Professional Documents
Culture Documents
Informe Final
Municipalidad de
Estacin Central
Fecha
N Informe
: 23 de junio de 2010
: 08/2010
CONTRALORA
GENERAL
DE
LA REPBLICA
DIVISiN DE MUNICIPALIDADES
SUBDIVISiN DE AUDITORA E INSPECCiN
REA AUDITORA 1
REF.
181.813/10
DMSAI N
480/10
SANTIAGO,
Z 3. JUN 1 O * 033
g 51
N 8 de 2010, debidamente
aprobado,
sobre
auditora
,1
I
Contratar General
por Orden de~AAA/\=UENTES
PRISClLA
d
/l-b09a o
. d
.
O' '~'In de Municipallda es
subefe \'Jl"
AL SEOR
ALCALDE DE LA
MUNICIPALIDAD DE
ESTACiN CENTRAL
PRESENTE
,~:\
--\J"~
de sistemas
CONTRALORA
GENERAL
DE
LA REPBLICA
DIVISiN DE MUNICIPALIDADES
SUBDIVISiN DE AUDITORA E INSPECCiN
REA DE AUDITORA 1
REF.
DMSAI
REMITE
181.813/10
480/10
INFORME
SANTIAGO,
Adjunto,
Informe Final
Z 3. JUN 1 O * 033852
srvase
encontrar
copia
del
copia del
mismo.
sesin.
/._.,,~
/
/
.;
(
AL SEOR
SECRETARIO MUNICIPAL DE
ESTACiN CENTRAL
PRESENTE
esa
.~
j
PMET N
DMSAI N
REF
N
16.021/10
480/10
181.813/10
SANTIAGO,
2 3 JUN. 2010
En cumplimiento
del
plan
anual
de
fiscalizacin de esta Contralora General para el ao 2010 Y de acuerdo con las
facultades establecidas en la ley N 10.336, Orgnica de esta Institucin, se efectu
una auditora de sistemas informticos, en la Municipalidad de Estacin Central.
Objetivo
El objetivo del examen consisti en revisar y
evaluar aspectos relacionados con las polticas, normas, prcticas y procedimientos
de control relativos a los sistemas basados en las tecnologas de informacin y
comunicaciones
(TIC), incluidas aquellas actividades de tipo manual o no
automatizadas, que se desarrollan en el entorno de tales sistemas.
Metodologa
El trabajo se efectu conforme a las normas y
procedimientos de control aceptados por este Organismo Fiscalizador e incluy las
pruebas de validacin respectivas, sin perjuicio de utilizar otros medios tcnicos
estimados necesarios en las circunstancias.
Alcance
La reVISlon abarc el perodo comprendido
entre enero y diciembre de 2009, circunscribindose a las siguientes reas:
Controles
Controles
Controles
Controles
Controles
A LA SEORA
SUBJEFE DIVISiN DE MUNICIPALIDADES
PRESENTE
JPT/BLC
- 2
Contratos vigentes.
Permisos de circulacin.
Patentes comerciales.
Derechos de aseo.
Contabilidad gubernamental.
Tesorera municipal.
Sistema de otorgamiento de licencias de conducir.
CAS-Chile S.A.
Servicios computacionales de rea administrativa.
Telefnica Empresas Chile S.A.
Servicios de enlaces de red y conexin a Internet.
Computacin integral S.A.
Suministro de equipos computacionales y otros insumos.
Celestrn representaciones comerciales internacionales Ltda.
Adquisicin de dispositivos interactivos porttiles.
----'
presenta
los siguientes
procesos
significativos:
a)
b)
c)
d)
e)
f)
Nombre
Calidad Jurdica
Cargo
Tcnico
de
Jos Gatica soporte en redes Cdigo
y
Trabajo
Vsquez
comunicaciones
Calificacin
Tcnica
Profesional
Dependencia
Jerrquica
Ivn
Ahumada
Osses
Tcnico
soporte
Elizabeth
Canio Soto
Secretaria
Diego
Fandez
Santelices
Tcnico
en
Contrata
soporte en redes
Tcnico
en
administracin en Administrador
redes
Municipal
computacionales
lvaro
Ramrez
Arrue
Tcnico
soporte
Soporte
computacin
en
de
Planta
Soporte
computacin
Planta
Secretaria
Contrata
en Administrador
Municipal
Administrador
Municipal
en Administrador
Municipal
- 4-
Nombre
Cargo
Elvis Meza
Cabrera
Patricio Rubio
Fuentes
Calidad Jurdica
Calificacin
Tcnica
Profesional
Dependencia
Jerrquica
Tcnico de
soporte
Contrata
Ingeniero de
Ejecucin en
Informtica
Administrador
Municipal
Tcnico de
soporte
Cdigo del
Trabajo
Programador en
computacin
Departamento
de Educacin
de
Estacin
Central,
la autoridad
aplicadas al
contrato que
mantener la
-7Unidad/ Edificio
Empresa
Ejecutora
Direccin
Certificada
Informe
Consistorial
Alameda 3920
Telefnica
Empresa
Chile S.A.
No
No
Convenio S.1.1.
