Informe Final 8 2010 Auditoria Sistemas Informaticos

CONTRALORA GENERAL DE LA REPBLICA
Informe Final
Municipalidad de
Estacin Central
Fecha
N Informe
: 23 de junio de 2010
: 08/2010
CONTRALORA
GENERAL
DE
LA REPBLICA
DIVISiN DE MUNICIPALIDADES
SUBDIVISiN DE AUDITORA E INSPECCiN
REA AUDITORA 1
REMITE INFORME FINAL QUE INDICA
REF.
181.813/10
DMSAI N
480/10
SANTIAGO,
Z 3. JUN 1 O * 033
g 51
Adjunto, srvase encontrar copia de Informe

Final
N 8 de 2010, debidamente
aprobado,
sobre
auditora
informticos, efectuada en esa municipalidad.

e/tamente a Ud.
,1
I
Contratar General
por Orden de~AAA/\=UENTES
PRISClLA
d
/l-b09a o
. d
.
O' '~'In de Municipallda es
subefe \'Jl"
AL SEOR
ALCALDE DE LA
MUNICIPALIDAD DE
ESTACiN CENTRAL
PRESENTE
,~:\
--\J"~
de sistemas
CONTRALORA
GENERAL
DE
LA REPBLICA
REA DE AUDITORA 1
REF.
DMSAI
REMITE
181.813/10
480/10
INFORME
SANTIAGO,
Adjunto,
Informe Final
FINAL QUE INDICA
Z 3. JUN 1 O * 033852
srvase
encontrar
copia
del
N 8 de 2010, de esta Contralora General, con el fin de que, en la
primera sesin que celebre el concejo municipal, desde la fecha de su recepcin,

se sirva ponerlo en conocimiento
de ese rgano colegiado entregndole
copia del
mismo.
Al respecto, Ud. deber acreditar ante esta

Contralora
cumplimiento
General, en su calidad de Secretario del concejo y ministro de fe, el

de este trmite dentro del plazo de diez das de efectuada
sesin.
/._.,,~
/
S~lda atentamente a Ud.

,""-
/
.;
;' por Orden del Contralot G~eral
PRISCII.A JAf<A FUEN I ES

Abogado
Subjefe Divisin da Municipalidades
(
AL SEOR
SECRETARIO MUNICIPAL DE
ESTACiN CENTRAL
PRESENTE
esa

REA AUDITORA 1
.~
j
PMET N
DMSAI N
REF
N
16.021/10
480/10
181.813/10
INFORME FINAL N 8, DE 2010, SOBRE

AUDITORA
DE
SISTEMAS
INFORMTICOS EN LA MUNICIPALIDAD
DE ESTACiN CENTRAL.
SANTIAGO,
2 3 JUN. 2010
En cumplimiento
del
plan
anual
de
fiscalizacin de esta Contralora General para el ao 2010 Y de acuerdo con las
facultades establecidas en la ley N 10.336, Orgnica de esta Institucin, se efectu
una auditora de sistemas informticos, en la Municipalidad de Estacin Central.
Objetivo
El objetivo del examen consisti en revisar y
evaluar aspectos relacionados con las polticas, normas, prcticas y procedimientos
de control relativos a los sistemas basados en las tecnologas de informacin y
comunicaciones
(TIC), incluidas aquellas actividades de tipo manual o no
automatizadas, que se desarrollan en el entorno de tales sistemas.
Metodologa
El trabajo se efectu conforme a las normas y
procedimientos de control aceptados por este Organismo Fiscalizador e incluy las
pruebas de validacin respectivas, sin perjuicio de utilizar otros medios tcnicos
estimados necesarios en las circunstancias.
Alcance
La reVISlon abarc el perodo comprendido
entre enero y diciembre de 2009, circunscribindose a las siguientes reas:
Controles
Controles
Controles
Controles
Controles
generales de las tecnologas de la informacin (TI).

de seguridad fsica.
de procedimientos de respaldo.
de recuperacin de desastres.
especficos asociados a las aplicaciones de procesos significativos.
A LA SEORA
SUBJEFE DIVISiN DE MUNICIPALIDADES
PRESENTE
JPT/BLC

REA AUDITORA 1
- 2
Sistemas administrativos municipales.
Contratos vigentes.
Permisos de circulacin.
Patentes comerciales.
Derechos de aseo.
Contabilidad gubernamental.
Tesorera municipal.
Sistema de otorgamiento de licencias de conducir.
CAS-Chile S.A.
Servicios computacionales de rea administrativa.
Telefnica Empresas Chile S.A.
Servicios de enlaces de red y conexin a Internet.
Computacin integral S.A.
Suministro de equipos computacionales y otros insumos.
Celestrn representaciones comerciales internacionales Ltda.
Adquisicin de dispositivos interactivos porttiles.
Cumplimiento de los decretos supremos Ns 77, 81 Y 83, de 2004; y, Ns 93 y

100, de 2006, todos del Ministerio Secretara General de la Presidencia.
En el contexto de los objetivos de la auditora,

se evaluaron los temas relacionados con tecnologas de informacin en rgimen
operativo y que tienen relacin directa o indirecta con transacciones automatizadas de
los sistemas administrativos municipales.
En tal sentido, se efectu un anlisis de los
procedimientos municipales especficos y de la aplicacin de controles, con la
finalidad de verificar que la seguridad implantada en los procesos brinde a las
transacciones de los sistemas un resguardo operacional apropiado, as como que las
transacciones hayan sido debidamente autorizadas, validadas y procesadas, de forma
correcta y oportuna.
La informacin utilizada fue proporcionada
por el administrador municipal de Estacin Central y fue puesta a disposicin de esta
Contralora General, con fecha 07 de enero de 2010.
Cabe precisar que con carcter confidencial,
mediante oficio N 17.693, de 6 de abril de 2010, fueron puestas en conocimiento del
Alcalde las observaciones comprobadas al trmino de la visita, con la finalidad que
formulara los alcances y precisiones que a su juicio procedieran, lo que se concret
mediante oficio ordinario N 1.000107, de 3 de mayo de 2010.
----'
El anlisis de las observaciones formuladas

en el citado preinforme, en conjunto con los antecedentes aportados por la autoridad
edilicia en su respuesta, determinaron lo siguiente:

REA AUDITORA 1
-31.- AMBIENTE TI ACTUAL DEL SERVICIO.

1.- Procesos significativos asociados a TI.
El municipio
presenta
los siguientes
procesos
significativos:
a)
b)
c)
d)
e)
f)
Pago de permiso de circulacin y emisin de certificado.

Pago y emisin de patente comercial.
Pago de derechos de aseo.
Decretos de pago y remuneraciones.
Transacciones de ingresos.
Emisin de licencia de conducir.
2.- Estructura organizacional.

