio contenido en dictamen
N 15.554, de 2010).
Evaluados los antecedentes, procede
mantener las observaciones, toda vez que no se enuncian medidas al respecto, y los
antecedentes aportados no permiten subsanar lo objetado.
Respecto a la ausencia de clusulas en los
contratos, sobre asesora tcnica a proporcionar, planes de contingencia antes fallas
en el equipamiento, especificacin de los detalles tcnicos y fechas de facturacin de
los servicios, la autoridad comunal, en su respuesta, seala que stas se encuentran
incorporadas en las respectivas bases administrativas y tcnicas, las cuales forman
parte integral del contrato. Evaluados los nuevos antecedentes proporcionados,
procede levantar las observaciones formuladas respecto de los contratos Ns 1; 3; Y
12, por cuanto los antecedentes fueron suministrados. Sin embargo, se debe
mantener las observaciones de los contratos N s. 2; 4; 5; 6; 7; 9; Y 11, debido a que
no se adjuntan los antecedentes respectivos.
IV.-CONTROLES GENERALES ASOCIADOS AL ENTORNO TI.
1.- Controles generales de tecnologas de informacin.
a) La auditora practicada comprob que
los controles asociados a las tecnologas de informacin no cumplen a cabalidad con
el resguardo de informacin, debido a que el perfilamiento en los accesos posee
diferentes asignaciones de permisos, a pesar de estar ste estructurado y asignado
por el administrador de los sistemas municipales, generando unconstante incremento
en los tipos de cuentas que acceden a los sistemas administrativos y, a su vez,
pudiendo permitir el acceso de personas no autorizadas a los atributos de lectura,
REA AUDITORA 1
- 28 -
grabacin, errusron, impresin y otros, respecto de procesos informatizados que
involucran datos sensibles que administra esa entidad edilicia.
b) Se comprob que no existen
procedimientos de encriptacin de la informacin.
c) A nivel municipal, no existe un
procedimiento formal de eliminacin de la informacin respaldada, sin embargo, sta
se realiza anualmente.
d) En relacin al mantenimiento
preventivo, se acredit que este servicio se encuentra externalizado por parte del
municipio.
e) El jefe del departamento de
computacin e informtica seal, mediante memorando N 574 de 21 de septiembre
de 2010, que las polticas de adquisicin de software consisten en adquirir equipos de
marca 18M, Lenovo, HP, Oell, Compaq entre otros, con el sistema operativo
preinstalado con sus respectivas licencias de Windows sin plazo de expiracin,
asimismo, para cada equipo se adquieren las licencias de Microsoft Office y Antivirus
McAffe , y en relacin a licencias de software opensource, se indica que estas no son
utilizadas.
f) En cuanto a la vulnerabilidad de las
redes municipales, se dispone de los siguientes elementos para salvaguardarlas:
Firewall con control de contenido marca Sonicwall modelo NSA 3500.
Tres Firewall Cisco 515.
Software de analizador de red Sniffer Portable LAN.
Software de administracin de redes 3 COM Intelligent Management Center.
g) De acuerdo a las validaciones
efectuadas se corrobor que el procedimiento utilizado para el control de stock mnimo
consiste en externalizar los servicios tecnolgicos, incorporando en las bases de
licitacin "la solucin llave en mano", es decir, el suministro total de los servicios,
insumos y operaciones por parte de la empresa.
Para insumos menores se dispone de un stock
mnimo, de acuerdo al anlisis de la demanda histrica de consumo de las unidades
municipales, entre los que se cuentan OVO, CO, mouse y otros insumos informticos.
h) En relacin a la normativa de
seguridad y certificacin de instalaciones de sistemas de control de acceso a la sala
de servidores, se indican a continuacin aquellas informadas mediante memorndum
N 574, de 21 de septiembre de 2010:
En sala servidores de Avda. Apoquindo N 3.400, se dispone de protocolo de
control de acceso mediante tarjeta magntica y llaves de seguridad.
En sala de equipos del edificio centro cvico, se dispone de llaves con copia en
guardia central y copia endepartamento de computacin e informtica.
En sala de equipos de seguridad ciudadana y emergencia se dispone de llaves
con copia enguardia central y copia endepartamento anteriormente sealado.
En la oficina de Proexsi Ltda., ubicada en calle Moneda N 1.040, se encuentra
equipo central de respaldo, que dispone de protocolo de control de acceso
mediante tarjeta magntica y operador 7x24.
REA AUDITORA 1
- 29-
Ensala de servidores de direccin de trnsito se dispone de llaves, una a cargo
del jefe de la unidad de Proexsi Ltda.; y una copia en el departamento de
computacin e informtica.
Para acceder a la sala de servidores es necesario dar aviso previo a la
encargada de la empresa Proexsi Ltda., la cual presta servicios en las
instalaciones del departamento de trnsito. Asimismo, en el caso de realizar
alguna mantencin, sta debe estar previamente coordinada con Proexsi Ltda.
i) Los procedimientos para el proceso de
asignacin, modificacin y eliminacin de perfiles de accesos y atributos para el uso
de sistemas administrativos por parte del personal municipal consisten,
principalmente, en crear perfiles de usuarios por grupos a los cuales pertenece un
funcionario; adems, si procede, un funcionario puede pertenecer a ms de un perfil
dentro de unsistema o varios sistemas.
La administracin de perfiles de usuarios
forma parte de la administracin de sistemas contratada a la empresa Proexsi Ltda.;
de acuerdo a solicitudes especficas de los funcionarios responsables y
administradores de sistemas.
j) Existe un registro de incidentes de
prdidas de datos, en formato planilla, donde cada mes hay un registro de las
suspensiones y las cadas del servicio.
Ensu respuesta la autoridad municipal indica,
respecto de la letra a), que los perfiles son creados de acuerdo a las funciones de
cada empleado, asimismo, cada sistema posee un mdulo de administracin de
usuarios, y que se generar una normativa que regule los protocolos de acceso y
permisos de los sistemas computacionales y de las bases de datos respectivos. Al
respecto, y en el entendido que se implementar la medida anunciada, se levanta la
observacin, sin perjuicio de las validaciones que se practiquen en futuras
fiscalizaciones de este Organismo de Control.
En relacin a la letra b), inform que,
efectivamente, no existe un procedimiento de encriptacin de los datos municipales,
dado que no se considera necesario, debido al uso del equipo Unisys Libra 590, por
cuanto la tecnologa usada incorpora medidas de seguridad. Conforme lo anterior, se
levanta la observacin.
Adicionalmente, en lo que respecta a la letra
e), corrobora la inexistencia de unprocedimiento formal de eliminacin de informacin,
manteniendo el municipio un respaldo histrico de 5 aos, de acuerdo al servicio
prestado por Proexsi Ltda. Al respecto, y no habiendo aportado antecedentes que
acrediten medidas correctivas para regularizar dicha situacin, procede mantener lo
observado.
1.1.- Inventario de equipamiento informtico.
Se practic una revisten del inventario de
activos informticos, tecnolgicos y de telecomunicaciones, proporcionado por el jefe
de departamento de computacin e informtica mediante correo electrnico de 7 de
octubre de 2010, aplicndose el sistema de muestreo aleatorio que, recurriendo a
parmetros del 95% de confianza, 3% de precisin y una tasa de error del 3%,
determin una muestra de 109 equipos, lo que representa un 12,02%, de un total de
907 equipos, el detalle se indica en anexo N 8.
(i J
IllL
REA AUDITORA 1
- 30-
Efectuadas verificaciones en terreno, se pudo
constatar las siguientes situaciones:
a) 4 equipos computacionales poseen un
procesador distinto al mencionado en los inscritos en planilla auxiliar de activos
informticos, lo que equivale al 3,67%, ver anexo N 9.1.
b) 6 equipos computacionales tienen una
capacidad de disco duro distinta a la registrada en el inventario, lo que equivale al
5,5 %, ver anexo N 9.2
e) 8 equipos computacionales tienen
memoria RAM diferente a la declarada en los registros del inventario, lo que equivale
al 7,34% del total de la muestra, ver anexo N 9.3.
d) Se detectaron 3 equipos
computacionales con versin de office distinto al registrado, lo que equivale al 2,75%,
ver anexo N 9.4.
e) Se determin un total de 6 equipos
que no pudieron ser revisados, lo que equivale al 5,5% del total de la muestra, las
razones se encuentran detalladas enanexo N 9.5.
f) Se detectaron 2 equipos
computacionales con usuario no individualizado, debido a que el actual funcionario se
encuentra ocupando unequipo asignado a otra persona, ver anexo N 9.6.
g) Se determin un total de 6 equipos
con marca de computador distinta a la de los registros, lo que equivale al 6,42%, ver
anexo N 9.7.
h) Ninguno de los equipos revisados
contaba con sellos de seguridad, lo que equivale al 100%.
La autoridad edilicia en su respuesta informa
sobre la cantidad real de computadores, notebook y servidores de propiedad
municipal instalados y funcionando en distintas direcciones municipales, la que
asciende a la cantidad de 798 equipos.
Cabe sealar que la cantidad informada en la
respuesta municipal difiere de la informada segn los registros proporcionados
durante la auditora desarrollada, por la cantidad de 907 equipos, situacin que no fue
aclarada.
Por otra parte, seala el Alcalde que se
instalaron 200 candados de seguridad, procedimiento que se continuar realizando.
En relacin a lo observado en las letras a), b),
e), d), e), f), y g), la autoridad no se pronuncia, por lo tanto, stas se mantienen.
En conformidad a lo sealado y a la medida
de mejoramiento adoptada, corresponde levantar la observacin especificada de la
letra h), no as para las letras restantes del numeral 1.1, por no adjuntar
documentacin de respaldo que den cuenta de su correccin, por consiguiente ellas
se mantienen.
t
REA AUDITORA 1
- 31 -
1.2.- Carencia de licencias.
El murucipro cumple parcialmente con el
licenciamiento de la plataforma de software de operaciones "Sistemas operativos
como Windows 2000, Windows XP, Windows Vista, Windows 7, Mac Os X, Windows
Server 2000, Windows Server 2003", aplicaciones de oficina "Microsoft Office",
software de base de datos "SQl Server", software de seguridad "Antivirus" y otros,
"Autocad y Arcview en direccin de obras".
De un total de 907 equipos computacionales
a nivel municipal que requieren licencia, 885 son estaciones de trabajo, 11 notebook y
11 servidores de respaldo, seguridad y operaciones. lo anterior, fue informado
mediante correo electrnico de 19 de octubre de 2010, por el jefe del departamento de
computacin e informtica.
Enlo que respecta a licencias de aplicaciones
de Microsoft Office que se encuentran en funcionamiento, se informa que del total de
computadores de escritorio y notebook, que equivalen a 896 equipos, el 100% posee
licencia vigente.
los 907 equipos de propiedad del municipio,
que incluyen equipos estacionarios, notebook y servidores, poseen en su totalidad
licencias de sistema operativo vigente.
De un total de 20 equipos que utilizan el
programa Autocad, ubicados en la direccin de obras municipales y 2 que utilizan
Arcview, la totalidad de ellos poseen sus licencias al da, lo que representa el 100%.
Adicionalmente, se verific que los 3 equipos
que cuenta con la aplicacin de base de datos SQl Server poseen licencia
regularizada.