Alameda 4202
Red existente
No
No
Ralco
Si
No
Ecuador 4336
Ralco
Si
No
Certificada
Informe
Ralco
Si
No
Funcionarios
internos
No
No
Social
Trnsito
Empresa
Ejecutora
Direccin
Unidad/ Edificio
Aseo
CoronelSouper4844
Educacin
Operaciones
El Lingue 380
Funcionarios
internos
No
No
Comunitario
Nocedal
Funcionarios
internos
No
No
Funcionarios
internos
No
No
COSAM
el municipio
cuenta
con
los
-8
social se
b) Infraestructura tecnolgica.
A continuacin
activos, los anchos de banda y reas de proceso:
Ancho De Banda
10MB Nacional
1 MB Internacional
10/100 MB
2 MB
10 MB
10 MB
512 KB
10 MB
2 MB
2 MB
2 MB
2 MB
Enlace
S12953-0
F040748
G715007
F080806
F080809
0548006
F080808
F080807
G550032
G741004
G022002
se presentan
los enlaces
Area De Proceso
Edificio Consistorial
Edificio Consistorial
Oficina Convenio S.1.1.
Social
Trnsito
Trnsito
Aseo
Educacin
Operaciones
Comunitario
COSAM
c) Seguridad.
Servidores.
La municipalidad
servidores activos:
-9Nombre
Cantidad
Cpu
Ram
Disco Duro
Correo
Pentium D
2.80 GHZ
1 GB
160 GB
Aries
Intel Xeon
3.60 GHz
1 GB
80 GB
PC-Antivirus
Pentium 4
1.60 GHz
512 MB
80 GB
Gminis
Pentium 111
1.266 GHz
512 MB
80 GB
Sagitario
Pentium Xeon
2.66 GHz
8GB
160 GB
Ram
Disco Duro
6GB
160 GB
Nombre
Cantidad
Cpu
Piscis
Pentium Xeon
2.27 GHz
Srv-Ecentral
Pentium 4
2.80 GHz
512 MB
40 GB
Portal-Imec
Pentium 4
1.60 GHz
256 MB
40 GB
d) Mantenimiento:
acrediten medidas
observacin.
concretas
Decretos de
corresponden.
pago
imputados
cuentas
presupuestarias
que
no
j)
edil en su
cuerpo de
este caso,
seguridad
es
Valor a facturar
Contrato
80%
20%
100%
---l
- 13
valor
total
del
contrato
asciende
$ 14.678.412.- IVA incluido, el que se factura de acuerdo a estados de pago por grado
de avance, segn decreto alcaldicio N 21, de 28 de enero de 2009.
Para el fiel cumplimiento del contrato y la
ejecucin de los servicios, la empresa hizo entrega de una boleta de garanta, la cual
no fue proporcionada por la entidad edilicia para su revisin.
Durante el perodo en estudio, el municipio
desembols la suma de $ 2.993.085.-, de acuerdo a los antecedentes puestos a
disposicin, no obstante, slo fue posible acreditar $ 2.540.409.-, existiendo una
diferencia de $ 452.676.-, no aclarada por esa entidad municipal. (Ver Anexo 3.2).
El contrato no considera clusulas sobre el
suministro de implementos computacionales orientada a los siguientes aspectos:
-14 Estudiados
los
argumentos
utilizados,
corresponde levantar lo observado, a excepcin de lo referido a la especificacin de
los valores de los equipos, por cuanto, slo se establece el valor total del contrato, no
incluyndose un detalle de los equipos computacionales adquiridos.
Respecto a la observacin referida a la boleta
bancaria por fiel cumplimiento del contrato, esa entidad hizo entrega de la boleta de
garanta N 204, por $ 1.467.841.-, del banco Santander, con vencimiento el 25 de
abril de 2009, la cual se encontraba vigente en el perodo que dur el contrato, por lo
que corresponde subsanar lo observado.
En relacin al monto de $ 452.676.-, la
autoridad no aporta antecedentes en su respuesta, sin embargo, efectuadas nuevas
verificaciones en esa entidad comunal fue posible aclarar la diferencia, por lo que
corresponde levantar la observacin.
3.- Telefnica Empresas Chile S.A.
Mediante decreto alcaldicio N 261 de 6 de
diciembre de 2000, se aprob el contrato de servicio denominado "Servicios de
telecomunicaciones y arriendo de equipos", celebrado con la empresa Telefnica
Empresas Chile S.A., con una duracin de 36 meses, a contar del 26 de septiembre
de 2002, el cual fue adjudicado mediante contratacin directa.
El valor del contrato asciende a UF 3.631,
IVA incluido, el que se factura mensualmente, por un valor de UF 100,86, IVA incluido.
El contrato se encuentra respaldado por
boleta de garanta N 0312137, del Banco BCI por $ 1.667.000.-; con vencimiento el
30 de marzo de 2010.
Los servicios suministrados
por la empresa
Marca
Central
Telefnica
Equipo Router
Equipo Router
Equipo Router
Equipo Router
Equipo Router
NEC
Cisco
Cisco
Cisco
Cisco
Cisco
Equipo Router
Cisco
Modelo
7400
M100
1721
1721
828
828
828
Direccin de
instalacin
Ecuador 3412
Alameda 3920
Alameda 3920
Alameda 4202
Azucenas 4805
Ecuador 3412
Los Gladiolos
828 4804
Mantencin
Cantidad
2
2
2
2
2
2
1
1
1
1
1
1
- 15 El
detalle
de
las
modificaciones
es
el
siguiente:
detalle
de
las
modificaciones
es
el
siguiente:
(i)
1
- 16 por cuanto no se condicen con el principio de transparencia que deben revestir los
procesos de contratacin que realizan los organismos de la Administracin del Estado.