El departamento de sistemas, computacin e
informtica de la Municipalidad de Estacin Central se encuentra en un nivel
jerrquico medio dentro de la estructura organizacional, dependiendo directamente de
la administracin municipal, segn se demuestra en anexo N 1, situacin que
determina la imposibilidad de una acabada y profunda evaluacin para la toma de
decisiones, que implique mejorar los procesos municipales, debido a la inexistencia de
calificacin profesional acorde al rea por parte de la jefatura.
a) El personal de dicho departamento opera
prestando servicios de soporte de hardware y redes, encontrndose actualmente
conformado por un funcionario que se desempea como jefe del departamento, seis
tcnicos de soporte y una secretaria. El detalle se indica a continuacin:
Nombre
Calidad Jurdica
Cargo
Tcnico
de
Jos Gatica soporte en redes Cdigo
y
Trabajo
Vsquez
comunicaciones
Calificacin
Tcnica
Profesional
Dependencia
Jerrquica
del Tcnico en redes Administrador

y comunicaciones Municipal
Ivn
Ahumada
Osses
Tcnico
soporte
Elizabeth
Canio Soto
Secretaria
Diego
Fandez
Santelices
Tcnico
en
Contrata
soporte en redes
Tcnico
en
administracin en Administrador
redes
Municipal
computacionales
lvaro
Ramrez
Arrue
Tcnico
soporte
Soporte
computacin
en
de
Planta
Soporte
computacin
Planta
Secretaria
Contrata
en Administrador
Municipal
Administrador
Municipal
en Administrador
Municipal

REA AUDITORA 1
- 4-
Nombre
Cargo
Elvis Meza
Cabrera
Patricio Rubio
Fuentes
Calidad Jurdica
Calificacin
Tcnica
Profesional
Dependencia
Jerrquica
Tcnico de
soporte
Contrata
Ingeniero de
Ejecucin en
Informtica
Administrador
Municipal
Tcnico de
soporte
Cdigo del
Trabajo
Programador en
computacin
Departamento
de Educacin
Respecto de lo anterior, cabe observar que el

artculo 3 de la ley N 18.883, dispone - en lo que interesa - que quedarn sujetas a
las normas del Cdigo del Trabajo, las actividades que se efecten en forma
transitoria en municipalidades que cuenten con balnearios u otros sectores tursticos o
de recreacin, as como el personal que se desempee en servicios traspasados
desde organismos o entidades del sector pblico y que administre directamente la
municipalidad, condiciones ninguna de las cuales se satisface respecto de los
funcionarios Jos Gatica Vsquez, tcnico de soportes en redes y comunicaciones, y
Patricio Rubio Fuentes, tcnico de soporte, los cuales de acuerdo a los antecedentes
proporcionados por esa entidad comunal, se encuentran regidos por las disposiciones
del Cdigo del Trabajo.
0
En su respuesta, el edil indica que estima

exagerada la exigencia de que la jefatura de la cual depende la unidad de informtica
deba tener una calificacin profesional especializada en dicha materia, en la medida
que se encuentra suficientemente apoyado por personal especializado, lo que lo
habilitara para una correcta toma de decisiones.
Por otra parte, seala que para determinar la
dependencia del departamento de informtica se tuvo en consideracin la naturaleza
de las funciones de la administracin municipal, conforme con lo previsto en el artculo
30 de la ley N 18.695, Orgnica Constitucional de Municipalidades.
Agrega que, efectivamente, el personal que
labora en el departamento de sistema, computacin e informtica se encuentra regido
por las disposiciones del Cdigo del Trabajo, no obstante, stos se encuentran
contratados para el departamento de educacin municipal, y su presencia en el
departamento de informtica obedece a la necesidad de realizar el trabajo de
informtica respecto del funcionamiento de ese departamento, as como de los
establecimientos educacionales dependientes del rea.
Al respecto, debe precisarse que este
Organismo no ha representado la falta de calificacin profesional en el rea de que se
trata por parte del Administrador Municipal, toda vez que su cargo no lo requiere, ni
que la unidad de informtica dependa de ste, sino la ausencia de calificacin
profesional en dicho departamento, toda vez que en el mismo slo existen
funcionarios con estudios tcnicos. Luego, sobre la existencia de personal regido por
el Cdigo del Trabajo, debe reiterarse la observacin, toda vez que no corresponde
que personal contratado para el Departamento de Educacin realice, en la prctica,
funciones propias del personal municipal lo que parece reconocido por el propio

REA AUDITORA 1
- 5municipio, desde el momento que el departamento de que se trata depende de la

administracin municipal, lo que contraviene el artculo 3 de la ley N 18.883 (aplica
criterio contenido en dictmenes N 5.518 Y 49.915 de 2000; 25.132 de 2007; y,
43.026 de 2008)
b) Por otra parte, no existe una segregacin
informtica por reas, debido a la falta de especializacin del personal, lo cual
determina la imposibilidad de generar polticas y procedimientos informticos acerca
del mejor uso y administracin de los recursos informticos.
En su respuesta, la autoridad comunal
manifiesta que la especializacin del personal en el rea se adecua a las posibilidades
presupuestarias del municipio y a la estructura de la planta profesional. Por otra parte,
seala que se requiere de profesionales calificados para satisfacer las funciones
municipales pero ello no es posible, debido a que la planta y el nivel de
remuneraciones municipal no lo permiten.
Asimismo, indica que no ha sido necesario
segregar el departamento de informtica por reas, dado que la principal labor del
departamento de sistemas es entregar soporte tcnico de hardware e instalacin de
software.
Los argumentos planteados por la autoridad
comunal slo confirman lo observado, por lo que corresponde mantener la
observacin.
c) El reducido grado de especializacin del
municipio para integrar a sus procesos tecnologas de informacin, ha significado que
no existan reas de seguridad de la informacin, instalaciones e ingeniera de
software.
La autoridad comunal seala que el sistema
implementado por la municipalidad para los procesos tecnolgicos de informacin ha
determinado el grado de integracin de stos y la estructura del rea de informtica.
Analizada la respuesta de la autoridad,
corresponde mantener la observacin formulada, por cuanto a nivel de estructura
organizacional no se advierte la existencia de las reas referidas con anterioridad.
d) Las funciones del departamento de
sistemas, computacin e informtica estn definidas en el reglamento interno de esa
entidad, sancionado por decreto alcaldicio N 154, de 3 de noviembre de 2000, donde
se establece la estructura, organizacin y funciones, tanto a nivel general como
especfico, el cual no fue suministrado por el municipio, siendo modificado en julio de
2009, de acuerdo a lo informado por el administrador municipal, mediante correo
electrnico de 10 de febrero de 2010.
En su respuesta, el edil, en sntesis, informa
que el reglamento se encuentra publicado en la pgina web del municipio, en
conformidad con la Ley de Transparencia y Acceso a la Informacin Pblica.
Sin perjuicio de lo sealado, el decreto
alcaldicio que sancion el referido reglamento no fue suministrado por esa entidad, ni
se encuentra publicado en la pgina web del municipio, tampoco se proporcion el

REA AUDITORA 1
-6que haba aprobado su modificacin,

mantener lo observado.
en julio de 2009, por lo que corresponde
e) El municipio no ha realizado evaluaciones

de calificacin tcnica al personal del departamento de sistemas, computacin e
informtica, de acuerdo a lo informado por el encargado del precitado departamento.
En su respuesta, la autoridad indica que, de
acuerdo al rgimen estatutario del personal municipal, ste se encuentra sometido al
sistema de calificaciones establecido en la ley N 18.883.
Al respecto, cabe precisar que la observacin
formulada est orientada a la calificacin tcnica profesional del personal, y no a la
evaluacin de desempeo funcionario establecido en el cuerpo legal citado, por lo que
corresponde mantener lo observado.
3.- Diagrama de red.
La operacin de las redes y procedimientos
para la gestin de equipos remotos, incluyendo los equipos en reas de usuarios,
tiene como responsables al jefe del departamento de sistemas, computacin e
informtica y al encargado de sistemas, con dependencia de la administracin
municipal y la empresa CAS Chile S.A., respectivamente.
La Municipalidad
actualmente presenta deficiencias relacionadas con:
de
Estacin
Central,
a) Procedimientos y servicIos orientados a

resguardar la confidencialidad e integridad de los datos municipales, por cuanto no ha
implantado medidas de seguridad como sistemas de prevencin de intrusos y servidor
de filtros de correos, lo que conlleva la exposicin de los datos.
Sobre el particular, el edil informa que el
resguardo y confiabilidad de la informacin de la municipalidad frente a ataques
externos de cualquier ndole la desarrolla el dispositivo Firewall, que cuenta con
avanzadas herramientas para prevenir, detener, y alertar este tipo de eventos,
asimismo, la administracin de este dispositivo lo realiza la empresa Orin S.A.
Los argumentos esgrimidos por
no resultan suficientes, ya que no informa las medidas de seguridad
servidor de correos y Web, debiendo agregarse que no se proporcion el
regula el servicio con la empresa citada, por lo que corresponde
observacin.
la autoridad
aplicadas al
contrato que
mantener la
b) Adicionalmente, el mUniCipiO cuenta con

una red informtica estructurada por unidad. Sin embargo, cuenta con puntos de red
no certificados y sin informes de integridad de datos. A continuacin se presenta el
detalle:

REA AUDITORA 1
-7Unidad/ Edificio
Empresa
Ejecutora
Direccin
Certificada
Informe
Consistorial
Alameda 3920
Telefnica
Empresa
Chile S.A.
No
No
Convenio S.1.1.
Alameda 4202
Red existente
No
No
Las Azucenas 316
Ralco
Si
No
Ecuador 4336
Ralco
Si
No
Certificada
Informe
Ralco
Si
No
Funcionarios
internos
No
No
Social
Trnsito
Empresa
Ejecutora
Direccin
Unidad/ Edificio
Los Gladiolos 4805
Aseo
CoronelSouper4844
Educacin
Operaciones
El Lingue 380
Funcionarios
internos
No
No
Comunitario
Nocedal
Funcionarios
internos
No
No
Padre Vicente Irarrzabal1313
Funcionarios
internos
No
No
COSAM
El diagrama del actual modelo de red del

municipio se detalla en Anexo N 2.
Al respecto, el municipio reconoce la objecin
formulada, comprometindose a regularizar la situacin contratando una empresa
especializada en el tema, para que realice una auditora de las redes del municipio.
La autoridad no adjunta antecedentes que
acrediten las medidas adoptadas, por lo que corresponde mantener la observacin.
4.- Proyectos vigentes.
Actualmente
el municipio
cuenta
con
los
siguientes proyectos vigentes:

a) Sistemas.
A nivel municipal, y en conjunto con la empresa CAS-Chile S.A.,

existe el proyecto del sistema de pago por Internet, estimndose que
su operacin se iniciar durante el ao 2010. El sistema consta de
las siguientes funciones:
Consulta deudores munimtico.
Consulta deudores.
Consulta patentes comerciales.

REA AUDITORA 1
-8
Pago de seguro obligatorio.

Pago derechos de aseo.
Pago Juzgado de Polica Local.
Traslado de vehculos.
Pago de permisos de circulacin.
Respecto al sistema de control de documentos, suministrado por

empresa CAS-Chile S.A., est operativo y se han realizado
capacitaciones a los funcionarios. Sin embargo, no se encuentra
implementado al 100%, por lo cual se est en proceso de revisin de
las funcionalidades en el departamento de obras del municipio.
Sobre lo anterior, la autoridad alcaldicia no

da respuesta, por lo que se mantiene la observacin formulada
CAS-Chile S.A. inform que el sistema de asistencia

encuentra operando, en fase de explotacin.
social se
b) Infraestructura tecnolgica.
Enlace de datos y telefona.
A continuacin
activos, los anchos de banda y reas de proceso:
Ancho De Banda
10MB Nacional
1 MB Internacional
10/100 MB
2 MB
10 MB
10 MB
512 KB
10 MB
2 MB
2 MB
2 MB
2 MB
Enlace
S12953-0
F040748
G715007
F080806
F080809
0548006
F080808
F080807
G550032
G741004
G022002
se presentan
los enlaces
Area De Proceso
Edificio Consistorial
Edificio Consistorial
Oficina Convenio S.1.1.
Social
Trnsito
Trnsito
Aseo
Educacin
Operaciones
Comunitario
COSAM
c) Seguridad.
Servidores.
La municipalidad
servidores activos:
cuenta con los siguientes

REA AUDITORA 1
-9Nombre
Cantidad
Cpu
Ram
Disco Duro
Correo
Pentium D
2.80 GHZ
1 GB
160 GB
Aries
Intel Xeon
3.60 GHz
1 GB
80 GB
PC-Antivirus
Pentium 4
1.60 GHz
512 MB
80 GB
Gminis
Pentium 111
1.266 GHz
512 MB
80 GB
Sagitario
Pentium Xeon
2.66 GHz
8GB
160 GB
Ram
Disco Duro
6GB
160 GB
Nombre
Cantidad
Cpu
Piscis
Pentium Xeon
2.27 GHz
Srv-Ecentral
Pentium 4
2.80 GHz
512 MB
40 GB
Portal-Imec
Pentium 4
1.60 GHz
256 MB
40 GB
d) Mantenimiento:
El municipio, por medio del administrador municipal, suministr

certificaciones
de medidas
de mantenimiento
respecto
del
equipamiento de la sala de servidores, las que se detallan a
continuacin.
De acuerdo a memorndum N 1501/015, de 21 de enero de

2010, emitido por el administrador municipal, al equipo de aire
acondicionado de la sala de servidores, se le realiz
mantencin con fecha 1 de diciembre de 2009, segn factura
N 160, de Carlos Alberto Melchiori.
En relacin al memorndum anteriormente sealado, se

informa que con fecha 5 de diciembre de 2008, se realiz
confeccin de lnea elctrica de sala de servidores, el que
consta de alimentador elctrico desde barras existentes con
TOA, la cual se detalla en factura N 448, de Ricardo Gonzlez
Gonzlez, tcnico en electricidad industrial.
Segn memorndum N 1501/018, de 1 de febrero de 2010,

del administrador municipal de Estacin Central, se realiz
carga de extintor Haloclean, de sala de servidores, el 22 de
enero de 2010, segn consta en factura N 1783 de Israel
Extintores S.A.

REA AUDITORA 1
-10 11.- SOBRE CONTROL INTERNO, PROCESOS TI Y EL RIESGO DE FRAUDE.

1.- Control interno.
a) En cuanto al personal, la dotacin de
funcionarios es suficiente para desempear adecuadamente las tareas. Sin embargo,
el municipio no cuenta con un ingeniero informtico, que defina los lineamientos a
seguir e implemente polticas de uso de los recursos informticos.
En su respuesta, el edil reconoce lo
observado, agregando que se estn adoptando las medidas conducentes para
solucionar esta carencia, en la medida que las disponibilidades del presupuesto y la
estructura de la planta lo permitan
acrediten medidas
observacin.
concretas
La autoridad no adjunta antecedentes que

al respecto, por lo que corresponde mantener la
b) En relacin con la toma de decisiones

respecto de las polticas de sistemas e inversin de equipamiento, sta se lleva a
cabo por personal no capacitado en informtica.
Sobre el particular, la autoridad informa que
cualquier toma de decisin se adopta con la asesora del personal experto del
departamento de sistemas, computacin e informtica, los que emiten un informe
tcnico sobre el asunto sometido a opinin.
Analizada la respuesta de la autoridad,
corresponde mantener la observacin formulada, toda vez que no se adjuntan
antecedentes de respaldo, tales como informes tcnicos, que acrediten la asesora en
el proceso de adquisiciones de bienes y/o servicios del rea.
c) Por otra parte, dentro del departamento de
sistemas, computacin e informtica no se manejan matrices de control informtico,
que consideren el anlisis de acceso fsico de instalaciones y lgico de los sistemas.
En su respuesta, la autoridad comunal seala
que se estudiar e implementarn matrices de control informtico. Sin embargo, no
adjunta antecedentes que acrediten las medidas adoptadas, por lo que corresponde
mantener la observacin.
d) No se practican revisiones programadas y
auditoras con un enfoque a las TI, lo que provoca la ausencia de informes sobre el
estado de la plataforma de hardware y software, revelando la falta de planificacin que
actualmente mantiene ese departamento municipal en esta rea de operacin.
A modo de ejemplo, no existen polticas de
rotacin de equipos, de acuerdo a su potencialidad y carga de procesos, asimismo, no
se realiza una evaluacin relacionada con la criticidad de stos, con el fin de asegurar
su funcionamiento continuo.
Sobre el particular, el edil seala que el
soporte tcnico en terreno que desarrolla el departamento de sistemas, permite
evacuar informes del estado del hardware, ya sea a solicitud de las autoridades o para
sugerir recambio o reasignacin de dispositivos.