Se suma a lo anterior, que la totalidad de los
equipos se encuentran licenciados con antivirus McAffe.
En resumen, de los 907 equipos activos en la
plataforma, los softwares instalados por equipo y las licencias que se encuentran
certificadas, se detallan en anexo N 10, se utiliza el formato de descripcin Xl N, en el
cual se indica mediante la X el tipo de software usado y con la N la cantidad de
equipos con licencia.
Sin embargo, en la revisin efectuada a los
decretos de pagos relacionados con la compra de licencias se acredit que existen
236 equipos de untotal de 896 entre estaciones de trabajo y notebook, con licencia de
Microsoft Office, lo que equivale a un 26,34%; adicionalmente en relacin a las
licencias de Autocad, se acredit que del total de 20 equipos que poseen dicho
sistema, 6 poseen licencia vigente; finalmente, de los 907 equipos que posee el
municipio, 200 poseen licencias de antivirus McAfee, lo que equivale a un 22,05%, lo
cual de detalla a continuacin.
REA AUDITORA 1
- 32-
Licencias Microsoft Office.
Proveedor N Fecha Licencia N Informado Diferencia
Fact Adquirida Municipio
Comercializador 10868 25- 11- Microsoft 20
No
No
a 2 2008 Office
disponible
disponible
Integral Ltda.
Tecknodisk 2028 21- 01- Microsoft 60 No No
Servicio de 2010 Office disponible disponible
Computacin
Ltda
Aminorte S.A. 13912 17- 06- Microsoft 14 No No
2010 Office disponible disponible
Comercializador 18353 15- 04- Microsoft 1 No No
a Notebook 2010 Office disponible disponible
Center
Tecnodisk 1898 20- 11- Microsoft 141 No No
Servicio de 2009 Office disponible disponible
Computacin
Ltda
Total 236
Licencias Autocad.
Aminorte S.A. 10351 9- 12- Autocad 2 No disponible No
2008 disponible
Computer Desing 10582 24- 11- Autocad 4 No disponible No
Chile S.A. 2009 disponible
Total 6 20 14
Licencias Antivirus y Arcview.
Miranda Selle 101099 17- 06- Antivirus 200 907 707
Computacin 2010
ESRI Chile S.A. 2277 04- 12- Arcview 2 2 O
2009
Cabe precisar, sobre los cuadros
precedentes, que el jefe del departamento de computacin e informtica inform que
el inventario del equipamiento informtico no se encuentra desagregado por
proveedor, por lo que slo se cuenta con el nmero total de equipos municipales, por
lo que la diferencia indicada en stos se determin contrastando lo registrado en el
inventario y lo acreditado a travs de las facturas de compra de licencias.
r
,
A continuacin se muestra detalle de vigencia
e licencias por tipo de software y proveedor:
REA AUDITORA 1
-33-
Software Tipo de software Proveedor
Vigencia
Licencia
Office Para uso Impresin Uno Comercializad ora
Profesional administrativo lnteoral Ltda. Ilimitado
Autocad LT
2009 Dibujo Aminorte S.A. Ilimitado
PhotoShop Diseo Item Ltda. Ilimitado
Firma Diciembre
electrnica Certificacin E-Sino S.A. 2010
MacAfee Antivirus Compuser Ltda. J unio 2012
Para uso
Office 2007 administrativo Aminorte S.A. Ilimitado
Para uso Tecknodisk Servicio de
Office 2007 administrativo Computacin Ltda. Ilimitado
Autocad LT
2010 Dibujo CDC Computer Desion S.A. Ilimitado
Arcgis, ArcView Cartografa ESRI Chile S.A. Ilimitado
Tecknodisk Servicio de
Para uso Computacin
Office 2007 administrativo Ltda. Ilimitado
Para uso
Office MAC administrativo Notebook Center Ltda. Ilimitado
Para uso Tecknodisk Servicio de
Office 2007 administrativo Computacin Ltda. Ilimitado
octubre de 2010, el jefe del departamento de computacin e informtica inform sobre
un error en la entrega de la informacin relativa a la cantidad de licencias de
propiedad del municipio, aportndose antecedentes sobre las licencias adquiridas
desde el ao 2001 al 2010, y cuyo desglose del licenciamiento municipal qued
conformado de la siguiente manera:
468 licencias de Microsoft Office.
33 licencias de Autocad.
1.154 licencias de Antivirus.
46 licencias de Winsows XPNista.
32 licencias de otro software.
Sin embargo, de acuerdo a la plataforma de
equipos computacionales informados por la entidad, la cual asciende a untotal de 798
equipos, contina existiendo falta de licenciamiento en la plataforma informtica, por lo
que se mantiene la observacin.
2.- Seguridad fsica.
Para efectos de validar la seguridad fsica se
efectu una visita a la sala de servidores municipales, lo que permiti comprobar lo
siguiente:
a) En las habitaciones anexas a la sala de servidores, en reas de circulacin del
personal se encuentran partes, piezas y equipamiento computacional, pudiendo
provocar accidentes y/o problemas de operacin, ver anexo N 11.
b) Existe equipamiento computacional embalado y otros bienes municipales en
habitacin contigua al Datacenter, sin embargo, no se cuenta con inventario
REA AUDITORA 1
- 34-
pormenorizado y, adems, se desconoce el contenido de las cajas, ver anexo
N 11.
e) Al interior de la sala de servidores no se utilizan abrazaderas de cables de red y
elctrico, con la finalidad de minimizar el tendido en el piso y organizar las
conexiones por equipos, ya que algunas cruzan la sala en diagonal y se
encuentran fijadas con cinta adhesiva.
d) A nivel general, la dependencia no cuenta con aseo programado en las reas
comunes y para su equipamiento.
e) Se aprecia que los racks de comunicaciones no son cerrados y, por lo tanto, no
cuentan con puerta ni chapa de seguridad, con la finalidad de evitar
manipulacin de los cables de conexin. Asimismo, el rack de servidores se
encuentra con la puerta abierta y sin llave de seguridad para su cierre.
f) Se detect la existencia de untablero elctrico y de UPS, los cuales no cuentan
con chapa de seguridad, vulnerando la seguridad y determinando riesgos en
relacin a las operaciones relacionadas con el suministro de energa elctrica.
g) Los enchufes normales, tipo hacha, trifsicos para la UPS y monofsicos, se
encuentran administrados por interruptores automticos independientes,
segregando la instalacin elctrica por reas.
h) La puerta de la sala de servidores presenta una chapa de seguridad que se
encuentra operativa, sinembargo sta no es utilizada, mantenindose abierta.
A lo anterior se suma la inexistencia de un
sistema automtico de control de acceso, que registre los ingresos a la sala de
servidores.
i) La iluminacin existente al interior de la sala de servidores es deficiente, se
aprecia la existencia de tubos fluorescentes defectuosos.
j) Se observa la ausencia de canaletas Legrand en algunas reas, que tienen por
finalidad cubrir el cableado de datos y comunicaciones. Adems, se encuentran
partes y piezas en desuso, ver anexo N 11.
k) El cableado de los servidores y perifricos se encuentra distribuido y nombrado
de acuerdo a las normas vigentes.
1) Algunos servidores no se encuentran etiquetados con nombre y funcin.
m) A nivel de seguridad, la sala de servidores no cuenta con circuito cerrado de
televisin, que permita administrar una o ms cmaras externas con la finalidad
de realizar grabaciones del movimiento diario en reas crticas, como son sala
de servidores y contiguas. De acuerdo a lo anterior, existe la posibilidad de que
se vulneren las instalaciones.
n) La sala de servidores se encuentra cerrada perimetralmente por muros slidos
y una mampara de vidrio en estructuras de aluminio, la cual no posee
propiedades de aislacin calrica, lo cual vulnera la seguridad y las condiciones
de temperatura ambiental.
o) No se cuenta con sensores de humo y humedad para minimizar riesgos de
incendio y deterioro enel equipamiento.
REA AUDITORA 1
- 35-
p) Al interior de la sala de servidores existe un extintor mvil vigente con
vencimiento de su carga en agosto de 2011 y certificado por la empresa
Comercial Segindex Ltda; el cual se encuentra sin una posicin fija y
sealizacin. Asimismo, existe un segundo extintor, el cual se localiza en el
piso de la sala de informtica, sin encontrarse con fijacin mural, el cual se
encuentra vigente y certificado a la misma fecha del citado previamente. La
falta de sealtica y correcta localizacin impide unfcil acceso a ellos en caso
de requerirse su uso.
q) Se aprecia la existencia de interruptores automticos adosados al muro, sin
aislacin entre los materiales, el cual se encuentra revestido de una placa de
madera, vulnerando la seguridad y pudiendo provocar incendio.
r) Las instalaciones de comunicaciones no se encuentran certificadas.
s) Se aprecian dos unidades de aire acondicionado que mantienen los equipos
operando en el rango de los 19 a 20 grados Celsius, sin embargo, su
localizacin no permite que el aire que se emite pueda ser propagado
uniformemente a todas las unidades por la amplitud de la sala. Asimismo, en
los muros slidos de la sala de servidores se encuentran cables elctricos que
proveen electricidad a las unidades de aire acondicionado, no habindose
realizado la alimentacin de los equipos por medio de uncable sellado.
t) No se aprecia la utilizacin de sealtica de apoyo a la seguridad.
u) No se efecta un registro del personal en trnsito ni del que presta servicios
externos, como tampoco de las actividades realizadas al interior de la sala de
servidores. Solamente existe una bitcora de respaldo en papel, consignando
labores diarias y pendientes por parte del operador.
v) Existen muebles murales del tipo gabinete para almacenar discos y cintas de
respaldo, con las llaves puestas, lo que vulnera la seguridad. Asimismo, los
respaldos no se encuentran etiquetados, especificando al menos el contenido,
la fecha, el encargado que lo realiz y las pruebas de levantamiento y/o
chequeo de integridad.
w) En la dependencia anexa a la sala de servidores donde se encuentra el grupo
electrgeno diesel, existen dos puertas metlicas para acceder desde el
exterior, lo cual reviste riesgos de acceso, puesto que no existe circuito cerrado
de televisin (CCTV) que permita regular la seguridad.
En relacin a las observaciones efectuadas
en las letras a), y b), d), 1), Y v), la autoridad edilicia en su respuesta indica que dichas
situaciones se encuentran corregidas, lo cual fue corroborado mediante revisin
efectuada enterreno.
Respecto a la letra e), la autoridad seala
que, por razones tcnicas, se decidi utilizar racks de comunicaciones en forma
abierta. Sin embargo, las validaciones efectuadas se determin que ellos se
'- mantienen sin seguridad de acceso, lo cual posibilita la vulneracin de las
comunicaciones, a su turno, los servidores de datos son resguardados con llave.
En cuanto a la letra u), informa que la
empresa Proexsi Ltda., dispone de una bitcora diaria para el registro de personal que
REA AUDITORA 1
- 36-
ingresa en forma fsica al Oatacenter, la cual se encuentra publicada en la intranet
municipal.
Por otra parte, informa que se tomarn las
medidas tendientes a regularizar lo relativo a la no utilizacin de sistema automtico
de control de acceso; ausencia de canaletas, puntos de red; falta de circuito cerrado
de televisin en dependencias del departamento de computacin e informtica;
inexistencia de sensores y humedad, entre otras.