En efecto, si bien el artculo tercero de la ley
N 19.886, de Bases sobre Contratos Administrativos de Suministro y Prestacin de
Servicios, seala que los contratos administrativos que se regulan en dicha ley y
cuyas bases hayan sido aprobadas antes de la entrada en vigencia de la misma, se
regularn por la normativa legal vigente a la fecha de aprobacin de las
correspondientes bases; lo que determina que el contrato en examen queda excluido
de la regulacin establecida en dicho cuerpo legal, debe tenerse presente que el
inciso primero del artculo 9 de la ley N 18.575, Orgnica Constitucional de Bases
Generales de la Administracin
del Estado, previene que "Los contratos
administrativos se celebrarn previa propuesta pblica, en conformidad a la ley",
agregando su inciso segundo que "El procedimiento concursal se regir por los
principios de libre concurrencia de los oferentes al llamado administrativo y de
igualdad ante las bases que rigen el contrato".
Conforme
lo anterior,
la jurisprudencia
administrativa ha concluido que las clusulas contractuales de renovacin automtica
pugnan con el principio de transparencia, en cuanto por su intermedio la autoridad
administrativa omite o evita la exposicin de acuerdos reales o tcitos con su
contraparte particular, en orden a mantener un status qua fijado con anterioridad, de
modo tal que la administracin se encuentra impedida de prolongar sus contrataciones
mediante continuas prrrogas, en tanto ello vulnera el principio de probidad
administrativa, por la va del principio de transparencia (aplica criterio contenido en
dictmenes Ns 46.746, de 2009 y 7.661 de 2010).
En el contrato no se consideran
clusulas
contratos
no consideran
clusulas
sobre:
- 19 a)
Debido al alto nivel de especificacin de
las bases administrativas y tcnicas desarrolladas por el municipio para adquirir
servicios informticos, la cantidad de oferentes se reduce ostensiblemente,
prolongando el suministro de los servicios por parte de las mismas empresas
proveedoras.
b)
Se constat que el municipio paga sus
obligaciones de servicios informticos con las empresas proveedoras de servicios en
forma extempornea, es decir, los respectivos egresos son emitidos en forma
posterior al vencimiento de la factura. (Ver Anexo N 4).
c)
Con motivo de la revisin realizada se
detectaron comprobantes de egresos enmendados y otros sin firma del tesorero
municipal. (Ver Anexo N 4).
d)
Se advirti que las resoluciones que
autorizaron el trato o contratacin directa con los proveedores que se indican en
anexo N 5, no fueron publicadas en el portal mercado pblico, infringiendo lo
sealado en el artculo 50 del decreto N 250, de 2004, del Ministerio de Hacienda.
e)
Adems, se estableci la existencia de
desembolsos relacionados con tecnologa de informacin y telecomunicaciones, en
favor de la empresa VTR Banda Ancha Chile S.A., por servicios de televisin por
cable, relacin contractual que no se encontrara formalizada, en base a los
antecedentes suministrados para el perodo de revisin. Adicionalmente, se comprob
que el gasto se desglosa en plan bsico, D-Box, Canal del Ftbol, Fox Sport Premiun
y garanta de mantencin, cuyo detalle se indica a continuacin, agregndose
adems, que dicho sistema de televisin se encuentra ubicado en la oficina de
relaciones pblicas de esa entidad comunal.
VTR BANDA ANCHA CHILE S.A.
Comp. de
egreso
829
1151
1484
1758
2706
3218
3645
4342
Fecha
25-32009
16-42009
25-52009
11-62009
11-82009
11-92009
19-102009
11-122009
Total egresos
pagados
Monto
Decreto Documento
N Doc.
35.030
1055
Factura
1255239
70.060
1472
Factura
1290881
36.080
1841
Factura
1324078
35.030
2191
Factura
1361356
35.030
3125
Factura
1432633
35.030
3667
Factura
1467637
35.030
4307
Factura
1502337
35.030
4844
Factura
1537516
316.320
Especificacin
Presta el
servicio
Presta el
servicio
Presta el
servicio
Presta el
servicio
Presta el
servicio
Presta el
servicio
Presta el
servicio
Presta el
servicio
Glosa
Televisin
Televisin
Televisin
Televisin
Televisin
Televisin
Televisin
Televisin
---
IV.-CONTROLES
respuesta corrobora
lo
por razones de carcter
externa para realizar una
que se considerar en el
c)
La entidad edilicia no ha efectuado
evaluaciones para generar una matriz de riesgo, teniendo en consideracin los
procesos informticos municipales, para una correcta interpretacin de los procesos,
junto con sus riesgos y los controles asociados que se encuentran implantados en la
plataforma.
respuesta de la autoridad,
las letras a) y c), toda vez que
den cuenta de las medidas
debe estimarse como una
d)
El servicio que entrega la empresa
CAS-Chile S.A., regulado por el contrato "Servicios de provisin de software, hardware
y soporte computacional y concesin de las fotografas para licencias de conducir",
provee los equipos, servidor y las actualizaciones de partes y piezas, sin encontrarse
hasta el momento equipos repotenciados con la finalidad de mantener una plataforma
de respaldo y contingencia de operaciones crticas.