REA AUDITORA 1
- 11 Respecto del estado del software, se ha

limitado a utilizar la suite Office ms comn, por lo que su estado se mantiene en el
tiempo.
El planteamiento de esa autoridad comunal
en su respuesta no resulta suficiente para solucionar lo observado, por cuanto no
informa la realizacin de auditoras o levantamiento de informes de infraestructura
informtica, entre otras medidas corerctivas. En consecuencia, la observacin se
mantiene.
2.- Riesgos asociados a TI.
Segn los datos levantados, se consideraron
los siguientes riesgos asociados a los procesos TI municipales:
a) Obtencin y/o renovacin de permiso de circulacin sin ingreso y/o
acreditacin fsica y online de datos sobre propietario, placa patente nica,
seguro obligatorio, revisin tcnica y multas impagas.
b) Obtencin y/o renovacin de patente comercial sin ingreso y/o acreditacin
de datos de contribuyente, propiedad, sucursales y datos del Servicio de
Impuestos Internos.
c) Clculo de valores de derechos de aseo de contribuyentes afectos.
d) Duplicidad de pago de derechos de aseo por pago de contribuyentes
travs del sistema de patentes comerciales.
e) Emisin de decretos de pago sin registrar datos y/o sin comprobantes.

f)
Decretos de
corresponden.
pago
imputados
cuentas
presupuestarias
que
no
g) Emisin de cheque individual sin consultar datos en sistema de contabilidad

gubernamental.
h) Recepcin de pagos con clculo de intereses y multas fuera del perodo.
i)
Captura y edicin de fotografa digital para emisin de licencia de conducir.
j)
Obtencin o renovacin de licencia de conducir sin ingreso y/o acreditacin

de datos sobre solicitante, escuela de conduccin, licencia anterior,
restricciones mdicas y sentencias en juzgados.
En cuanto a este punto, esa autoridad seala

que se ha instruido al departamento de sistemas para que adopte las medidas
pertinentes, a fin de disminuir los riesgos sealados a nivel de operaciones y requerir
a la empresa CAS Chile S.A. las correcciones pertinentes.
En atencin a lo expresado por el

respuesta, cabe hacer presente que no todos los anlisis efectuados en el
este informe, derivan necesariamente en observaciones, sino que, como en
se trat de una exposicin de los posibles riesgos asociados a la
informtica en las aplicaciones.
edil en su
cuerpo de
este caso,
seguridad

REA AUDITORA 1
- 12 111.- REVISiN DE CONTRATOS VIGENTES ASOCIADOS A TI.

Los contratos suscritos por la Municipalidad
de Estacin Central en el mbito de TI, son operados por las empresas Celestrn
Representaciones Comerciales Internacionales Ltda., Computacin Integral S.A.,
Telefnica Empresas Chile S.A. y CAS-Chile S.A.
Tales
contratos
estn
normados
tcnicamente y en funcionamiento, realizndose anlisis y pruebas de validacin de
integridad de datos a registros de procesos crticos, evaluacin de disponibilidad,
tiempos de respuesta y reportes de salida.
En cuanto a los aspectos administrativos,
es
necesario sealar lo siguiente:

1.- Celestrn Representaciones Comerciales Internacionales Ltda.
Mediante decreto alcaldicio N 5, de 5 de
enero de 2009, se aprob el contrato celebrado con Celestrn Representaciones
Comerciales Internacionales Ltda., para la propuesta denominada
"Adquisicin de
dispositivos interactivos porttiles", correspondiente a la implementacin de 25
dispositivos interactivos en 13 colegios municipales, para el mejoramiento del
desempeo escolar, a contar del 14 de enero de 2009, con una vigencia de 3 aos a
contar de la instalacin de dichos dispositivos, el cual fue adjudicado mediante
propuesta pblica N 2434-11 052-LP08.
El plazo de instalacin de los dispositivos por
parte de la empresa ejecutora de la obra, es de 25 das corridos desde la entrega por
parte del municipio de las dependencias para la realizacin del montaje.
El valor total del contrato asciende a
$ 13.652.052.- IVA incluido, el que se factur en dos estados de pago; de acuerdo a
cuadro adjunto, siendo pagado en su totalidad. (Ver Anexo 3.1).
Servicio
Recibido conforme el equipamiento
producto de la licitacin.
Finalizadas las capacitaciones.
Total
Valor a facturar
Contrato
80%
20%
100%
El contrato se encuentra garantizado por vale

vista N 007760-9 del Banco de Chile por $ 1.365.205.-; sin fecha de vencimiento.
---l
Cabe hacer presente que fue recepcionada la

totalidad de los materiales objeto del contrato en anlisis, realizndose -adems- las
capacitaciones programadas al personal del departamento de educacin, para el uso
de los dispositivos interactivos.
El contrato no considera clusulas sobre el
suministro de los dispositivos orientados a:
Modalidad de renovacin del contrato.

Fechas de facturacin de los servicios.

REA AUDITORA 1
- 13
Multas en caso de fallas e incumplimiento del servicio.
Sobre la materia esa autoridad en su

respuesta, en sntesis, indica que era innecesario contemplar dentro de las bases una
renovacin del contrato, por cuanto los dispositivos sealados se entregaran de forma
inmediata, agregando que en las bases administrativas se establecieron
tanto la
forma de pago como las multas por incumplimiento del contrato.
Conforme a lo planteado por esa autoridad
comunal y a los nuevos antecedentes aportados, se da por subsanada la observacin.
2.- Computacin Integral S.A.
febrero de 2009, se aprob el contrato para la "Adquisicin de equipos
computacionales y otros insumos", celebrado con la empresa Computacin Integral
S.A., el cual fue adjudicado mediante propuesta pblica N 2434-03-LE09.
El
valor
total
del
contrato
asciende
$ 14.678.412.- IVA incluido, el que se factura de acuerdo a estados de pago por grado
de avance, segn decreto alcaldicio N 21, de 28 de enero de 2009.
Para el fiel cumplimiento del contrato y la
ejecucin de los servicios, la empresa hizo entrega de una boleta de garanta, la cual
no fue proporcionada por la entidad edilicia para su revisin.
Durante el perodo en estudio, el municipio
desembols la suma de $ 2.993.085.-, de acuerdo a los antecedentes puestos a
disposicin, no obstante, slo fue posible acreditar $ 2.540.409.-, existiendo una
diferencia de $ 452.676.-, no aclarada por esa entidad municipal. (Ver Anexo 3.2).
El contrato no considera clusulas sobre el
suministro de implementos computacionales orientada a los siguientes aspectos:
El contrato no especifica su plazo de duracin, slo indica que existe un

perodo de 5 das a contar de la firma del contrato para la entrega de los
bienes.
No contempla especificaciones de valores y detalles tcnicos por servicios
entregados.
No contempla asesora tcnica a proporcionar.
No establece fecha de facturacin del servicio.
En su respuesta, el edil seala que, por

tratarse de una adquisicin de equipos computacionales, los cuales seran entregados
de una sola vez, no se especific el plazo de duracin del contrato, por cuanto al
tratarse de una obligacin de dar, sta se cumple con la entrega de los bienes objeto
del contrato.
Por otra parte, en lo referido

a la
especificacin de valores y detalles tcnicos por servicios entregados, la autoridad
indica que stas se encuentran definidas en las bases administrativas, como
asimismo, la fecha de facturacin del servicio. En lo relacionado a la asesora tcnica
a proporcionar, sta se encuentra contemplada en la oferta tcnica.