De acuerdo a los antecedentes aportados y
las revisiones efectuadas en la sala de servidores, se levantan las observaciones
contenidas en la letras a), b), d), 1), u), y v), y se mantienen las contenidas en las
letras e); e); f); h); i); j); m); n); o); p); q); r); s); t); y w), por cuanto no se han tomado
las medidas para corregir dichas falencias.
3.- Procedimientos de respaldo.
Efectuada una revisin a la sala de servidores
del municipio, con el fin de validar los respaldos de informacin, se pudo comprobar lo
siguiente:
a) Observaciones a procedimientos de respaldo:
No existe unresponsable nico de los respaldos.
Los dispositivos de respaldo no se prueban regularmente, para asegurar
que puedan ser de utilidad en una emergencia.
Existen diferencias entre los procedimientos de respaldo y las acciones
sealadas dentro del plan de recuperacin de desastres.
Ensu respuesta, el alcalde seala, respecto a
la inexistencia de un responsable para los respaldos que, para la realizacin de stos,
la empresa Proexsi Ltda., tiene contratado un encargado del rea mainframe del
Oatacenter y dos operadores, antecedentes que permiten levantar la observacin.
Adicionalmente, sobre la falta de pruebas de
dispositivos de respaldo, se indica que existe un procedimiento para chequear
regularmente la integridad de los medios magnticos y su contenido, por lo que
procede levantar la observacin.
Sobre las diferencias entre los procedimientos
de respaldo y el plan de contingencias, la autoridad corrobora la observacin,
agregando que dichos procedimientos en forma independiente no presentan
inconsistencias ya que pueden ser usados en forma separada sin presentar
inconvenientes, sin embargo, analizados en su conjunto, siguen persistiendo las
diferencias. Por otra parte, se indica que se ha dispuesto regularizar mediante decreto
alcaldicio el plan de contingencia, lo cual no ha sido realizado, por lo tanto, se
mantiene la observacin eneste tercer aspecto.
b) Procedimientos de respaldos internos.
Unidad SOLT A: Se respaldan Bases de datos y discos.
El respaldo se realiza diariamente de lunes a
sbado, en unidades SOLT en dos copias, es de tipo incremental y utiliza el
REA AUDITORA 1
- 37 -
criterio de Abuelo-Padre-Hijo, agregando archivos a la cinta anterior, hasta que
esta complete su capacidad. Por otra parte, las cintas se rotan y son enviadas
diariamente a la casa matriz por seguridad.
En relacin al respaldo LCTRASP, ste se
realiza en SOLT en dos copias, de lunes a viernes, y se respaldan los cambios
y actualizaciones de los ejecutables de los sistemas.
Con respecto a la base de datos SQL, este
respaldo es diario y automtico, de lunes a domingo, las cuales quedan en las
SOLT, dos copias, enel respaldo semanal, mensual y anual.
Respaldos Windows
Unidad B SOLT: Se respaldan 2 copias de las
particiones de Windows en servidor central Libra 400.
1. Unidad grabador OVO interno servidor de cartografa. Se respalda
servidor de cartografa en2 copias
2. Unidad grabador OVO interno servidor Web de produccin: En este
se traspasan respaldos de la Huella, base2 y SQL, los cuales se
realizan en medio de almacenamiento OVO en 2 copias.
Respaldo Bases, Discos y Servidores Externos.
Este respaldo se realiza con una organizacin
diaria, semanal, mensual y anual, donde su distribucin es la siguiente:
En relacin a las bases datos OMSII, se
realiza el respaldo con dmutility a disco, encontrndose las bases online; una
vez que estn todas ellas copiadas, se traspasan a cinta magntica. Esto
corresponde al respaldo total de la particin MCP del servidor central LIBRA
400. Cada da viernes se utilizan dos SOLT para realizar las dos copias que
indican las normas de la empresa.
Los discos se respaldan incluyendo el "disco
de sistema". Para realizar el respaldo se utilizan las mismas 2 SOLT descritas y
se incluyen los discos de respaldo de las bases. Asimismo, para estos
respaldos se utiliza el criterio de Abuelo-Padre-Hijo, con 6 SOLT (un par por
semana), con lo que se cumple con los procedimientos de respaldo.
En cuanto a los servidores externos, stos se
respaldan paralelamente al Mainframe y se utilizan 25 OVO-RW con el criterio
Abuelo-Padre-Hijo.
Resguardo fsico de respaldos
Los respaldos se realizan en dos copias, las
cuales se distribuyen endos ubicaciones fsicas distintas, una de ellas enAvda.
Presidente Riesco N 5.296 Y la otra en calle Moneda N 1.040, casa matriz de
la empresa Proexsi Ltda.
c) Procedimientos de respaldos externos.
REA AUDITORA 1
- 38-
Mediante memorndum de 30 de septiembre
de 2010, emitido por el sub-gerente de datacenter de la empresa Proexsi Ltda.,
se indica que los procesos de respaldo que son ejecutados sobre las bases de
datos municipales, corresponden a tareas realizadas bajo procedimientos
certificados ISO 9001:2008 y que se desarrollan de la siguiente manera:
Respaldo incremental con periodicidad diaria en formato de renovacin de
dispositivo de almacenamiento cada tres das.
Respaldo histrico mensual con almacenamiento de 12 meses mvil.
Respaldo histrico anual con almacenamiento de 5 aos.
los procesos de respaldos se efectan en
dispositivos de cintas SDTl, y formato DVD, en dos copias, de las cuales una
es almacenada en la misma sala de operacin donde se encuentra la
plataforma central municipal y otra en las oficinas centrales de la empresa
Proexsi Ltda..
4.- Plan de recuperacin de desastres.
septiembre de 2010, emitido por el jefe del departamento de computacin e
informtica, se informa que el plan de contingencia de los sistemas del servicio
comprende las siguientes operaciones:
a) Se posee una UPS y ungrupo electrgeno que sustenta a la red computacional
y el servidor central Libra 400 encaso de uncorte de energa elctrica.
b) El servidor central Libra 400, est configurado en modalidad hotspare, esto
significa que en el momento de falla de un disco, automticamente el disco en
hotspare cumple la funcin del que tuvo la anomala.
e) Diariamente se respalda en medios magnticos el software de las aplicaciones
municipales, de modo que, ante cualquier prdida de informacin de los
sistemas a nivel de aplicacin, esta puede ser recuperada de inmediato a
travs de este respaldo.
d) Diariamente se respaldan las transacciones SQl de cada una de las bases de
datos del municipio en medios magnticos, lo que implica que ante cualquier
prdida de informacin a nivel de base de datos, ella puede ser recuperada a
travs de estos respaldos. Enforma adicional, toda la informacin en los discos
del servidor central Libra 400 es respaldada semanalmente en cintas
magnticas SDl T.
e) la empresa proveedora de los sistemas municipales Proexsi Ltda. mantiene un
monitoreo y administracin del servidor central durante 24 horas al da. Entre
las 07:45 horas y las 22:00 horas existen turnos rotativos de dos operadores en
forma presencial y despus de las 22:00 horas se monitorea enforma remota.
Por otra parte, para mantener la continuidad
operacional de los servicios informticos para la comunidad, se cuenta con
grupos electrgenos y UPS en las dependencias que se indican:
-Edificio Municipal, Centro Cvico, Seguridad Ciudadana y Emergencia.
REA AUDITORA 1
- 39-
-Direccin de Desarrollo Comunitario.
Sin embargo, no se cuenta con un plan de
contingencia formalizado mediante decreto alcaldicio y que conste de fase preventiva,
fase reactiva y fase de mitigacin.
Sobre el particular, el alcalde en su respuesta
seala que se han impartido las instrucciones para que dicho plan sea formalizado a
travs de undecreto alcaldicio.
No obstante, dada la ausencia de
documentacin que respalde la medida expuesta, corresponde mantener lo objetado
inicialmente.
V.- EJECUCiN DE RECORRIDOS DE CONTROLES GENERALES ASOCIADOS A
TI.
1.- Sistemas administrativos municipales, incluidos servicios online.
1.1.- Funciones.
Las funciones que realizan los sistemas
administrativos municipales en relacin con los procesos significativos analizados son
los siguientes:
a) Sistema contabilidad gubernamental.
Ingreso de cuentas contables, programas y centro de costos.
Ingreso de tablas para el funcionamiento del sistema (meses,
reas, tipo de comprobantes contables, tipo de documentos, tabla
centro costos, programas, parmetros y proveedores).
Ingreso de presupuesto inicial y modificaciones presupuestarias.
Ingreso de obligaciones (contratos, orden de compra,
adjudicaciones y factibilidades).
Ingreso de devengados por proveedor (facturas).
Confeccin de rdenes de pago.
Ingreso y contabilizacin de documentos contables, rendiciones de
cuentas.
b) Sistema tesorera municipal.
-Boletas de garanta.
Mantencin de garantas.
Consulta documento engaranta.
Ingreso de contratos.
-Egresos.
Emisin de cheques de distintas cuentas corrientes.
Emisin de listados de informacin, como cuenta corriente de
proveedor.
Generacin de listado de conciliaciones bancarias y retenciones de
impuesto.
REA AUDITORA 1
- 40 -
Contabilizacin de movimientos contables.
-Ingresos.
Apertura y cierre de cajas.
Anulacin de ingresos.
Cuadraturas de cajas.
Contabilizacin de ingresos.
Conciliacin de ingresos.
Pagos a travs de Internet.
Emisin informes varios.
Consulta de recaudacin por cajas.
e) Sistema patentes comerciales.
Consulta de patentes.
Listar patentes CIPA, segn tipo.
Administrar solicitud de patente.
Mantencin del maestro de patentes.
Clculo de patentes.
Anulacin de patentes y/o giros.
d) Sistema permisos de circulacin.
Generacin de giro para pago de permisos de circulacin.
Generacin de duplicado de permisos de circulacin.
Emisin de giros de fondos a terceros
Bloqueo por sistema de placas patentes.
Consultas de pagos aos anteriores, de registro de multas, de
incorporaciones y de traslados.
Generacin de giros de sellos.
Mantencin de traslado.
Asignacin de cdigo de S.1.1.
Anulacin de giros mal emitidos.
1.2.- Tipos de usuarios.
De acuerdo con la informacin entregada, las
cuentas de usuario utilizadas para interactuar con todos los sistemas se conforman
por perfiles y atributos, que se subdividen de la forma que sigue:
Aplicaciones Perfiles Atributos
Permiso de circulacin
Habilitar
Visible
Patentes comerciales
Administrador (A) Ingresar
Supervisor (B) Listar
Tesorera municipal
Usuario (C) Modificar
Usuario Bsico (D) Eliminar
Contabilidadgubernamental
Imprimir
Consultar
REA AUDITORA 1
- 41 -
La creacin de los usuarios se realiza a
travs de la cuenta administrador, entregando privilegios a travs de atributos
asignados que definen el tipo de cuenta. El mantenedor opera mediante nombre y
clave habilitada para obtener el tipo de acceso.
Por otra parte, los permisos se entregan al
usuario, independientemente por cada sistema, siendo el administrador el encargado
de conceder el acceso. El procedimiento indicado se realiza en trminos informales,
no quedando establecida la autorizacin de creacin de cuenta ni la baja de la misma
cuando el funcionario deja de prestar servicios al municipio.