En relacin con esta observacin,
la
autoridad comunal seala que la empresa CAS-Chile S.A., en conformidad al contrato,
entreg equipos nuevos que cumplen las caractersticas tcnicas sealadas en las
bases y en su oferta. Por otra parte, las especificaciones tcnicas no incluyen la
repotenciacin del equipo utilizado como servidor de respaldo. Adems, si fallan
algunos de los equipos, corresponde a la empresa citada efectuar las reparaciones,
de acuerdo al soporte tcnico establecido en las bases y la oferta de la empresa, cosa
que no ha sucedido.
Lo argumentado
por la autoridad
permite
subsanar lo observado.
e)
En lo que respecta a la administracin
de cuentas de correo, no se advierte un procedimiento formal que norme la creacin
de casillas de correo municipal, y defina la cuota de almacenamiento y su uso, entre
otros aspectos.
Sobre el particular, la autoridad informa que
se ha propuesto a la alcalda la dictacin de un reglamento que norme la creacin y
eliminacin de las cuentas de correo electrnico, as como su correcto uso por parte
de los funcionarios. Por otra parte, la asignacin de cuota de almacenamiento la
define el software por defecto.
f)
En relacin con los accesos a la red
Internet, la entidad municipal no ha efectuado un perfilamiento de las cuentas,
definiendo horarios y administracin de los recursos.
Sobre este punto, la autoridad manifiesta que
existe un perfilamiento de usuarios a nivel de IP, que es manejado por el Firewall
donde estn creados los grupos "Navegadores Full" y "Exclusin". Tambin este
dispositivo tiene bloqueados sitios que no tienen relacin con la labor desarrollada por
los funcionarios municipales. Sin embargo, los horarios de conexin no estn
controlados, lo que se ha dispuesto corregir.
de control
como por
Respecto
al
inventario
de
activos
informticos, tecnolgicos y de telecomunicaciones, el cual fue proporcionado por el
administrador municipal, segn memorndum N 1.501/07, de 11 de enero de 2010,
se practic una revisin, aplicndose el sistema de muestreo aleatorio que,
recurriendo a parmetros del 95% de confianza, 3% de precisin y una tasa de error
del 3%, determin una muestra de 101 equipos, lo que representa un 22,44%, de un
total de 450 unidades. El detalle consta en Anexo N 7
Ninguno
de
los
equipos
revisados
Carencia de licencias.
- 26Tipo de
software
Sistemas
Operativos.
Windows 2000 Profesional
Windows
2000
Server Sistemas
( Servidores)
Operativos.
Sistemas
Operativos.
Windows XP Profesional
Sistemas
Windows 2003 ( Servidores)
Operativos.
Windows Server Standard Sistemas
(Servidores)
Operativos.
Moto de Base de Datos - SQLBases de datos.
Server
Software
Software
Office 2003
Licencia
S.O
liberado
Microsoft.
S.O
liberado
Microsoft.
Vigencia
licencia
por Sin fecha de
caducidad.
por Sin fecha de
caducidad.
Tipo de
Licencia
software
Aplicaciones de
Oficina.
Sin licencia.
Otros.
Antivirus ESET Nod32
Correo Electrnico Exchange
Otros.
2007
W EAV-15598402.
N 381-04097.
Sin licencia.
Sin fecha de
caducidad.
Sin fecha de
caducidad.
En poder de
CAS Chile.
Vigencia
licencia
Sin licencia.
Hasta
10-072010.
Licencia
indefinida.
En
relacin
a
lo
anterior,
existen
inconsistencias en los datos suministrados en relacin con la plataforma de software
computacional, detallados en el Anexo N 9, mediante memorndum N 1501/08, de
13 de enero de 2010, en comparacin con detalle de nmina de inventario informtico
y de licencias proporcionado mediante memorndum N 1501/07, de 11 de enero de
2010, ambos emitidos por el administrador municipal de Estacin Central.
Sobre lo anterior, el edil reconoce lo
observado, adjuntando nuevos antecedentes que rectifican lo observado, por lo que
procede levantar la observacin.
2.- Seguridad fsica.
Para efectos de validar la seguridad fsica se
efectu una visita a la sala de servidores municipales, lo que permiti comprobar lo
siguiente:
a) En primera revisin a sala de servidores efectuada el da 15 de enero de 2010
se detectaron las siguientes observaciones:
Almacenamiento de toners vacos, los que obstruan las operaciones al interior
del departamento de sistemas, computacin e informtica.
Extintor en sala de servidores posee fecha de vencimiento 2003.
Manejo de discos duros con datos municipales en lugar de fcil acceso y sin
seguridad.
pblico,
sin
j)
en el departamento
de
en
-r
- 28u) La UPS no cuenta con mantenimiento ni pruebas para asegurar el uso ante
contingencias.
v) Dado el escaso espacio fsico de que dispone el departamento de sistemas,
computacin e informtica, resulta difcil el acceso a los componentes, sumado
al mal uso de las instalaciones por parte de los funcionarios (mantencin de
enseres bsicos de alimentacin, adornos y lquidos).
Respecto al punto 2, correspondiente a la
Seguridad Fsica, la autoridad informa que las observaciones de las letras a), e), j), p),
y s), han sido corregidas. De acuerdo con los antecedentes proporcionados al efecto,
procede levantar las observaciones indicadas.