REA AUDITORA 1
-14 Estudiados
los
argumentos
utilizados,
corresponde levantar lo observado, a excepcin de lo referido a la especificacin de
los valores de los equipos, por cuanto, slo se establece el valor total del contrato, no
incluyndose un detalle de los equipos computacionales adquiridos.
Respecto a la observacin referida a la boleta
bancaria por fiel cumplimiento del contrato, esa entidad hizo entrega de la boleta de
garanta N 204, por $ 1.467.841.-, del banco Santander, con vencimiento el 25 de
abril de 2009, la cual se encontraba vigente en el perodo que dur el contrato, por lo
que corresponde subsanar lo observado.
En relacin al monto de $ 452.676.-, la
autoridad no aporta antecedentes en su respuesta, sin embargo, efectuadas nuevas
verificaciones en esa entidad comunal fue posible aclarar la diferencia, por lo que
corresponde levantar la observacin.
3.- Telefnica Empresas Chile S.A.
Mediante decreto alcaldicio N 261 de 6 de
diciembre de 2000, se aprob el contrato de servicio denominado "Servicios de
telecomunicaciones y arriendo de equipos", celebrado con la empresa Telefnica
Empresas Chile S.A., con una duracin de 36 meses, a contar del 26 de septiembre
de 2002, el cual fue adjudicado mediante contratacin directa.
El valor del contrato asciende a UF 3.631,
IVA incluido, el que se factura mensualmente, por un valor de UF 100,86, IVA incluido.
El contrato se encuentra respaldado por
boleta de garanta N 0312137, del Banco BCI por $ 1.667.000.-; con vencimiento el
30 de marzo de 2010.
Los servicios suministrados
por la empresa
son los siguientes.

Tipo de equipo
Marca
Central
Telefnica
Equipo Router
Equipo Router
Equipo Router
Equipo Router
Equipo Router
NEC
Cisco
Cisco
Cisco
Cisco
Cisco
Equipo Router
Cisco
Modelo
7400
M100
1721
1721
828
828
828
Direccin de
instalacin
Ecuador 3412
Alameda 3920
Alameda 3920
Alameda 4202
Azucenas 4805
Ecuador 3412
Los Gladiolos
828 4804
Mantencin
Cantidad
2
2
2
2
2
2
1
1
1
1
1
1
Con fecha 23 de septiembre de 2004, se

firm addendum N 1 de contrato, por el que se realizan modificaciones con respecto
a los servicios originalmente suministrados. El referido anexo posee una vigencia de
24 meses desde el inicio de la facturacin, renovable automtica y sucesivamente por
perodos iguales, por el cual se pagar una renta mensual de UF 15,86 ms IVA,
adems de un pago nico de UF 20 ms IVA por la instalacin de equipos.

REA AUDITORA 1
- 15 El
detalle
de
las
modificaciones
es
el
siguiente:
Aumento de velocidad de los enlaces de red IP.

Modificacin de configuracin de equipo Router Cisco 1721, con WAN Ethernet
adicional.
Reemplazo equipo Router Cisco 1721 por Router Cisco 2611 XM.
Incorporacin de Red IP en Ecuador 4336 con velocidad 1 Mbps, asociado a
equipo Cisco 828.
Con fecha 1 de octubre de 2005, se celebra

addendum N 2 de contrato, en el que se realizan cambios en el contrato original con
respecto al aumento de velocidad de acceso internacional de servicio Internet
dedicado, instalado en Edificio Consistorial. El sealado anexo posee una vigencia de
24 meses desde que comienza el pago del servicio, renovable automtica y
sucesivamente por perodos iguales, con un pago mensual de UF 3,75 ms IVA.
Luego, se firm addendum N 3 del contrato
el 1 de abril de 2007, donde se especifican cambios en el contrato principal con
respecto a la incorporacin de 2 enlaces de red IP que sern conectados a enlace
existente en Edificio Consistorial. El referido anexo posee una vigencia de 36 meses
desde la firma del contrato con renovaciones automticas de 12 meses si ninguna de
las partes expresa lo contrario, modificaciones por las que se pagar una renta
mensual de UF 11,00 ms IVA.
Posteriormente, se acuerda addendum N 4,
de 30 de septiembre de 2008, en el que se realizan modificaciones respecto de los
servicios originalmente contratados. El sealado anexo posee una vigencia de 36
meses, que comienza a regir una vez que el municipio haya realizado todas y cada
una de las modificaciones necesarias para el correcto funcionamiento del referido
contrato, las que se encuentran sealadas en el anexo tcnico de la propuesta
comercial, y adems, cuando la entidad edilicia haya recibido conforme los equipos e
instalaciones, objeto del contrato en estudio.
El plazo de duracin se fij en 12 meses, con
renovacin automtica si ninguna de las partes expresa lo contrario.
La renta fija mensual por el servicio es de UF
111,50, ms IVA.
El
detalle
de
las
modificaciones
es
el
siguiente:
Incorporacin de enlace de red IP y equipo Router Cisco en oficinas ubicadas

en Coronel Souper N 4844 Y COSAM.
Se agrega servicio de firewall SonicWall NSA 4500.
Aumento de velocidad de los enlaces de red IP en municipio.
Durante el perodo en revisin el municipio ha

desembolsado la suma de $ 123.004.819.-, de la cual slo fue acreditada mediante
decretos de pago $ 108.994.436.-. (Ver Anexo 3.3).
Sobre el particular, cabe sealar que las

sucesivas prrrogas y ampliaciones del contrato en cuestin resultan improcedentes,
(i)
1

REA AUDITORA 1
- 16 por cuanto no se condicen con el principio de transparencia que deben revestir los
procesos de contratacin que realizan los organismos de la Administracin del Estado.
En efecto, si bien el artculo tercero de la ley
N 19.886, de Bases sobre Contratos Administrativos de Suministro y Prestacin de
Servicios, seala que los contratos administrativos que se regulan en dicha ley y
cuyas bases hayan sido aprobadas antes de la entrada en vigencia de la misma, se
regularn por la normativa legal vigente a la fecha de aprobacin de las
correspondientes bases; lo que determina que el contrato en examen queda excluido
de la regulacin establecida en dicho cuerpo legal, debe tenerse presente que el
inciso primero del artculo 9 de la ley N 18.575, Orgnica Constitucional de Bases
Generales de la Administracin
del Estado, previene que "Los contratos
administrativos se celebrarn previa propuesta pblica, en conformidad a la ley",
agregando su inciso segundo que "El procedimiento concursal se regir por los
principios de libre concurrencia de los oferentes al llamado administrativo y de
igualdad ante las bases que rigen el contrato".
Conforme
lo anterior,
la jurisprudencia
administrativa ha concluido que las clusulas contractuales de renovacin automtica
pugnan con el principio de transparencia, en cuanto por su intermedio la autoridad
administrativa omite o evita la exposicin de acuerdos reales o tcitos con su
contraparte particular, en orden a mantener un status qua fijado con anterioridad, de
modo tal que la administracin se encuentra impedida de prolongar sus contrataciones
mediante continuas prrrogas, en tanto ello vulnera el principio de probidad
administrativa, por la va del principio de transparencia (aplica criterio contenido en
dictmenes Ns 46.746, de 2009 y 7.661 de 2010).
En el contrato no se consideran
clusulas
sobre telefona municipal orientadas a:
Especificaciones de valores y detalles tcnicos por servicios entregados.