1.3.- Evaluacin de la integridad de la informacin.
La Municipalidad de Las Condes cuenta con
3 bases de datos para los sistemas evaluados, las que alojan 48 tablas de registros,
evalundose las que tienen directa relacin con los procesos significativos asociados
a TI y que administran datos crticos.
En el caso particular de control de acceso
lgico, se evalu la cantidad de personal activo, pasivo, y su relacin contractual con
el municipio, validando la integridad de datos relevantes, con el fin de comparar la
informacin procesada con las cuentas de usuario activas para un funcionario y los
permisos otorgados para dicha cuenta.
Del anlisis practicado se advirti la
inexistencia de llave primaria para el campo tabla_cdigo de la tabla de la base de
datos del sistema tesorera municipal. La misma situacin se refleja en la tabla
"solicitud de patentes" con el campo solpa_rut_a. Ver anexo N 12.1.1.
Ensu respuesta, la autoridad comunal seala
que se puso en marcha unprocedimiento formal para la creacin y baja de cuentas, el
que ser formalizado mediante el decreto alcaldicio correspondiente.
Adicionalmente, indic que la llave primaria
para el campo tabla_codigo, est compuesta por dos campos, los que corresponden a
tabla_tipo y tabla_codigo. En el caso de la tabla "solicitud de patentes" la llave
primaria est conformada por solpa_tipo_solic, salpa_ano y solpa_num_solic.
La respuesta del municipio no adjunta
documentos de respaldo que acrediten las mejoras planteadas, por lo tanto, se
mantiene lo observado, a excepcin de lo referido a la inexistencia de llaves primarias.
1.3.1.- Control de datos numricos.
El sistema de tesorera municipal presenta
falla en el control de pagos en lnea, debido a que existen duplicaciones de pagos.
Asimismo, no existe un validador de pago en lnea que informe al contribuyente
acerca del xito o error de la operacin. Adems, en caso de encontrarse pagado el
monto pendiente, el sistema no posee un mdulo que administre restricciones para
evitar dobles pagos por unmismo concepto.
Por otra parte, las transacciones efectuadas
por Internet se reflejan en el sistema, sin embargo, al no ser informada la ejecucin
del pago, ello permite al contribuyente la realizacin de un segundo pago, el cual se
registra en el banco y, dependiendo de la hora, es informado al municipio en el mismo
f
REA AUDITORA 1
- 42-
da de la transaccin, en caso contrario ello sucede al da siguiente, dificultando la
imputacin del monto pagado.
Enrelacin a las diferencias, a nivel municipal
la empresa Proexsi Ltda., realiza un cruce de datos manual, a fin de ingresar las
transacciones no registradas de manera automtica enel sistema.
Sobre lo anterior, la autoridad municipal en su
respuesta expone que se efectu una revisin de los procedimientos utilizados por los
distintos medios de pago y se actualiz el sistema utilizado debido a cambios en la
plataforma de los bancos, asimismo, se incorpor un programa background, que
revisa y regulariza los pagos diarios que tuvieron problemas, por lo cual, a la fecha,
las fallas no se hanvuelto a producir, lo anterior fue corroborado mediante chequeo de
los sistemas enunciados, por lo que se levantan las observaciones.
1.3.2.- Control de validacin enel ingreso de datos.
El anlisis realizado permiti advertir que, en
el mdulo de patentes municipales, al ingresar las direcciones de los contribuyentes,
no se realiza validacin respecto de si esta pertenece a la comuna. Por lo anterior, a
nivel de base de datos, es posible que ella contenga direcciones que no correspondan
a la comuna de Las Condes, pudiendo comprometer los procesos de cobranza que
realiza el municipio.
En su respuesta, el alcalde seala, en
sntesis, que esa entidad comunal cuenta con un maestro de calles, a travs del cual
se chequea que la calle digitada pertenezca a la comuna. Asimismo, en el caso de las
factibilidades tcnicas del uso de suelo, previo al otorgamiento de las patentes
municipales, ellas son revisadas por la direccin de obras.
La validacin efectuada corrobor que no se
ha implantado un control automtico a nivel de mdulo de patentes municipales,
siendo ste de carcter manual. Asimismo, solicitados los respaldos de las medidas
subsidiarias de aqul, sealadas en el prrafo precedente, stos no fueron
proporcionados, por lo que procede mantener la observacin.
1.3.3.- Verificacin del modelo de datos.
Con fecha 14 de septiembre de 2010 se
solicit a la autoridad municipal la entrega de documentacin relativa al diseo lgico
de la base de datos que soporta los sistemas municipales implantados por la empresa
Proexsi Ltda. Enforma posterior, la comisin fiscalizadora se reuni con el gerente de
plataforma de servicios de la empresa ya sealada, el cual entreg documentacin
relativa a diccionarios de datos de las bases en estudio. Las bases de datos y los
diagramas de flujos de informacin fueron recepcionados con fecha 21 de septiembre
de 2010, segn memorndum N 574, del jefe del departamento de computacin e
informtica, ver anexo N 13.
Al obtenerse acceso parcial al diseo lgico,
se realiz un proceso de anlisis de las tablas que mantienen los sistemas en la base
de datos, entregadas por la empresa Proexsi Ltda. Del anlisis se advierte que en el
modelo de datos existe riesgo de inconsistencias, cuentas sin validacin de unicidad y
repetidas, as como ausencia de datos en las tablas para ciertos elementos
contenidos en la base de datos.
REA AUDITORA 1
- 43 -
En su respuesta, la autoridad comunal
informa que se efectu una solicitud a la empresa proveedora Proexsi Ltda., para la
regularizacin de la entrega parcial del diseo lgico, sin embargo, esa entidad
comunal no aport documentacin de respaldo de la medida adoptada, por lo que
corresponde mantener lo observado inicialmente.
1.3.4.- Control de integridad.
El sistema de patentes municipales se
constituye por varios campos de datos, dentro del cual se incluye solpa_rut_a, que
representa nmeros de RUT no consistentes con el diseo lgico definido, puesto que
en el anlisis efectuado a la base de datos se verific que existen registros con el
campo del valor numrico en blanco, ver anexo N 12.1.2.
Por otra parte, al realizar el clculo de la
patente municipal, el sistema pide validar la operacin mediante el reingreso de
usuario y clave. La validacin en el reingreso debiera ser asociada a una cuenta de
nivel superior como el super-usuario, debido a que se realizan cambios crticos para
posteriores clculos.
El alcalde en su respuesta informa que el
campo solpa_rut, es alfanumrico, incluyendo guin y digito verificador, agregando
que, en relacin al clculo de la patente municipal, se evaluar su aplicacin.
Asimismo, en lo referente a las validaciones
en el clculo de las patentes comerciales, la respuesta indica que se revisar su
aplicacin para mejorar la seguridad del sistema. Sin embargo, dicha medida no ha
sido implementada, por lo que procede mantener lo observado.
1.3.5.- Control de reglas de negocio.
Respecto de la aplicacin de contabilidad
gubernamental, en el maestro presupuestario, al realizar la descarga de convenios de
patentes municipales se producen anomalas en la asociacin del ao, no
referenciando aos anteriores.
Por otra parte, en el mdulo de patentes
comerciales, al realizar una consulta de patente por nombre, el sistema no slo
entrega registros del campo consultado sino tambin por nmero de RUT, fecha,
direccin, entre otros.
Las aplicaciones en uso no presentan la
posibilidad de realizar cambios de contrasea de ingreso para la cuenta de usuario. El
nico procedimiento de tipo informal existente es solicitar la nueva contrasea al
administrador para que ste la digite y active.
En su respuesta, la autoridad informa que
como procedimiento para regularizar las situaciones observadas, se han adoptado las
siguientes medidas:
a) Las cuentas de convenio se cambian a comienzos de cada ao, y las cuentas
del ao pasan a cuentas de aos anteriores.
b) La consulta est diseada para que utilice el parmetro ingresado, rut, nombre,
fecha, direccin, etc, como dato inicial de la bsqueda y no como dato exacto.
REA AUDITORA 1
- 44-
Sobre lo anterior, y en atencin a que las
medidas fueron implementadas, segn las verificaciones efectuadas, corresponde
levantar las observaciones planteadas.
1.3.6.- Pruebas de caja negra.
la auditora practicada permiti advertir lo
siguiente:
Examinado en forma aleatoria uno de los
mdulos en estudio, se advirti que en la pantalla pagos, correspondiente a permisos
de circulacin, se present una anomala respecto de la impresin del valor de la
segunda cuota pagada por el contribuyente, debido a que el monto no corresponde a
la pagada.
En todo caso, para el resto de los mdulos
administrativos municipales, las pruebas realizadas no arrojaron deficiencias respecto
a sus operaciones.
El alcalde en su respuesta informa que las
situaciones observadas no pudieron ser replicadas, sin embargo, se proceder a un
constante monitoreo para corregir los errores cuando sea pertinente.
Por lo anterior, se mantiene la observacin,
por cuanto no se indican medidas tendientes a regularizar lo objetado.
1.3.7.- Pruebas de razonabilidad de cifras calculadas histricamente.
Durante el examen se efectu una
verificacin aleatoria de los sistemas administrativos, no presentndose diferencias en
las muestras respecto a los clculos de valores.
1.3.8.- Control de gestin de log de errores.
El sistema administrativo municipal no cuenta
con registro de transacciones en cada mdulo proporcionado por la empresa Proexsi
Ltda., con el fin de reportar las acciones realizadas por los usuarios poseedores de
cuentas vigentes con privilegios. Adicionalmente, no existen consultas a los sistemas
para sustentar auditoras internas de seguimiento de operaciones anmalas.
la autoridad comunal seala en su respuesta
que la plataforma de sistemas cuenta con un servicio de listados de informacin de
auditora, proporcionado a travs de consulta SQl sobre la base de datos, y el
seguimiento efectuado de las operaciones registradas. Asimismo, la bitcora detalla
las transacciones por rut y hora de ejecucin.
Sobre el particular, esa entidad comunal no
hizo entrega de documentacin de respaldo que acredite lo expuesto
precedentemente, por lo que corresponde mantener lo observado inicialmente.
1.3.9.-Anlisis de sistemas administrativos municipales.
Se desarroll una evaluacin para cada
mdulo, advirtiendo que se producen problemas puntuales de procesamiento, ingreso
y validacin de datos. Al respecto, se desprende el siguiente detalle de falencias:
REA AUDITORA 1
- 45-
a) Tesorera municipal.
La estructura de las claves no se encuentra definida a nivel lgico
mediante restricciones de sistema ni existe normativa de
administracin.
El sistema permite el ingreso de claves no alfanumricas.
No existe, a nivel de mdulo de control de acceso, una poltica de
rotacin de clave asociada a unperodo de tiempo.
No existe bloqueo automtico del sistema despus de un perodo
de inactividad.
Los registros de operaciones no cuentan con el campo hora, slo
se respalda cuando se realiza un impresin del documento.
Las claves de acceso de las cajas son de conocimiento pblico
entre los usuarios de la unidad.
No cuenta con giros especficos para multas de TAG.
No existe opcin de extraccin masiva de permisos de circulacin
y cargo de patentes municipales del ao anterior.
El sistema no cuenta con identificacin de modalidad de pago del
tributo.