Por otro lado, la autoridad informa que las
observaciones sobre las letras b), c), d), f), g), h), i), k), 1),m), n), o), q), r), t), u) y v),
se encuentran en proceso de mejoramiento. En relacin a lo informado y
considerando la ausencia de documentacin que acredite las medidas correctivas
informadas, corresponde mantener las observaciones, cuya revisin se efectuar en
futuras fiscalizaciones a la entidad.
3.- Procedimientos de respaldo.
El mUniCIpIO, en forma conjunta con la
empresa proveedora CAS Chile S.A., provey los procedimientos de respaldo en
relacin con los sistemas que se encuentran operando en la plataforma de software
municipal.
a) Para bases de datos de CAS Chile S.A., exceptuando base de datos de
licencias de conducir, el procedimiento de respaldo es el siguiente:
Paso
Periodicida
d
Diario
Diario da
hbil
Diario da
hbil
Semanal
Medio
Tipo De
Codificacin
Copia de
Carpeta en
Seguridad de
disco del
mismo servidor SQL-Server
Carpeta sComando
"Copiar" de
aries en disco
de servidor
explorador de
Piscis
Windows
Sub carpeta
Comando
"aaammdd" en "Copiar" de
carpeta s-aries explorador de
en disco de
Windows
servidor Piscis
Disco duro
Copia de
Externo
seguridad de
Windows
Informe
de
Reporte
Sin
informe
Responsable
Horario
Automtico
00:00
horas
Sin
informe
Automtico
22:00
horas
Sin
informe
Jos Gatica
08:30
horas
Informe
de copia
de
seguridad
de
Windows
Automtico
21:00
horas
Periodicidad
Diario
Diario da
hbil
Diario da
hbil
Semanal
Medio
Carpeta en
disco del
mismo
servidor
Carpeta SrvEcentral en
disco de
servidor
Piscis
Sub carpeta
"aaammdd"
en carpeta
Srv-Ecentral
en disco de
servidor
Piscis
Disco duro
Externo
el procedimiento
Tipo De
Codificacin
Copia de
Seguridad de
SQL-Server
Informe de
Reporte
Sin informe
Automtico
01:00
horas
Comando
"Copiar" de
explorador de
Windows
Sin informe
Automtico
22:00
horas
Comando
"Copiar" de
explorador de
Windows
Sin informe
Jos Gatica
08:30
horas
Copia de
seguridad de
Windows
Informe de
copia de
seguridad
de
Windows
Automtico
21:00
horas
c) El respaldo
realizado
para la informacin
Paso
Periodicidad
Medio
Tipo De
Codificacin
Semanal
Disco duro
Externo
Copia de
seguridad de
Windows
d) El procedimiento
de conducir,
de respaldo
Responsable
por departamentos
Informe
de
Reporte
Informe
de Copia
de
seguridad
Windows
Paso
Periodicidad
Medio
Tipo De
Codificacin
Semanal
Copia de
Seguridad de
Windows
Semanal
Carpeta en
disco del
mismo
servidor
Disco duro
Externo
Comando
"Copiar" de
explorador de
Windows
Informe
de
Reporte
Sin
Informe
Sin
Informe
Horario
es el siguiente.
Responsable
Horario
Automtico
21:00
horas
de
es el siguiente:
Responsable
Horario
Automtico
03:00
horas
Jos Gatica
08:30
horas
Semanal
Semanal
f)
Medio
Tipo De
Codificacin
Carpeta en
disco del
servidor
Correo
Disco duro
Externo
Copia de
Seguridad de
Windows
Comando
"Copiar" de
explorador de
Windows
Informe
de
Reporte
Sin
Informe
Sin
Informe
Responsable
Horario
Automtico
22:00
horas
Jos Gatica
08:30
horas
para asegurar
y correo
- 31
b)
c)
Fase de mitigacin
- 32
Ingreso de contribuyentes.
Toma de exmenes (mdulos de mdico, psicomtrico, terico)
Emisin de licencias.
Emisin de informes.
- 33
f)
a) Ingresos.
b) Permisos pagados (1ra y 2da cuota).
c) Vencimientos de 2das cuotas.
d) Permisos no renovados.
e) Permisos girados no pagados.
f) Tasaciones con valor.
Perfiles
Atributos
Permiso de Circulacin
Patentes Comerciales
Licencias de Conducir
Ingresar
Derechos de Aseo
Listar
Tesorera Municipal
Administrador
Contabilidad
Gubernamental
Conciliacin Bancaria
Municipal
Ordenes de Ingreso
Municipal
Supervisor
Personal Municipal
Remuneraciones
Municipal
Convenios de Pago
Modificar
Eliminar
Usuario
Imprimir
Consultar
1 Una llave fornea es un atributo (puede estar compuesto) de una relacin 1 cuyos valores deben de
concordar con los de una llave primaria de alguna relacin 2. Las relaciones 1 y 2 pueden incluso ser la
misma.
- 36que mantienen los sistemas en la base de datos, entregadas por el encargado del
departamento de sistemas, en forma conjunta con los diagramas de flujos de los
procesos auditados (ver Anexo N 13). Del anlisis efectuado se advierte que en el
modelo de datos existe riesgo de inconsistencias, cuentas sin validacin de unicidad,
repetidas, as como ausencia de datos en las tablas para ciertos elementos
contenidos en la base de datos.
La autoridad en su respuesta indica que la
empresa Cas-Chile S.A. estima que no existe riesgo de inconsistencia en el modelo de
datos, ya que estn consideradas todas las normas establecidas para mantener una
integridad de la informacin contenida en las bases de datos de los sistemas
municipales.