Planes de contingencia en caso de cortes de suministro telefnico.
Multas por fallas en el servicio entregado.
Asesora tcnica a proporcionar.
Fecha de facturacin del servicio.
Trmino del contrato.
En relacin a la falta de acreditacin de

algunos desembolsos efectuados por esa entidad comunal, el edil en sus descargos,
manifiesta que desconoce la razn por la que no fueron auditados en su oportunidad,
encontrndose a disposicin de este Organismo Fiscalizador.
En tanto, respecto a las sucesivas prrrogas
de contrato, en sntesis, la autoridad comunal manifiesta que el artculo 3 transitorio
de la ley N 19.886 seala que los contratos administrativos que se regulan en dicha
ley y cuyas bases hayan sido aprobadas antes de la entrada en vigencia de la misma 30 de agosto de 2003- se regularn por la normativa legal vigente a la fecha de
aprobacin de las correspondientes bases, situacin en que se encontrara el contrato
de Telefnica Empresas Chile S.A., celebrado el26 de septiembre de 2000, por lo que
queda excluido de la regulacin de la ley ya citada, por cuanto sus especificaciones y
bases administrativas son anteriores a la vigencia de la ley de Bases sobre Contratos
Administrativos de Suministro y Prestacin de Servicios.

REA AUDITORA 1
-17 Por otra parte, sobre lo relacionado a la falta

de especificacin de valores y detalles tcnicos por servicios entregados, planes de
contingencia en caso de cortes, asesora tcnica a proporcionar, entre otras, el edil
seala que stas se encuentran contempladas en addendum N 4, de 30 de
septiembre de 2008.
Respecto a las multas por fallas de servicio,
seala que no se mencionan expresamente en el contrato por tratarse de un mercado
regulado, y encontrarse establecidas en la ley N 18.168, General de
Telecomunicaciones.
Analizados los argumentos planteados por el
alcalde en su respuesta, stos no resultan atendibles, dado que las objeciones
planteadas en este informe dicen relacin con omisiones del contrato original
conTelefnica Empresas Chile S.A, independientemente de las modificaciones
efectuadas con posterioridad en los sucesivos addendum, por tal razn no procede
levantar la observacin.
Asimismo, sobre las sucesivas prrrogas de
contrato, debe reiterarse las conclusiones de los dictmenes Ns 46.746, de 2009 y
7.661 de 2010, los cuales se refieren especficamente a la improcedencia de las
prrrogas sucesivas o indefinidas de contratos suscritos con anterioridad a la Ley de
Compras Pblicas, pronunciamientos que resultan obligatorios para esa entidad
edilicia, por lo que se mantiene la observacin.
En otro orden, verificaciones efectuadas
comprobaron que la boleta de garanta N 0312137, del Banco BCI por $ 1.667.000.-;
con vencimiento el 30 de marzo de 2010, no ha sido renovada, segn consta en
certificado s/n ni fecha del tesorero municipal.
En consecuencia procede mantener las
observaciones formuladas.
4.- CAS-Chile S.A.
diciembre de 2005, se aprob el contrato de servicio denominado "Implementacin,
mantenimiento y desarrollo de sistemas computacionales para procesos municipales"
celebrado con la empresa CAS-Chile S.A., con una duracin de 60 meses, a contar
del 16 de enero de 2006, el cual fue adjudicado mediante propuesta pblica N 243430-LP05.
El valor total del contrato es de
$ 178.500.000.-, IVA incluido, del que se factura mensualmente $ 2.975.000.-, IVA
incluido, segn decreto alcaldicio N 603, de 14 de octubre de 2005.
El cumplimiento del contrato se encuentra
respaldado por boleta de garanta N 00091601400 del Banco Rabobank por
$ 2.975.000.-, con vencimiento al 28 de mayo de 2010.
El contrato se relaciona con la presente
auditora de TI, debido a que suministra al rea administrativa de esa entidad
municipal las aplicaciones computacionales que se mencionan a continuacin:
contabilidad gubernamental y presupuesto, tesorera, giro directo, permisos de

REA AUDITORA 1
-18 circulacin, patentes comerciales, aseo domiciliario, convenios, inspeccin general,

remuneraciones municipales y educacin, informacin de personal, inventario de
bienes, adquisiciones, bodega, seguimiento de causas de juzgados, oficina de partes,
catastro municipal, organizaciones comunitarias, asistencia social y gestin municipal.
Por otra parte, mediante decreto alcaldicio
N 254, de 4 de mayo de 2009, se aprob el contrato de servicio denominado
"Servicios de provisin de software, hardware y soporte computacional y concesin de
las fotografas para licencias de conducir", con la empresa CAS Chile S.A. con una
duracin de 24 meses desde la fecha de la firma del contrato, pudindose renovar por
igual perodo, el cual fue adjudicado mediante propuesta pblica N 2434-20-L 109.
El cumplimiento del contrato se encuentra
respaldado por boleta de garanta N 000941409 del Rabobank por $ 3.000.000.-, con
vencimiento el 27 de mayo de 2010.
El valor de este contrato es de $ 2.500.-, por
fotografa, el cual podr ser reajustado de acuerdo a la variacin experimentada por el
I.P.C.
Es del caso mencionar que el municipio
durante el perodo en examen, ha desembolsado la suma de $ 32.561.900.-, por
pagos para el cumplimiento de los referidos contratos. (Ver Anexo 3.4).
Ambos
contratos
no consideran
clusulas
sobre:
Confidencialidad de la informacin municipal.

Controles para asegurar la proteccin de la informacin, su respaldo y
administracin contra software malicioso y third party software.
Restricciones de copiado y divulgacin de informacin municipal.
Plan de contingencias para accesos indebidos, siniestros fsicos y lgicos.
Posibilidad de auditar mdulos del sistema administrativo municipal y los datos.
Devolucin o destruccin de la informacin y bienes, amparado por las
regulaciones legales y trmino de la relacin contractual.
Especificaciones de valores por cada mdulo y detalles tcnicos por servicios
entregados.
Detalle de equipamiento entregado al municipio, fechas de revisin de servidor,
perodos de actualizacin de partes y equipos de respaldo ante desastres.
Fecha de facturacin del servicio.
Al respecto, el municipio indic que todas las

clusulas no consideradas en el contrato y sealadas precedentemente
se
considerarn en la futura propuesta pblica, dado que el contrato vence a fin de ao.
Conforme lo informado, se da por subsanada
la observacin, en el entendido que esa autoridad le dar efectivo cumplimiento en la
nueva licitacin, lo que serpa verificado en futuras fiscalizaciones a la entidad.
En relacin con la fiscalizacin, se efectuaron
los siguientes alcances a los contratos sealados precedentemente:

REA AUDITORA 1
- 19 a)
Debido al alto nivel de especificacin de
las bases administrativas y tcnicas desarrolladas por el municipio para adquirir
servicios informticos, la cantidad de oferentes se reduce ostensiblemente,
prolongando el suministro de los servicios por parte de las mismas empresas
proveedoras.
b)
Se constat que el municipio paga sus
obligaciones de servicios informticos con las empresas proveedoras de servicios en
forma extempornea, es decir, los respectivos egresos son emitidos en forma
posterior al vencimiento de la factura. (Ver Anexo N 4).
c)
Con motivo de la revisin realizada se
detectaron comprobantes de egresos enmendados y otros sin firma del tesorero
municipal. (Ver Anexo N 4).
d)
Se advirti que las resoluciones que
autorizaron el trato o contratacin directa con los proveedores que se indican en
anexo N 5, no fueron publicadas en el portal mercado pblico, infringiendo lo
sealado en el artculo 50 del decreto N 250, de 2004, del Ministerio de Hacienda.
e)
Adems, se estableci la existencia de
desembolsos relacionados con tecnologa de informacin y telecomunicaciones, en
favor de la empresa VTR Banda Ancha Chile S.A., por servicios de televisin por
cable, relacin contractual que no se encontrara formalizada, en base a los
antecedentes suministrados para el perodo de revisin. Adicionalmente, se comprob
que el gasto se desglosa en plan bsico, D-Box, Canal del Ftbol, Fox Sport Premiun
y garanta de mantencin, cuyo detalle se indica a continuacin, agregndose
adems, que dicho sistema de televisin se encuentra ubicado en la oficina de
relaciones pblicas de esa entidad comunal.
VTR BANDA ANCHA CHILE S.A.
Comp. de
egreso
829
1151
1484
1758
2706
3218
3645
4342
Fecha
25-32009
16-42009
25-52009
11-62009
11-82009
11-92009
19-102009
11-122009
Total egresos
pagados
Monto
Decreto Documento
N Doc.
35.030
1055
Factura
1255239
70.060
1472
Factura
1290881
36.080
1841
Factura
1324078
35.030
2191
Factura
1361356
35.030
3125
Factura
1432633
35.030
3667
Factura
1467637
35.030
4307
Factura
1502337
35.030
4844
Factura
1537516
316.320
Especificacin
Presta el
servicio
Presta el
servicio
Presta el
servicio
Presta el
servicio
Presta el
servicio
Presta el
servicio
Presta el
servicio
Presta el
servicio
Glosa
Televisin
Televisin
Televisin
Televisin
Televisin
Televisin
Televisin
Televisin

REA AUDITORA 1
- 20El gasto respectivo se encuentra clasificado

en el presupuesto en el subttulo 22, tem 05, asignacin 008, (ver Anexo N 6),
correspondiente a enlaces de telecomunicaciones, por lo que se considera
correctamente imputado, sin embargo, tales erogaciones no corresponden a los fines
y funciones establecidos para el municipio.
En efecto, el gasto sealado no se enmarca
en las funciones y atribuciones otorgadas a las municipalidades, de acuerdo a lo
establecido en la ley N 18.695, Orgnica Constitucional de Municipalidades, en
cuanto ste debe decir estricta relacin con la finalidad de satisfacer las necesidades
de la comunidad local y asegurar su participacin en el progreso econmico, social y
cultural (aplica criterio contenido en dictmenes Ns 17.797, de 1986 y 2.409, de
1991).
f) En relacin al contrato con la empresa
CAS-Chile S.A., se indic por parte del municipio que los sistemas de catastro
comunal y de Juzgado de Polica Local, no se encuentran operativos. Sin embargo,
dichos sistemas se encuentran incluidos en la facturacin mensual enviada a la
entidad edilicia.
En su respuesta, la autoridad edilicia seala,
en trminos generales, que el alto nivel de especificacin de las bases administrativas
y tcnicas, tiene como objeto resguardar los intereses del municipio y seleccionar
proveedores de bienes y de servicios que respondan, logrando con ello la excelencia
en los servicios municipales.
En relacin a los pagos extemporneos a los
proveedores, el edil se limita hacer una exposicin de los pasos que sigue una factura
desde que es presentada por el proveedor en el municipio hasta su pago.
Respecto a la deteccin de comprobantes de
egresos enmendados y otros sin firma del tesorero, el Alcalde informa que si al foliar
uno de stos se produce un error en su numeracin, el funcionario lo corrige
manualmente, procediendo a firmar la modificacin y sobre la ausencia de firma del
referido funcionario, seala que el funcionario encargado de tesorera slo firma los
decretos de pago efectivamente pagados, no obstante, informa que imparti
instrucciones en el sentido de que ningn cheque debe cursarse si el tesorero no ha
firmado el correspondiente decreto de pago.
Respecto a la publicacin de las resoluciones
que autorizaron el trato o contratacin directa, el edil en su respuesta argumenta que
por tratarse de resoluciones de contrataciones inferiores a 3 UTM se entendi
errneamente que no les era aplicable el artculo 8, inciso tercero de la ley N 19.886,
por lo que se han dispuesto las medidas correctivas pertinentes.
---
Por otra parte, en lo referido a los

desembolsos a favor de la empresa VTR Banda Ancha Chile S.A., por servicios de
televisin por cable, la autoridad seala en su respuesta que, el contrato se celebr
conforme a la ley, y el gasto es procedente porque entre las funciones municipales
est el desarrollo de la comunidad y la actividad deportiva, debiendo la oficina de
relaciones pblicas informarse de estas actividades para asesorar e informar
oportunamente a las dems unidades municipales y, en especial, al Alcalde, y
preferentemente a la comunidad.

REA AUDITORA 1
- 21 En lo que respecta al contrato con la empresa

Cas-Chile S.A., el Alcalde informa que los sistema de catastro comunal y de Juzgado
de Polica Local se encuentran incluidos en la facturacin mensual enviada a esa
entidad comunal, no obstante se procedi a efectuar una revisin de la facturacin, no
detectndose cobros por sistemas no habilitados.
Sobre el particular, es menester sealar que,
los argumentos esgrimidos por el jefe comunal no hacen sino confirmar las
observaciones, relativas a los contratos formuladas en el cuerpo de este informe, por
consiguiente ellas se mantienen, a excepcin de lo objetado en la letra f), sobre los
sistemas de catastro comunal y de Juzgado de Polica Local, que se levanta.
IV.-CONTROLES
GENERALES ASOCIADOS AL ENTORNO TI.
1.- Controles generales de tecnologas de informacin.

a)
La auditora practicada comprob que
los controles asociados a las tecnologas de informacin no cumplen a cabalidad con
el resguardo de informacin, debido a que el perfilamiento en los accesos posee
diferentes asignaciones de permisos, a pesar de estar ste estructurado y asignado
por el administrador de los sistemas municipales, generando un constante incremento
en los tipos de cuentas que acceden a los sistemas administrativos y, a su vez,
permitiendo el acceso de personas no autorizadas a los atributos de lectura,
grabacin, emisin, impresin y otras de procesos informatizados que involucran
datos sensibles que administra esa entidad edilicia.
La autoridad municipal, en su respuesta,
indica que el departamento de sistemas elaborar un instructivo para la administracin
de perfiles de acceso a los sistemas administrativos. Por otra parte, a contar de mayo,
el director de cada rea solicita al departamento de sistemas, la creacin del usuario
de cada funcionario para que acceda al sistema de acuerdo a sus labores, indicando
adems el perfil que tendr. En los casos que algn funcionario cese en sus
funciones, el departamento de recursos humanos notificar al departamento de
sistemas a objeto de eliminar, en forma inmediata, la cuenta asociada.
b)
El municipio no ha realizado auditoras
ya sea internas o externas, a los sistemas de informacin municipales, lo anterior fue
informado mediante correo electrnico remitido por el administrador municipal, con
fecha 10 de febrero de 2010.
El edil, en su
planteado, sealando que, si bien ellas son necesarias,
presupuestario no ha sido posible contratar una empresa
auditora a los sistemas de informacin, sin perjuicio de
futuro.
respuesta corrobora
lo
por razones de carcter
externa para realizar una
que se considerar en el
c)
La entidad edilicia no ha efectuado
evaluaciones para generar una matriz de riesgo, teniendo en consideracin los
procesos informticos municipales, para una correcta interpretacin de los procesos,
junto con sus riesgos y los controles asociados que se encuentran implantados en la
plataforma.