A nivel de reportes, no existe emisin de certificados de deuda.
En relacin al sitio de pagos online, no se presenta la opcin de
rescatar comprobantes de pago de impuestos.
La autoridad municipal, en su respuesta,

indica que, para las falencias detectadas en el mdulo de tesorera, se tomarn las
medidas correspondientes, a fin de regularizar la falta de rotacin de claves asociada
a un perodo de tiempo, bloqueo automtico del sistema por perodos de inactividad y
emisin de certificados de deuda, disponindose de un procedimiento de asignacin
de claves manejado entre el municipio y el contratista.
Por otro lado, manifiesta que se
implementar un procedimiento de cambio de claves semestral, bloqueo de acceso
despus de 15 das, campo de registro horario en sus lag, administracin de claves
por parte de la jefa de ingresos, manejo de sistema computacional para registrar y
procesar las multas TAG, extraccin masiva de permisos de circulacin de perodos
anteriores a travs de pedidos especficos, creacin de un identificador de atributo, y
visualizacin de comprobante de pago para la impresin del usuario.
Por lo anterior, corresponde levantar las
observaciones planteadas, en el entendido que se cumplirn las medidas que se
informan, cuya efectividad ser comprobada en una prxima fiscalizacin.
b) Patentes municipales.
Los campos para el ingreso de las direcciones son reducidos.
El sistema no realiza validacin de las direcciones de los
contribuyentes para verificar que correspondan a la comuna de
Las Condes.
Los reclculos del reajuste de la cuota a ser pagada en enero no
son determinados por el sistema.
El sistema no permite filtrar las patentes municipales por giro de la
actividad.
No se cuenta con reporte de patentes por RUT o direccin en el
mdulo informes.
No se cuenta con reportes de gestin parametrizables.
REA AUDITORA 1
- 46-
El sistema no contiene plantillas de resoluciones de
desenrolamiento y descargo por usuario.
Las patentes emitidas por sistemas no almacenan la resolucin
de otorgamiento.
Enel sistema se pueden realizar cambios manuales en los datos,
no existiendo validaciones posteriores.
Las consultas no incorporan la modalidad de consulta masiva de
patente por fecha.
No se encuentra disponible el informe de mora por pantalla para
previsualizacin, sino solamente a nivel de impresin.
En relacin a la nmina de patentes con mora, al realizar
seleccin de rango de fecha, no se genera exportacin a Excel.
En mantencin declaracin de capital, al consultar comuna no
permite bsqueda indexada alfabticamente.
Respecto de las patentes municipales va online, en el pago a
travs de Internet no se detallan los conceptos que se estn
pagando, slo aparece el total pagado, sin consignar reajustes,
multas y derechos de aseo dentro de la cuota.
En relacin con lo observado sobre el
reducido tamao del campo para el ingreso de direcciones en mdulo de patentes
municipales, la autoridad municipal en su respuesta seala que dicho espacio se
considera suficiente. Sin embargo, al efectuarse el ingreso de calles con nombres de
longitud significativa, se pudo comprobar que ste debe ser abreviado para su
ingreso, por lo que no existe una homologacin en la denominacin de las calles,
motivo por el cual, procede mantener lo observado.
Sobre la ausencia de validaciones de las
direcciones de los contribuyentes enel sistema de patentes municipales, el edil seala
que se cuenta con un maestro de calles para verificacin de las direcciones, en caso
de bsqueda, por lo que corresponde levantar la observacin, toda vez que se
acredit la existencia de una herramienta para efectuar las validaciones
correspondientes.
En cuanto a la inexistencia de reclculos de
los reajustes, de acuerdo a las validaciones efectuadas se pudo comprobar que dicho
proceso es realizado automticamente por el sistema de patentes municipales, en
base al factor de correccin monetaria asignado previamente, por lo que procede
levantar lo observado.
Por otra parte, sobre la imposibilidad de
realizar filtros de patentes municipales por giro de la actividad, se indica que la
clasificacin de actividad corresponde al Servicio de Impuestos Internos, respuesta
que no guarda relacin con la observacin, por lo que procede mantenerla.
Respecto al impedimento de generar reportes
de patentes por RUT o direccin, se comprob, mediante las validaciones efectuadas,
que el sistema se encuentra habilitado para emitir dichos informes, antecedentes que
permiten levantar la observacin.
En relacin a la ausencia de reportes de
gestin parametrizables, el edil expone que se poseen herramientas "cubos all up"
para realizar ese tipo de reportes, sin embargo, dichos reportes no pueden ser
generados por sistema, por lo que se mantiene la observacin.
REA AUDITORA 1
- 47 -
En relacin a la inexistencia de plantillas de
resoluciones de desenrolamiento, la autoridad municipal indica que ellas existen y son
creadas de acuerdo al perfil del usuario, situacin que fue corroborada, por lo que
procede levantar la observacin.
Asimismo, sobre la falta de almacenamiento
de la resolucin de otorgamiento, la autoridad comunal seala que el municipio est
en proceso de automatizacin del sistema; evaluados los antecedentes expuestos,
procede mantener la observacin, por cuanto no se indican medidas correctivas.
Sobre la ausencia de validaciones de los
cambios manuales realizados al sistema de patentes municipales, el edil indica que se
efecta una revisin a travs de una resolucin que respalda la solicitud, sin embargo,
no se efectan controles a nivel de sistema, por lo que procede mantener lo
observado.
Adicionalmente, en cuanto a la inexistencia
de exportacin de informacin sobre informes de pagos a formato Microsoft Excel, y
consulta masiva de patente por fecha, la autoridad municipal expone que estos
reportes son emitidos directamente por el administrador, no encontrndose habilitados
como servicios de la plataforma de software, debido a que los reportes emitidos por el
administrador son obtenidos a travs de consultas Sal, no pudiendo los usuarios
personalizar los reportes en forma individual, lo que determina una dependencia
operacional, por lo que procede mantener la observacin.
Sobre la imposibilidad de realizar bsquedas
indexadas por comuna, falta de visualizacin de los conceptos cuando se realizan
pagos por Internet, e imposibilidad de generar informes por pantalla de contribuyentes
con mora, el edil indica que se considerar su implementacin en futuras
mantenciones, sin embargo, dado que slo se enuncia una voluntad de adoptar
medidas futuras que no se han materializado, procede mantener las observaciones.
e) Permisos de circulacin.
El sistema no permite una bsqueda directa por codificacin de
vehculo, de acuerdo a los registros del S.1.1.
El sistema permite el paso al siguiente mdulo aun cuando el
nmero de motor se haya ingresado errneamente.
No se cuenta con exportacin a Excel de los pagos por concepto
de permisos de circulacin del ao anterior.
El sistema no avisa cuando la placa patente no es de la comuna.
En relacin al proceso de bsqueda, cuando se realiza una
consulta masiva de multas impagas por folio, si la numeracin no
se encuentra, se reporta la placa patente nica con numeracin
ms cercana, produciendo problemas de integridad enel proceso.
No existen herramientas de autocompletacin de marca, modelo y
otros, a nivel de sistema.
En relacin a los reportes, no existe la posibilidad de generar un
listado de contribuyentes morosos.
No existe validacin en el sistema si el pago se encuentra
efectivamente realizado.
A nivel de consulta, los pagos realizados online se pueden
controlar, debido a que son asignados a la caja 80. Sin embargo,
no se pueden totalizar en relacin al nmero para obtener la
estadstica de cuantos pagos son realizados por esa modalidad.
REA AUDITORA 1
- 48 -
Con respecto al pago de las segundas cuotas que vienen desde
otras comunas, no se pueden listar por medio del sistema a fin de
realizar el control de la devolucin.
Se detect que al cambiar de mes, en la fecha de emisin de giro
no se realiza el cambio automticamente, por lo que al girar los
vouchers se emiten con multa.
A nivel de sistema no se cuenta con una instancia que permita
verificar si una persona se encuentra acogida a la exencin por no
circular durante un ao, indicada en el artculo 15 del decreto ley
N 3.063, de 1979, Ley de Rentas Municipales.
El sistema no cuenta con listado de morosos del ao.
No se valida el estado de pago del permiso de circulacin antes
de pagar, respecto de otros locales habilitados, por lo que al
ejecutar el pago en cajas pertenecientes al Banco BCI, podra
haber duplicidad.
Respecto a los sistemas administrativos

municipales, se adjuntan cuadros consolidados con detalles de anomalas registradas
en revisin aleatoria realizada enforma conjunta confuncionarios municipales durante
el perodo de la auditora. Se indica enel registro sistema, mdulo, pantalla, detalle de
la falla y observacin, ver anexo N 14.
En lo que concierne a la imposibilidad de
realizar una bsqueda directa de un vehculo por codificacin del Servicio de
Impuestos Internos, el alcalde seala que el sistema s permite dicha bsqueda. Sin
embargo, las validaciones efectuadas comprobaron que el sistema no lo permite, por
lo que procede mantener la observacin.
En cuanto, a la posibilidad de ingresar al
sistema de permisos de circulacin, aun cuando el nmero de motor haya sido
ingresado errneamente, la autoridad municipal indica que se externalizar la funcin
para el control de dicho proceso, a travs de un convenio con el Servicio de Registro
Civil e Identificacin. Sin embargo, no se adjuntan antecedentes de respaldo sobre el
mencionado convenio, por lo que procede mantener la observacin.
Adicionalmente, sobre la incorporacin de
una opcin de exportacin a planilla Excel de informes de permisos de circulacin,
consulta masiva de multas impagas por folio, incorporacin de herramientas de
autocompletacin, aviso por sistema en el ingreso de placas patentes no
pertenecientes a la comuna, y generacin de listados de contribuyentes morosos, se
indica por parte del alcalde que se considerar su implementacin en futuras
mantenciones, sin embargo, no se adjuntan antecedentes que acrediten lo expuesto,
por lo que procede mantener las observaciones.
Sobre la inexistencia de validaciones en el
sistema de permisos de circulacin, en el caso de encontrarse un pago ya efectuado,
se seala en la respuesta del alcalde que existe una validacin antes de que el
permiso sea pagado, sobre lo cual se comprob, mediante validaciones efectuadas
que la totalidad de las cajas de pagos se encuentran en lnea, lo que permite un
chequeo automtico, por lo que procede levantar la observacin.
En relacin a la imposibilidad de efectuar
totalizaciones de los pagos en lnea; falta de una opcin de listar las segundas cuotas
de permisos de circulacin provenientes de otras comunas; cambio de mes en el
campo de fecha de emisin de giro no es automtica; inexistencia de instancia que
REA AUDITORA 1
- 49-
permita validar si el contribuyente se encuentra acogido al decreto ley N 3.063, de
1979; e impedimento para la generacin de reportes de contribuyentes morosos, la
autoridad municipal en su respuesta no emite un pronunciamiento al respecto, por lo
que se mantienen las observaciones.
VI.-CONTROLES ESPECFICOS ASOCIADOS A APLICACIONES DE PROCESOS
SIGNIFICATIVOS.
1.- Control de acceso lgico.
1.1.- Alcances a procedimientos de administracin de cuentas.