En atencin a que la respuesta no aporta
antecedentes que permitan desvirtuar lo objetado, y teniendo en cuenta que no se
suministr, por parte de la empresa ya citada, los diccionarios de datos que permiten
conocer la estructura e integridad asociada a la base de datos que, a su vez, soporta
los sistemas administrativos municipales, corresponde mantener la observacin.
1.3.4.- Control de integridad.
En relacin al sistema de tesorera municipal,
se verific la operacin del mdulo de ingresos, pudiendo detectarse en la pantalla
men de informes, un error en la cuadratura diaria del da 6 de marzo de 2009, en
comparacin con el resumen de ingresos del mismo da, existiendo montos distintos
en ambos reportes.
Al respecto, el edil informa que el error no es
atribuible a la integridad de datos en la base de datos, ya que la situacin se debe a
errores en la digitacin de informacin en los sistemas.
Los argumentos planteados por la autoridad
as como los nuevos antecedentes aportados, permiten levantar la observacin.
1.3.5.- Control de reglas de negocio.
Respecto de la aplicacin de patentes
comerciales, se detectaron inconvenientes en el mdulo maestro de patentes, de las
cuales se pueden mencionar los siguientes:
- 37
permiti advertir lo
-r
- 39-
DE PROCESOS
Seguridad Seguridad
Habilitada Deshabilitada
Patentes Comerciales
Tesorera Municipal
Contabilidad y Egresos
Permisos de Circulacin
Licencias de Conducir
Derechos de Aseo
26
21
12
10
15
11
O
O
O
O
O
O
Nivel
20 - Usuario
1Supervisor
9 - Usuario
Derechos
1de Aseo
Supervisor
10 - Usuario
Contabilidad
1Y Egresos
Supervisor
13 - Usuario
Licencias de
1Conducir
Supervisor
Tesorera
Municipal
Actividad
Supervisor
Actividad
General
Diferencia
Detalle Cuentas
de
Sistemas
cuentas
Con
Actividad
1 - Activas
12 - Sin
actividad
Sin
Actividad
3 - Activas
7 - Sin actividad
Felipe Heresi(U)
FHERES
Con
Actividad
4 - Activas
7 - Sin actividad
Felipe Heresi(U)
FHERES
Sin
Actividad
7 - Activas
7 - Sin actividad
Asignar (U)
COTROl
Felipe Heresi(U)
FHERES
23 - Usuario
Patentes
1Comerciales
Supervisor
Con
Actividad
6 - Activas
18 - Sin
actividad
8 - Usuario
Permisos de
1Circulacin
Supervisor
Sin
Actividad
3 - Activas
6 - Sin actividad
Administrador
CAS (A)
ALE
Patricio Fontte(U)
PFONTT
- 41 Nombre Usuario
Alejandro Paillan
Alejandro Paillan
Alejandro Paillan
Alejandro Paillan
Alejandro Paillan
Alejandro Paillan
Alejandro Paillan
Nivel
U
U
U
U
U
U
U
Cuenta
APAILL
APAILL
APAILL
APAILL
APAILL
APAILL
APAILL
Sistema
6
5
33
80
2
4
100
Descripcin
Conciliacion Sancaria
Modulo de Ingresos
Patentes Comerciales
Aseo
Contabilidad Municipal
Tesorera y Caja
Convenios de Pagos
Cantidad
Activa
Cantidad Inactiva
Total
Ingresar
5.331
17.658
22.989
Listar
4.018
18.971
22.989
Modificar
5.744
17.245
22.989
Eliminar
9.739
13.250
22.989
Imprimir
4.288
18.701
22.989
Consultar
4.590
18.399
22.989
i)
Del cuadro anterior se pueden advertir dos puntos crticos, relacionados con los
atributos de eliminacin y modificacin, debido a que registran la mayor
presencia como comando en los mdulos, respecto de otros atributos no
crticos, como son listar y consultar.
j)
- 421) Del anlisis realizado a las claves de acceso, es posible comprobar que no
presentan unicidad de criterios para su formacin, puesto que difieren en tipo y
mnimo de caracteres requeridos. Adicionalmente, existen cuentas de usuario
grupales del tipo genrico, con contrasea conocida por todo el personal del
rea, lo que vulnera la seguridad.
Cuenta
ADMIN
ALE
Clave
RJ TS
ZZ
Nombre Usuario
Administrador Sistemas (CAS)
Administrador Sistemas (CAS)
Nivel
A
A
Sistema
43
33
m) Por otra parte, existen registros de funcionarios con contrato indefinido (planta
municipal) que presentan cuentas inactivas de acceso en los sistemas. La
nmina se presenta a continuacin:
Id.
Funcionario
70
138
179
189
190
194
209
210
213
214
240
248
252
262
285
297
298
300
313
315
327
366
379
380
385
388
399
412
413
420
421
Rut
08538854-1
08961541-0
06831082-2
13060198-7
14334474-6
12463852-6
09992787-9
13560232-9
14404186-0
14124832-4
10986488-9
13043410-K
11397447-8
07512091-5
08312275-7
07621220-1
12257178-5
14574246-3
13679207-5
06287801-0
10480682-1
11836656-5
08748672-9
10230642-2
12874040-6
07247231-4
13130928-7
13661049-K
16117408-4
09077889-7
13663507-7
31-12-2050
31-12-2050
31-12-2050
31-12-2050
31-12-2050
31-12-2050
31-12-2050
31-12-2050
31-12-2050
31-12-2050
31-12-2050
31-12-2050
31-12-2050
31-12-2050
31-12-2050
31-12-2050
31-12-2050
31-12-2050
31-12-2050
31-12-2050
31-12-2050
31-12-2050
31-12-2050
31-12-2050
31-12-2050
31-12-2050
31-12-2050
31-12-2050
31-12-2050
31-12-2050
31-12-2050
n) En las tablas de la base de datos figuran dos usuarios en sistema sin cuentas
de acceso. Realizada la revisin de personal desvinculado se confirm la
inexistencia de cuentas activas para el acceso a sistemas administrativos
municipales. En forma adicional, es conveniente sealar que no existe un
Rut
10748495-7
17021884-1
01-03-2009
07-09-2009
31-12-2009
30-11-2009
Nivel
Cuenta
Patricio Morales
Patom
Patentes Comerciales
Patricio Morales
Patom
Control Documentos
Munici
p) Dentro del anlisis de seguridad, se concluy que existe una cuenta con nivel
de acceso supervisor perteneciente a personal a contrata.
Nombre Usuario
Nivel
Cuenta
Sistema
Mire a Cceres
Invent
18
Activo Fi'o
q) Por otra parte, se evidenci que existen dos cuentas nivel supervisor para un
mismo sistema, no existiendo regulacin en la composicin de los nombres de
cuenta y clave de acceso.
Cuenta
Marcel
Patty
Clave
SGXIKR
5678
Nombre Usuario
Sara Alarcn
Patricia Morales
Nivel
S
S
Sistema
20
20
Clave
7;?=;9
YKIS[T
Nombre Usuario
Ricardo Ferrada
Agustn Carricajo
Nivel
A
A
Sistema
101
101
Cuenta
3311
121916
Nombre Usuario
Marcela Abarza
Juan Carlos Glvez
Nivel
U
U
Sistema
82
82
- 44
Cuenta
RENTAS
FMARQU
RENTAS
Clave
TKRYUT
LSGXW[
XKTZGY
Nombre Usuario
Nivel
S
U
U
Sistema
100
104
33
s)
Cuenta
MOPAZO
ADMORC
CDIAZ
FMARQU
IALONS
JBOITA
JVIDEL
Clave
YURKJG
GJSUXI
HINF
LSGXW[
GJSOF
PHUOZG
P\OJKR
RGONZA
UFNYT
Nombre usuario
Marisol Opazo
Administrador
Cecilia Daz
Frances Mrquez
Ivonne Alonso
Jeaninne Boitano
Jorge Videla Prez
Rosa del Carmen
Gonzlez Espinoza
Nivel
S
S
U
U
U
U
U
Sistema
150
150
150
150
150
150
150
- 45fecha, usuario,
aplicacin.
accin
realizada,
observacin,
equipo
y versin en uso de la
VII.-
"
1
I
que
las
operar
la
El municipio no ha realizado
herramientas de filtrado.
mantenimiento
ni monitoreo
a las
con el fin de
Browser,
es un programa que permite visualizar la informacin que contiene una pgina web.
- 5010. El sitio Web municipal presenta un trfico medio, debido al uso de imgenes y
archivos multimedia; por lo que es necesario regular y mantener un equilibrio
entre el uso de los medios y las aplicaciones que el sitio Web pone a
disposicin de los usuarios.
11. El uso del sitio web es a nivel de consulta, puesto que no existen
transacciones, se produce mayoritariamente los primeros das de la semana y
va decreciendo; por ende, la disponibilidad debe ser resguardada. Al analizar
los horarios se pudo establecer que, mayoritariamente, los accesos son desde
las 11:00 horas hasta las 14:00 horas y desde las 15:00 horas hasta las 17:00
horas.
12. Consultado el registro de nombres de dominio NIC.CL, se detect que la
inscripcin de datos de tipo y descripcin de organizacin para el dominio web
del sitio institucional del municipio de Estacin Central es errneo. (Ver Anexo
N 15).
CONCLUSIONES.
Como resultado de la presente auditora es
posible concluir lo siguiente:
1.
Respecto al captulo 1, ambiente de TI,
sobre la estructura organizacional, diagrama de red y proyectos vigentes, el municipio
deber regularizar la situacin de los funcionarios contratados bajo el Cdigo del
Trabajo para desempearse en el Departamento de Educacin, y que prestan
servicios para el departamento de sistemas, dependiente de la Administracin
Municipal, as como especializar al personal del departamento y realizar evaluaciones
de su calificacin tcnica, y crear procedimientos informticos acerca del uso de los
recursos y reas de seguridad informtica e ingeniera de software.
~
- 51 2.
Respecto a lo sealado en el Capitulo II
sobre control interno, procesos TI y el riesgo al fraude, esa entidad comunal deber
ponderar la contratacin de un profesional del rea informtica para el departamento
de sistemas, establecer polticas de uso de los recursos informticos, as como
normar el proceso de toma de decisiones en relacin a la inversin de equipamiento y
polticas a aplicar a nivel municipal; ponderar la aplicacin de una matriz de riesgo
para evaluar el control de acceso lgico, fsico y control de cambios en los mdulos de
sistemas, as como, establecer revisiones programadas y auditoras con un enfoque a
las TI en las plataformas de hardware y software. (V. 1a; 1b; 1c y 1d )
3.