Existen procedimientos asociados a la
administracin de cuentas que operan en los sistemas informticos administrativos
municipales que provee la empresa Proexsi Ltda.; los aspectos relevantes a
mencionar son:
a) Los sistemas que operan en el municipio cuentan con mdulo de seguridad por
aplicacin. Se utilizan claves sin restriccin mnima de caracteres
alfanumricos, pudiendo dejarse en blanco la clave de acceso, lo que vulnera la
seguridad del perfil habilitado, en relacin a los atributos que posee y acciones
que puede realizar el operador.
b) Se realiz un anlisis de las bases de datos que resguardan las cuentas de
acceso del personal municipal, advirtiendo que existen diferencias respecto de
la cantidad de cuentas informadas por el jefe del departamento de computacin
e informtica, segn memorndum N 618, de 5 de octubre de 2010, a
continuacin se presenta el total de cuentas:
Nombre del Registro Total Registro Total
Diferencia de
cuentas no
Sistema Auditora Municipio
informadas
Tesorera 82 24 58
Patentes
64 45 19
Municipales
Permisos de
56 14 42
Circulacin
Licencias de
23 23 O
Conducir
Contabilidad
22 22 O
Gubernamental
e) No existe en los sistemas administrativos del municipio un campo que defina el
tipo de usuario como bsico, avanzado y administrador, definicin de acceso a
los sistemas que est relacionada con los privilegios, segn seala el
memorndum N 574, de 21 de septiembre de 2010, del jefe del departamento
de computacin e informtica. Al no tener el identificador de tipo de cuenta en
la base de datos, slo se pudo realizar el anlisis para separar la totalidad de
las cuentas por tipo de atributos asociados al usuario. El detalle de las cuentas
consolidadas es:
REA AUDITORA 1
- 50-
Diferencia de
Nombre del Sistema
Registro auditora Registro municipio cuentas no
por nivel por nivel informadas
vigentes
Cuentas A S C D T V A S C D T V V
Tesorera 4 1 76 1 82 73 1 1 22 O 24 24 49
Patentes Municipales O 7 36 21 64 48 O 2 22 21 45 45 3
Permisos de Circulacin O 7 48 1 56 56 O 1 13 O 14 14 42
Licencias de Conducir O 1 22 O 23 23 O 1 22 O 23 23 O
Contabilidad Gubernamental O 1 21 O 22 16 O 1 22 O 23 23 7
A continuacin, undetalle de los perfiles asociados a la nomenclatura:
Tipo perfil Detalle
A Administrador (crear usuarios y perfiles).
S Crear, consultar, modificar, eliminar.
C Crear, consultar, modificar.
D Consultar.
T Cuentas totales.
V Cuentas vigentes.
d) En relacin a la entrega de base de datos, se analiz la cantidad de cuentas
informadas por el municipio en relacin a la aplicacin de permisos de
circulacin, encontrndose 112 cuentas, de las cuales slo 56 son correctas, el
resto corresponde a duplicados.
e) En el anlisis de control de acceso a la aplicacin de permisos de circulacin,
se detect una cuenta inactiva del tipo perfil D no eliminada, asociada al RUT
N 9.048.743-4.
f) En la aplicacin de patentes municipales existe una cuenta no regulada sin
acceso, correspondiente al RUT N 15.353.119-6.
g) Por otra parte, en la aplicacin de contabilidad gubernamental, se detect la
existencia de 22 cuentas, de las cuales solamente 16 se encuentran habilitadas
y de ellas 14 son vlidas. Asimismo, se verific que la base almacena 2
usuarios sin asignacin de acceso al mdulo, ver anexo N 12.2.1, Y 8 cuentas
de acceso asociadas a usuarios invlidos, ver anexo N 12.2.2.
h) De acuerdo a lo anterior, mediante pruebas sobre las bases de datos
suministradas, se verific si existan cuentas activas de personal cesado en
funciones, situacin que no se produce a nivel municipal. Adems, todos los
perfiles en sistema revisados son usuarios asociados a funcionarios
municipales, incluso los que cuentan con permisos de nivel superior del tipo A y
S, ver anexos Ns 12.3.1 y 12.3.2.
i) Dentro de las bases de datos se contempla un campo de estado de cuenta de
usuario, el cual se advierte que no es usado en todos los sistemas, puesto que
en la revisin practicada se encontraron cuentas de datos inconsistentes que
no estaban marcadas como eliminadas.
REA AUDITORA 1
- 51 -
D La creacin, modificacin y desvinculacin de cuentas de acceso a intranet y
sistemas administrativos es realizada por el departamento de computacin e
informtica, sin un procedimiento formal. Para el control de acceso a los
sistemas, los jefes de unidades deben informar a dicho departamento sobre la
creacin de cuentas, desvinculaciones y modificaciones de funcionarios.
k) En relacin con el acceso fuera de horario, se pudo constatar que no existe por
parte del municipio control del uso de los sistemas.
En la respuesta proporcionada por la
autoridad municipal se seala, respecto de la letra a), sobre la utilizacin de claves sin
restriccin de caracteres, que se revisar y regularizar la confeccin de las claves de
acceso a los sistemas, sin embargo, las medidas no han sido materializadas, por lo
que procede mantener la observacin.
Sobre la observacin contenida en la letra e),
cuenta inactiva del tipo perfil no eliminada, la autoridad expone que la cuenta
corresponde a un funcionario activo que realiza espordicamente atencin en los
mdulos de permisos de circulacin. Sin embargo, no se bloquea dicha cuenta en los
perodos en que el funcionario no efecta labores para ese departamento, por lo que
procede mantener lo observado.
Respecto a las letras h), e i), relacionadas
con los riesgos de cuentas activas de personal cesado en funciones, y campo de
estado de cuenta de usuario no utilizada en todos los sistemas, respectivamente, el
alcalde indic que se efectu una solicitud a la empresa Proexsi Ltda., para que
efecte las regularizaciones correspondientes, sin embargo, no se adjuntan los
antecedentes que acrediten el requerimiento efectuado.
Por otro lado, sobre la letra D, ausencia de un
procedimiento formal de creacin de cuentas, se inform que el departamento de
informtica est confeccionado una normativa formal, la cual ser sancionada a travs
de un decreto alcaldicio, no obstante, se pudo comprobar que lo anterior no ha sido
efectuado a la fecha.
De acuerdo a lo informado en letra k),
respecto al acceso a los sistemas fuera de horario, se mencion que stos pueden ser
utilizados durante las 24 horas del da, sin embargo, no se indican los controles
aplicados, cuando dicha situacin ocurre.
Por ende, tomando en consideracin la
ausencia de medidas correctivas por parte del municipio que subsanen lo enunciado
anteriormente, procede mantener las observaciones contenidas en las letras a), e), h),
i), D, y k).
Por otro lado, respecto de las observaciones
detalladas en las letras b), e), d), f), y g), sobre diferencias en las cuentas informadas,
ausencia de campo que defina el tipo de usuario, existencia de cuentas duplicadas,
presencia de cuenta no regulada sin acceso, y deteccin de inconsistencias en las
cuentas del sistema, respectivamente, se constat mediante los antecedentes
suministrados, que dichas situaciones fueron regularizadas por el municipio, por lo
que procede levantar las observaciones.
REA AUDITORA 1
- 52-
1.2.- Revisin de gestin de cuentas de Sistemas Administrativos
Municipales.
De acuerdo al anlisis efectuado de la base
de datos en Sal Server se advierten los siguientes alcances al diseo lgico respecto
de los mdulos enestudio:
a) los campos tabla_password y tabla_maint no permiten valores
nulos. Adems, a nivel de diseo no se registra la existencia de
llave primaria o compuesta.
b) El campo tabla_cdigo, es de tipo varchar y posee tamao 10,
almacenando el identificador RUT. Al respecto, se realiz unanlisis
identificando que posee control de validacin, sin embargo, algunos
campos almacenan RUT inconsistentes y en blanco en referencia a
usuarios, ver anexos Ns 12.3.3; 12.3.4 Y 12.3.5.
e) Para el campo tabla_cdigo que representa el rut, el sistema no
realiza importacin automtica de datos acerca del usuario, como
son los nombres y apellidos, a fin de llenar los campos
tabla_descrip1 y tabla_descrip2. De lo anterior se desprende que los
campos pueden ser llenados con datos no consistentes, adems, el
campo tabla_descrip2 acepta valores nulos.
d) El campo tablapassword almacena datos del tipo varchar con
tamao 10. Del anlisis del diseo y datos registrados se advierte
que no existe encriptacin de las claves de acceso y se encuentran
visibles para el administrador de los sistemas municipales.
En su respuesta, el alcalde informa que se
tomarn las medidas correspondientes a fin de regularizar las situaciones planteadas
en el punto 1.2, sobre gestin de cuentas de sistemas administrativos municipales. Sin
embargo, ello no se ha materializado, por lo que corresponde mantener las
observaciones.
2.- Control de cambios.
En los sistemas administrativos municipales,
actualmente no existe un mdulo de control de transacciones que consolide los
movimientos propios de cada una de las aplicaciones, como datos bsicos relativos a
cada una de las tablas. Sin embargo, se realiz un anlisis de 3 tablas, una por cada
sistema enestudio, logrando establecer observaciones relativas a las operaciones.
De los cambios evaluados en los mdulos, se
pudo comprobar enforma detallada lo siguiente:
2.1.- Revisin de cambios en tabla maestro de proveedores, MPROV, del
sistema contabilidad gubernamental.
a) los campos mprov_apemat y mprov_apepat a nivel de diseo lgico
se definen como valores no nulos, sinembargo, existen almacenados
5.827 registros con datos en blanco para nombre, apellido paterno y
materno, por lo cual no existe integridad, ver anexos Ns 12.2.3 y
12.2.4.
REA AUDITORA 1
- 53 -
b) El campo mprov_RUTprov es de tipo varchar y posee tamao 10,
almacenando el identificador RUT. Al respecto, se realiz un anlisis
identificando que el campo no posee llave primaria, detectando la
existencia de 31.228 proveedores de los cuales 31.107 son nicos, y
377 poseen rut inconsistentes, ver anexo N 12.2.5.
e) Dentro de la base de datos contabilidad, en la tabla mprov
(proveedores) se advierte la existencia de registros invlidos, ver
anexo N 12.2.6.
d) El campo mprov_dirprov, representa la direccin del proveedor
mediante tipo varchar con tamao 40, con restriccin de no nulo, sin
embargo, la base de datos registra 842 proveedores con direccin en
blanco, ver anexo N 12.2.7.
En su respuesta, la autoridad municipal indica
que se evaluarn las anomalas detectadas en la tabla de maestro de proveedores,
tomando en consideracin su impacto en el sistema, sin embargo, no se han
ejecutado medidas correctivas que permitan solucionar dichas fallas, por lo que
procede mantener las observaciones.
2.2.- Revisin de cambios en tabla solicitud de patentes, SOlPA, del sistema
de patentes municipales.
a) En la tabla solpa de patentes municipales, se verific el diseo lgico,
encontrndose para los campos solpa_rut_a, solpa_ano y
solpa_tipo_sol, no asignado el atributo de llave compuesta, lo cual
determina la posibilidad de almacenar valores duplicados, ver anexo
N 12.1.1.
b) Por otra parte, se detectaron 19 solicitudes sin nmero de campo
solpa_rut_a, lo cual se contrapone con la restriccin de valor no nulo
asignado enel diseo lgico, ver anexo N 12.1.1.
e) El campo de nmero de solicitud de patentes, a pesar de encontrarse
definido como no nulo, almacena registros de solicitudes en blanco.