En relacin a lo observado en el
captulo 111, revisin de contratos vigentes asociados a TI, el municipio deber adoptar
las medidas conducentes a contratar servicios que se relacionen directamente con el
desempeo de sus funciones pblicas, cuyo no es el caso de los servicios
suministrados por la empresa VTR Banda Ancha Chile S.A., por lo que se deber
poner trmino a esa relacin comercial.
Asimismo,
pagar
oportunamente
sus
obligaciones por los servicios informticos y de comunicaciones y analizar las
especificaciones tcnicas de adjudicacin de contratos y bienes de TI.
Por otra parte, se deber incorporar en
futuros contratos clusulas que regulen en detalle tiempos de operacin, polticas de
auditora interna y externa, cumplimiento de normativa gubernamental, uso y
administracin de datos municipales, para los servicios de mantenimiento de
programa, sistema de licencias de conducir y conexin de banda ancha municipal. (V.
1, 2, 3 Y 4).
La autoridad deber implementar las medidas
tendientes a solucionar las observaciones relativas a contratos por servicios de
sistema computacional que presentan continuas prrrogas o clusulas de renovacin
automtica, tanto respecto de los anteriores a la vigencia de la ley N 19.886, como
los posteriores que no satisfacen las condiciones exigidas en el artculo 12 del
reglamento respectivo, contenido en el decreto N 250 de 2004, de Hacienda,
convocando con la debida oportunidad una nueva licitacin.
Adems, esa autoridad deber exigir la
entrega de la boleta de garanta renovada por parte de la empresa Telefnica
Empresas Chile S.A.
4.
Con respecto al captulo IV, controles
generales asociados al entorno de TI, el municipio deber establecer procedimientos
de control sobre el perfilamiento de acceso para personal municipal, administracin de
las cuentas, desarrollar auditoras internas y externas a los sistemas de informacin
municipales, y evaluar generar una matriz de riesgo en relacin a procesos
informticos.
Por otra parte, deber implementar
un
procedimiento para la creacin de casillas institucionales, definir sus cuotas de
almacenamiento y uso, implantar directivas para perfilamiento de cuentas de acceso a
Internet con control de horario, crear procedimientos de control de stock mnimo de
componentes crticos y contemplar disponibilidad en bodega para almacenar
equipamiento informtico. Asimismo, deber disponer el uso de sellos de seguridad
para evitar desarme y extraccin de piezas por parte de los usuarios, crear una
- 525.
Sobre las observaciones sealadas en
el Captulo IV, N 2, seguridad fsica, el municipio deber efectuar las modificaciones
que permitan validar aquella, en cuanto a certificacin de puntos de red, instalacin de
sellos de seguridad en rack de servidores, arreglos de control de acceso a la sala,
mtodo de acceso seguro al departamento de informtica, circuito cerrado de
televisin de monitoreo, canalizacin de cables de red y elctricos, mejora de UPS,
entre otros. (V. 2b, 2c, 2d, 2f, 2g, 2h, 2i, 2k, 21,2m, 2n, 20, 2q, 2r, 2t, 2u y 2v)
6.
En relacin con los N 3 Y 4 del mismo
Captulo, sobre procedimientos de respaldo y plan de recuperacin de desastres, el
municipio deber implementar un procedimiento formal de prueba de integridad y
equipos donde se realizarn los respaldos, as como definir un plan de recuperacin
de desastres y procedimientos de evaluacin de criticidad de operaciones, alcance,
tiempo de recuperacin, costos y grupo de contingencia, as como un plan alternativo.
(V. 3f Y 4c)
7.
Respecto al Captulo V, sobre recorrido
de controles generales asociados a TI, el municipio debe evaluar la criticidad de
operar con los sistemas administrativos municipales, considerando la existencia de
fallas en el modelo lgico, requerir a la empresa proveedora la modificacin del
mdulo de derechos de aseo, patentes comerciales, licencias de conducir, permisos
de circulacin, contabilidad gubernamental y tesorera municipal, adems de evaluar
incluir en futuros contratos una clusula sobre entrega de documentacin relativa a
diseo lgico de base de datos, en el caso fundado de revisin por parte de este
Organismo de Control. (V. 1.3.1, 1.3.2, 1.3.3, 1.3.5, 1.3.6, 1.3.7, 1.3.8 Y 1.3.9 (a))
8.
De acuerdo a lo sealado en el Captulo
VI, puntos 1 y 2, sobre aspectos relacionados con el control de acceso lgico y control
de cambios, la autoridad municipal deber implantar las medidas necesarias para
mejorar las observaciones all enunciadas, lo cual ser objeto de futuras validaciones
por parte de este Organismo de Control. (V. 1a al 1s, 2a, 2b y 2c)
9.
En relacin con el Captulo VII, se
debern adoptar las medidas necesarias para cumplir los decretos supremos del
Ministerio Secretara General de la Presidencia, relacionados con el ambiente TI.
10.- Finalmente,
la efectividad
de las
medidas enunciadas en el cuerpo del presente informe, tendientes a solucionar las
observaciones planteadas, ser comprobada en las prximas visitas que se realicen a
la entidad, conforme a las polticas de este Organismo de Control sobre seguimiento
de los programas de fiscalizacin.
Transcrbase
al
Alcalde
al
VIVIAN AVILA FI
EROA
concejo
www.contraloria.cl