El alcalde en su respuesta seal que las
situaciones indicadas precedentemente no pudieron ser replicadas, por lo que
procede mantener las observaciones.
2.3.- Revisin de cambios en tabla depsitos, DEPOS, del sistema de
tesorera municipal.
a) El campo depos_estado mantiene el estado del depsito y permite
valor nulo, dificultando el anlisis al realizar un seguimiento del
estado de los documentos a pago por parte del municipio.
b) En los campos depos_numerocc (nmero de comprobante contable,
depos_tipcta (tipo de cuenta), depos_tipocc (tipo de cuenta),
realizado el anlisis del diseo lgico, se advierte que permite valores
nulos, con el consiguiente riesgo de asignar imputaciones en cuentas
contables errneas, ver anexo N 12.3.6.
ti J
Q1IL
REA AUDITORA 1
- 54-
Por otra parte, la relacin que tiene la
estructura DEPOS, se encuentra definida por los campos Fecha de Pago, Caja, y
Local, respecto a los pagos efectuados, donde se almacenan las cuentas relacionadas
con los ingresos. Asimismo, para la tabla PAGOS no se encuentra definida llave
primaria o compuesta, lo que determina la posibilidad de que existan datos duplicados
o invlidos, a modo de ejemplo, enel anlisis se detectaron 12.338 registros de pagos
sin datos del campo pagos_rut_a (rut), y 2.522 registros con el campo paqosjocal
(local) en blanco.
El alcalde no se pronuncia respecto de las letras
a) y b), por lo que procede mantener lo observado.
De los cambios evaluados en los mdulos de
los puntos 2.1; 2.2 Y 2.3; precedentemente expuestos, se pudo comprobar lo
siguiente:
No existen aprobaciones formales para la asignacin y utilizacin de cuentas
con atributos de modificacin o eliminacin de datos en actividades propias de
la funcin.
El control de cambios que realiza el municipio en los sistemas no registra los
resultados de las mantenciones realizadas, salvo en algunos casos en que se
cuenta con el nmero de versin del mdulo en operacin. Por otra parte, se
verific que algunos sistemas no poseen identificador de versin actual y
anterior, a finde realizar seguimiento a cambios e instalaciones.
En cuanto a las aplicaciones que se encuentran disponibles en el portal de
Internet, no existe informacin que registre y fundamente los cambios
realizados, a excepcin de los que son regulados por ley.
Dentro del proceso de control de cambios no existe de manera formal una
evaluacin del impacto potencial sobre el ambiente de TI, mdulos adicionales,
base de datos y controles.
La autoridad municipal, en su respuesta, no
se manifiesta en lo relativo a las observaciones planteadas anteriormente, por lo que
se mantiene lo objetado.
VII.- SOBRE CUMPLIMIENTO DE DECRETOS.
Se evalu el cumplimiento de los decretos
supremos del Ministerio Secretara General de la Presidencia Ns 77, 81 Y 83 de
2004, adems de los Ns 93 Y 100 de 2006, determinndose lo que en cada caso se
seala:
t
1.- Decreto supremo N 77, de 2004, del Ministerio Secretara General de la
Presidencia: Regula de manera general y supletoria las comunicaciones
entre rganos del Estado y las de stos con las personas de aquellos
mbitos no regulados por esta norma.
a) En relacin con las comunicaciones enviadas por medios
electrnicos, no se mantiene un registro de la transmisin y recepcin
de ellas.
r
REA AUDITORA 1
- 55-
b) Para los fines de almacenamiento obligatorio, no se adjuntan los
antecedentes que permitan la bsqueda y recuperacin almacenada
en los repositorios de documentos electrnicos.
e) No se cumple con la obligacin de informar a un emisor de mensaje
la direccin de correo electrnico adecuada, en el caso de verificarse
una comunicacin no apta para la recepcin.
d) No se efecta almacenamiento en un repositorio de las respuestas
enviadas a personas que se hayan comunicado por medios
electrnicos, por unplazo mnimo de 60 das.
e) Se carece de mecanismos de autenticacin o de control de acceso
de las direcciones de correos electrnicos que contengan respuestas
de unservicio.
Presidencia: Aprueba norma tcnica para los rganos de la Administracin
del Estado sobre la interoperabilidad de documentos electrnicos.
a) Se evidencia incumplimiento de las siguientes normas.
ISO/lEC 8825-4 2003
ISO/lEC 10646-1 2000
ISO/lEC DIS 18056
RFC-821
RFC-959
RFC-2068
b) Los documentos electrnicos diseados para ser modificados no
utilizan XFORMS.
e) Enlos esquemas de undocumento regulado no se utiliza XSL.
d) No se confecciona una relacin actualizada de los documentos y
actuaciones del expediente a quienes tengan derecho a consultarlo.
e) Los sobres electrnicos no contienen las siguientes menciones.
Objetos a travs de URl.s.
Message Digest de los objetos incluidos.
Identificacin de mtodo de firma de los Message Digest.
Identificacin de mtodo de canonizacin de datos contenidos en
sobre.
f) No se ha definido un sobre electrnico como contenedor de
documentos, que contenga fecha de envo, remitente y destinatario.
g) Los protocolos soportados por las implementaciones que utilizan el
sobre electrnico no son estndares.
h) En la implementacin de los repositorios no se consideran los
siguientes tipos de bsqueda:
REA AUDITORA 1
- 56-
Texto completo
XQuery
Navegacin
Bsqueda avanzada
i) No se establecen identificadores para hacer referencias a
documentos en los repositorios.
j) Identificacin de mtodo de canonizacin de datos contenidos en
sobre.
Presidencia: Aprueba norma tcnica para los rganos de la Administracin
del Estado sobre seguridad y confidencialidad de los documentos
electrnicos.
a) En relacin con la seguridad de los documentos electrnicos en
cuanto al desarrollo, almacenamiento, acceso y distribucin, no se
efectan los siguientes procedimientos:
Diseo y documentacin de acciones para poner en prctica las
polticas de seguridad de los documentos electrnicos.
Implementacin de procesos de almacenamiento, acceso y
distribucin de documentos electrnicos.
Monitoreos del cumplimiento de las polticas de seguridad del
documento electrnico.
Capacitacin a los usuarios.
Definicin y documentacin de los roles y responsabilidades.
b) No se han efectuado estudios de anlisis de riesgo y/o costo
beneficio de la seguridad del documento electrnico. En cuanto al
establecimiento de polticas que fijen directrices en materias de
seguridad, stas no hansido difundidas.
c) Dentro de las funciones del encargado de seguridad, no se
contempla el desarrollo inicial de las polticas de seguridad al interior
de la organizacin.
d) Los documentos electrnicos y sistemas informticos no han sido
clasificados y etiquetados para indicar la necesidad, prioridad y grado
de proteccin.
e) El encargado de seguridad no ha propuesto procedimientos de
manipulacin requeridos para el documento electrnico en cuanto a
copiado, almacenamiento, transmisin por correo electrnico y
destruccin.
f) Las salidas desde un sistema de un documento electrnico
clasificado como reservado o secreto, no poseen una etiqueta
apropiada de clasificacin de salida.
1
REA AUDITORA 1
- 57-
g) Las responsabilidades de seguridad aplicables al personal no son
explicitadas en la etapa de seleccin ni se incluyen en los decretos
de nombramiento.
h) No se aplican polticas de segregacin de funciones para reducir el
riesgo de negligencia y mal uso deliberado de los sistemas.
i) La periodicidad de los respaldos de los computadores personales no
es menor a 1 ao.
j) No se difunden instrucciones sobre la inconveniencia de almacenar
contraseas de acceso electrnico enel mismo computador.
k) Los equipos usados en el almacenamiento no son reformateados en
forma previa a ser dados de baja.
1) En relacin a la asignacin de identificadores, existe
desconocimiento de aplicar las siguientes medidas:
No registrar identificadores en papel.
Evitar compartir los identificadores de usuarios individuales.
No almacenar identificadores de manera desprotegida
No incluir el identificador en cualquier proceso al inicio de seccin
automatizada.
Presidencia: Aprueba norma tcnica para la adopcin de medidas
destinadas a minimizar los efectos perjudiciales, de los mensajes
electrnicos masivos no solicitados, recibidos en las casillas electrnicas de
los rganos de la Administracin del Estado y de sus funcionarios.
a) No se ha efectuado el diseo, documentacin e implantacin de
procesos y procedimientos necesarios para poner en prctica las
polticas relativas a correos masivos.
b) No existe una definicin y documentacin de roles y
responsabilidades de las unidades organizacionales e individuos
involucrados en los aspectos relacionados con el manejo de correos
electrnicos masivos.
e) La entidad edilicia no ofrece un punto de contacto para comunicarse
con el encargado de seguridad informtica.
d) Se carece de un monitoreo semanal al sistema, que alerte al
encargado de seguridad informtica para que ofrezca solucin a
dichos problemas.
Presidencia: Establece caractersticas mnimas obligatorias que deben
cumplir los sitios Web de los rganos de la Administracin del Estado.
t
REA AUDITORA 1
- 58 -
5.1. La entidad edilicia no desarrolla tareas que permitan implementar
en el sitio Web las directrices principales de las normas internacionales
sobre accesibilidad para personas discapacitadas.
5.2. Con respecto a la adopcin, mantenimiento y declaracin de
polticas de privacidad del sitio Web, no se han adoptado las
siguientes medidas.
Individualizacin del servicio responsable del tratamiento de datos
que correspondan al sitio Web, con precisin de su representante.
Declaracin en trminos precisos respecto de si el tratamiento de
los datos del sitio Web incluye el nombre del banco de datos
personales, el fundamento jurdico de su existencia, la finalidad, y
el tipo de datos almacenados endicho banco.
Indicacin en cuanto a las condiciones de garanta sobre
confidencialidad del tratamiento de los datos personales.
Reconocimiento expreso de los derechos de que dispone el
usuario, en cuanto titular de datos personales, para su debido
resguardo.
5.3. En caso de utilizarse archivos que requieran el uso de programas
visualizadores especiales, no se han puesto a disposicin de los
usuarios dichos programas, para ser bajados a travs del sitio
web.
5.4. No se efecta validacin de las plantillas de las hojas de cascada
del desarrollo del sitio Web a travs de las herramientas provistas
porWC3.
En relacin al cumplimiento del decreto
supremo ya citado se realiz una revisin al sitio Web municipal
htlp://www.lascondes.c1. detectndose las siguientes situaciones:
a) La codificacin del sitio Web no corresponde a UTF-8 sino a
Charset ISO 8859-1, efectuada la evaluacin del cdigo fuente
disponible enel sitio Web.
b) El mantenimiento del sitio Web municipal se encuentra
externalizado. Por otra parte, el contenido es administrado por
personal del departamento de relaciones pblicas dependiente de
alcalda.
e) A nivel Web, el sitio posee uso de frames, lo cual genera
desventajas como reduccin del espacio en pantalla, disminucin
en la navegacin, errores en asignacin de bookmarks y
actualizacin de los frames mediante utilizacin de J avascript. Lo
anterior, determina cada en el rendimiento del sitio Web
municipal.
d) Se realizaron bsquedas en diferentes formatos, advirtindose
que el buscador del sitio Web se encuentra habilitado y operativo.
REA AUDITORA 1
- 59-
e) Las polticas de privacidad del sitio Web no se encuentran
habilitadas y presentadas a los usuarios.
f) Se realizaron pruebas con los principales Browser y se verific la
compatibilidad de todos ellos para acceder a la navegacin sobre
el sitio Web municipal, dentro de las pruebas se usaron Internet
Explorer, Firefox, Safari, Opera y Google Chrome.
g) El sitio Web municipal presenta untrfico medio, debido al uso de
imgenes y archivos multimedia, por lo que es necesario regular y
mantener un equilibrio entre el uso de los medios y las
aplicaciones que el sitio dispone para el uso de los usuarios.
h) Consultado el registro de nombres de dominio "NIC.CL", se
detect que el municipio cuenta con dos dominios vigentes
"Iascondes.cl" y "lascondesonline.c1". Cabe sealar que el primero
corresponde al sitio informativo y el otro a un sitio transaccional
de recepcin de pagos por concepto de permisos de circulacin,
multas de trnsito y patentes municipales. En el caso del sitio
informativo, el registro cuenta con datos errneos respecto al
nombre del contacto administrativo, el cual registra datos de una
persona que no corresponde a un funcionario municipal,
asimismo, existen datos en blanco y sin asignacin, como nombre
del contacto tcnico, ver anexo N 15.
i) En revisin efectuada a NIC.c1, se detect que donde se debe
enunciar el nombre del contacto tcnico se indica la institucin, en
circunstancias que debe ser una persona natural, as como la
existencia de campos en blanco en el formulario de antecedentes,
ver anexo N 15.
j) En la seccin Web de trmites municipales, se detectaron
vnculos rotos para acceso a antecedentes y formularios de
direccin de obras municipales, especficamente casos como
solicitud de cambio de arquitecto, libro de obras, documentos para
recepcin de cambio de destino, de obra menor, declaracin
jurada notarial y medidas de control y gestin de calidad, en
departamento de inspeccin.
k) En men de unidades municipales, se verific la navegacin
detectando que, una vez realizada la eleccin y carga del frame
respectivo, no se puede regresar a unidades municipales puesto
que la URL no es encontrada enel servidor.
1) En relacin a los formularios de comunicacin en las secciones de
alcalda, concejales, transparencia municipal e informacin del
municipio, se detect que los campos no cuentan con validadores
de contenido mnimo de caracteres. Asimismo, no cuenta con
validador de imagen para certificar que el ingreso se realiza por
medio de un operador humano y no un sistema informtico de
envo de datos masivos.
m) Enel anlisis, se detect el uso del Framework de cdigo abierto,
Horde, el cual es utilizado en correo institucional a travs del sitio
web. En informacin remitida por el jefe de informtica, mediante
REA AUDITORA 1
- 60-
oficio N 574 de 21 de septiembre de 2010, punto N 21, se indica
que el municipio no utiliza software opensource, lo cual contrasta
con la aplicacin indicada.
n) En la seccin de aseo y ornato, no existe un criterio nico para el
despliegue de las imgenes de mapas de recoleccin,
encontrndose de varios tamaos y en diferentes ventanas.
o) Se encuentran a disposicin del usuario, datos personales de
funcionarios municipales en seccin departamento de eventos,
turismo, deporte y recreacin. Lo anterior, vulnera el artculo 9
letras b), c) y d), del decreto supremo N 100, de 2006, del
Ministerio Secretara General de la Presidencia.
p) En la seccin de mascotas perdidas, se detectaron registros
duplicados de publicaciones para una misma mascota. Asimismo,
existe restriccin de tamao de 1.7 mega bytes para subir
fotografas por medio de unformulario de informacin de mascota
extraviada, tamao que resulta reducido.
q) Se realiz la validacin de hojas de estilo en cascada para el sitio
Web municipal, encontrndose 11 errores y 22 advertencias, ver
anexo N 16.
r) Mediante el servicio de validacin de estructura de sitio Web
www.lascondes.c1. proporcionado por W3C, se detect que es del
tipo XHTML 1.0 transicional y presenta 15 errores en el diseo y 2
alertas, ver anexo N 17.
s) El sitio Web htlp://www.lascondesonline.c1. sobre el cual se
realizan transacciones de pago de patentes municipales, multas
de trnsito y permisos de circulacin, fue validado en relacin a
hojas de estilo en cascada (CSS versin 2.1), mediante normas
de W3C, no arrojando errores. Por otra parte, se detect la
existencia de anomalas enel anlisis realizado a la estructura del
sitio web transaccional, presentando 5 errores, ver anexo N 17.
En relacin al incumplimiento de los decretos
supremos citados anteriormente, la autoridad seala que se est revisando su
implementacin en los procesos de gestin interna.
No obstante, dado que esa entidad comunal
no aporta antecedentes de las medidas adoptadas, que corresponde mantener la
totalidad de las observaciones.
CONCLUSIONES.
Atendidas las consideraciones expuestas
durante el desarrollo del presente trabajo, corresponde concluir que la Municipalidad
de Las Condes ha regularizado algunas de las observaciones incluidas en el
Preinforme, no obstante, deber abocarse a resolver aquellas que subsisten, a saber:
REA AUDITORA 1
- 61 -
1. Respecto al captulo 1, Ambiente de TI
sobre la estructura organizacional, diagrama de red y proyectos implementados, el
municipio deber adoptar las medidas necesarias que permitan normalizar la
estructura del departamento de computacin e informtica y realizar evaluaciones de
calificacin tcnica profesional al personal del precitado departamento. (V. N2).
2. En relacin con el captulo 11, control
interno sobre procesos TI y el riesgo al fraude, la autoridad municipal deber
implementar polticas de uso de los recursos informticos por medio de un profesional
del rea, normar el proceso de toma de decisiones en relacin a la inversin en
equipamiento, establecer revisiones programadas y evaluar la ejecucin de auditoras
con unenfoque a las TI en las plataformas de hardware y software. (V. N 1).
3. Acerca del captulo 111, sobre revisin de
contratos vigentes asociados a TI, el municipio deber adoptar las medidas tendientes
a integrar en futuros contratos clusulas que regulen controles aplicados;
confidencialidad de la informacin; polticas de auditora; uso y administracin de
datos municipales. Por otra parte, deber regularizar la falta de contratos con las
empresas prestadoras de servicios informticos y de comunicaciones. Sobre lo
referido a las boletas de garanta, el jefe comunal deber implementar las acciones
pertinentes a fin de evitar que, en lo sucesivo, se produzcan situaciones como las
observadas, lo que ser verificado en prximas visitas de fiscalizacin, debiendo
adems requerir a la empresa E-sign S.A. regularizar la boleta de garanta respecto
de lo establecido en el contrato. (V. N 2, 4, 6, 7, 8, 9, Obs. generales a contratos
letras a, b, c, y d)
En relacin con las prrrogas acordadas en
los contratos con las empresas Bell Technologies S.A., DirectTV Chile Televisin
Ltda., Elas J uri Clavera, GTD Teleductos S.A., Legal Publishing Chile Ltda., y
Proexsi Ltda., las cuales no se ajustan a lo previsto en la ley N 19.886 Y su
reglamento, ese municipio deber abstenerse, en lo sucesivo, de incurrir en continuas
prorrogas de contratos.
4. Con respecto al captulo IV, sobre
controles generales asociados al entorno de TI, la autoridad municipal deber
establecer polticas de eliminacin de informacin respaldada. Asimismo, deber
realizar la actualizacin del inventario de equipamiento informtico y efectuar el
licenciamiento de la plataforma, a nivel de sistemas operativos, aplicaciones de oficina
y software de seguridad. (V. N 1, letra c, 1.1 y 1.2)
5. Acerca del captulo IV, numeral 2, sobre
seguridad fsica, la autoridad municipal deber efectuar las modificaciones que
permitan validar la seguridad respecto de la utilizacin de abrazaderas de cables de
red, utilizacin de racks seguros, instalacin de chapas de seguridad en tablero
elctrico, instalacin de sistema automtico de control de acceso, regularizacin de la
iluminacin, instalacin de canaletas de cables de red, evaluacin de la
implementacin de circuito cerrado de televisin, instalacin de muros con
propiedades de aislacin calrica, utilizacin de sensores de humo, posicionamiento
adecuado de los extintores, aislacin de los interruptores automticos, utilizacin de
sealtica, y regularizacin de puertas de acceso de la dependencia anexa a sala de
servidores. (V. N 2, letras c, e, f, h, i, j, m, n, o, p, q, r, s, t, w).
REA AUDITORA 1
- 62 -
6. En relacin con el captulo IV,
numerales 3 y 4, sobre procedimientos de respaldo y plan de recuperacin de
desastre, el municipio deber implementar un procedimiento para ejecutar los
respaldos conforme a un nico mtodo. (V. N 3, letra a, y N4).
7. Respecto al captulo V, sobre ejecucin
de recorridos de controles generales asociados a TI, el municipio deber establecer
un procedimiento formal para la creacin, asignacin y baja de cuentas de acceso a
sistemas para usuarios municipales, evaluar la criticidad de operar con los sistemas
administrativos municipales, considerando la existencia de fallas en el modelo lgico.
Por otra parte, evaluar la inclusin de una clusula en los contratos de sistemas
administrativos municipales, que regule la entrega de documentacin relativa al diseo
lgico de la base de datos a este Organismo de Control, slo para los efectos de su
fiscalizacin. (V. 1.3, 1.3.2, 1.3.3, 1.3.4, 1.3.6, 1.3.8, 1.3.9, letras by e).
8. Con respecto al captulo VI, numerales
1y 2, sobre aspectos relacionados al control de acceso lgico y al control de cambios,
la autoridad municipal deber adoptar las medidas tendientes a regularizar las
observaciones indicadas en el preinforme, que sern verificadas en futuras visitas de
este Organismo de Control. (V. N 1.1, letras a, e, h, i, j, Y k, N 1.2, letras a, b, e, y d,
Ns 2.1, 2.2, 2.3)
9. Respecto al captulo VII, la autoridad
municipal deber adoptar las medidas necesarias para cumplir los decretos supremos
del Ministerio Secretara General de la Presidencia, relacionados con el ambiente TI.
10.- Finalmente, la autoridad comunal
deber implementar las medidas enunciadas en el cuerpo del presente informe
tendientes a solucionar las observaciones planteadas, cuya efectividad ser
comprobada en las prximas visitas que se realicen a la Entidad, conforme a las
polticas de este Organismo de Control sobre seguimiento de los programas de
fiscalizacin.
Transcrbase al Alcalde, al Concejo Municipal y a
la Direccin de Control Interno de Las Condes.
mente a Ud.
'V AVILA FIGUEROA
J eFA AREA AUDlTORIA
SUBDIVISI6N AUOITORIA E INSPECCiN
www.contraloria.cl

Inf - Final n79-2010 Auditoria de Sistemas Informaticos-Marzo 2011

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Inf - Final n79-2010 Auditoria de Sistemas Informaticos-Marzo 2011

Enviado por

Direitos autorais:

Formatos disponíveis

Informe Final

La autoridad municipal, en su respuesta,

Respecto a los sistemas administrativos

Você também pode gostar