REA AUDITORA 1
- 22Sobre el particular, el Alcalde plantea que se

est confeccionando la matriz de riesgo en la cual se incorporarn las pertinentes
evaluaciones del sistema informtico, con el apoyo de la empresa externa Cas-Chile
S.A.
Analizada la
corresponde mantener las observaciones sealadas en
no se adjuntan los antecedentes y documentos que
informadas. En cuanto
a la letra b), la misma
recomendacin de control interno.
respuesta de la autoridad,
las letras a) y c), toda vez que
den cuenta de las medidas
debe estimarse como una
d)
El servicio que entrega la empresa
CAS-Chile S.A., regulado por el contrato "Servicios de provisin de software, hardware
y soporte computacional y concesin de las fotografas para licencias de conducir",
provee los equipos, servidor y las actualizaciones de partes y piezas, sin encontrarse
hasta el momento equipos repotenciados con la finalidad de mantener una plataforma
de respaldo y contingencia de operaciones crticas.
En relacin con esta observacin,
la
autoridad comunal seala que la empresa CAS-Chile S.A., en conformidad al contrato,
entreg equipos nuevos que cumplen las caractersticas tcnicas sealadas en las
bases y en su oferta. Por otra parte, las especificaciones tcnicas no incluyen la
repotenciacin del equipo utilizado como servidor de respaldo. Adems, si fallan
algunos de los equipos, corresponde a la empresa citada efectuar las reparaciones,
de acuerdo al soporte tcnico establecido en las bases y la oferta de la empresa, cosa
que no ha sucedido.
Lo argumentado
por la autoridad
permite
subsanar lo observado.
e)
En lo que respecta a la administracin
de cuentas de correo, no se advierte un procedimiento formal que norme la creacin
de casillas de correo municipal, y defina la cuota de almacenamiento y su uso, entre
otros aspectos.
Sobre el particular, la autoridad informa que
se ha propuesto a la alcalda la dictacin de un reglamento que norme la creacin y
eliminacin de las cuentas de correo electrnico, as como su correcto uso por parte
de los funcionarios. Por otra parte, la asignacin de cuota de almacenamiento la
define el software por defecto.
f)
En relacin con los accesos a la red
Internet, la entidad municipal no ha efectuado un perfilamiento de las cuentas,
definiendo horarios y administracin de los recursos.
Sobre este punto, la autoridad manifiesta que
existe un perfilamiento de usuarios a nivel de IP, que es manejado por el Firewall
donde estn creados los grupos "Navegadores Full" y "Exclusin". Tambin este
dispositivo tiene bloqueados sitios que no tienen relacin con la labor desarrollada por
los funcionarios municipales. Sin embargo, los horarios de conexin no estn
controlados, lo que se ha dispuesto corregir.

REA AUDITORA 1
- 23En cuanto al perfilamiento, es necesario

precisar que durante la auditora no se inform de la existencia de grupos a nivel de
Firewall.
g)
No existe un procedimiento
de stock mmlmo de componentes crticos para equipos informticos,
ejemplo, discos duros, unidades pticas, teclados, mouse y otros.
de control
como por
En su respuesta, el edil informa que se ha

dispuesto un control sobre stocks mnimos, y en la medida que el presupuesto lo
permita, se abrir un tem de gasto para mantenerlos.
Analizada
la respuesta de la autoridad
comunal, corresponde mantener las observaciones formuladas en las letras e) y g),
toda vez que no se adjunta la documentacin que acredite las medidas tomadas y los
antecedentes que regularicen la situacin planteada.
De acuerdo a la informacin suministrada por
la autoridad para la observacin de la letra f), respecto al perfilamiento de las cuentas
de acceso a la red, corresponde levantar la observacin puesto que existen grupos de
acceso definidos y filtros asociados a los sitios de navegacin, no as en lo que
respecta a los horarios de acceso a la red Internet y administracin de sus recursos,
debido a que la medida correctiva informada no se ha implementado a la fecha.
h)
El
departamento
de
sistemas,
computacin e informtica carece de bodega, por lo que las instalaciones son usadas
para estos fines, incrementando la cantidad de equipamiento informtico en los
lugares de desplazamiento del personal, asimismo, no existe un control que permita
individualizar y catalogar los accesorios que se encuentran disponibles en la citada
dependencia.
En su respuesta, la autoridad corrobora lo
sealado, indicando que existe una bodega central, y que la del edificio consistorial
est ocupada a su mxima capacidad, no siendo posible, en la actualidad, contar con
una bodega especial para el departamento de sistemas. Por otra parte, en relacin a
su control, ha dispuesto individualizar y catalogar los accesorios que se encuentran en
esa dependencia.
Los argumentos
planteados por el edil
resultan atendibles, sin embargo no aporta antecedentes que den cuenta de medida
efectivas para dar solucin a lo objetado, por lo que corresponde mantener la
observacin formulada.
1.1.-
Inventario de equipamiento informtico.
Respecto
al
inventario
de
activos
informticos, tecnolgicos y de telecomunicaciones, el cual fue proporcionado por el
administrador municipal, segn memorndum N 1.501/07, de 11 de enero de 2010,
se practic una revisin, aplicndose el sistema de muestreo aleatorio que,
recurriendo a parmetros del 95% de confianza, 3% de precisin y una tasa de error
del 3%, determin una muestra de 101 equipos, lo que representa un 22,44%, de un
total de 450 unidades. El detalle consta en Anexo N 7

REA AUDITORA 1
- 24Efectuadas verificaciones en terreno, se pudo

constatar las siguientes situaciones:
a)
7 equipos computacionales
poseen
una CPU distinta a la mencionada en los inscritos en planilla auxiliar de activos
informticos, lo que equivale al 6,93%, ver Anexo 8.1.
b)
7 equipos computacionales, con una
capacidad de disco duro distinta a la registrada en el inventario, lo que equivale al
6,93%, ver Anexo 8.2.
c)
10 equipos
computacionales
con
memoria RAM diferente a la declarada en los registros del inventario, lo que equivale
al 9% del total de la muestra, ver Anexo 8.3.
d)
Se detect 1 registro de usuario
desactualizado, debido a que el funcionario se encuentra ocupando el equipo que
pertenece a otra persona, ver Anexo 8.4.
e)
Se determin un total de 9 equipos
portables que no pudieron ser revisados, lo que equivale al 8,91 % del total de la
muestra, ya que se encontraban en poder de las personas a las cuales se encuentran
asignados, razn por la que no pudieron ser validados, ver Anexo 8.5.
f)
Ninguno
de
los
equipos
revisados
contaba con sellos de seguridad.

En su respuesta la autoridad edilicia seala
que, se ha ordenado realizar una actualizacin detallada del inventario, y se proceder
a normar el uso de estos dispositivos, adems, se implementarn los sellos de
seguridad, y en forma adicional, se ha dispuesto que el inventario lo lleve el
departamento de servicios generales.
La respuesta no adjunta antecedentes que
acrediten las medidas adoptadas, por lo que procede mantener las observaciones
formuladas.
1.2.-
Falta de registro del equipamiento informtico.
A nivel municipal no existe un control de los

movimientos del equipamiento informtico, en efecto, el departamento de sistemas,
computacin e informtica no emite un acta de entrega ni de recepcin de los equipos
que son entregados o trasladados de una dependencia a otra, generando problemas
en determinar su ubicacin y mantencin, as como en el control de criticidad en las
operaciones.
La Municipalidad de Estacin Central no ha
implementado una poltica de seguridad para el control de los equipos y dispositivos
que son usados en terreno o para atender pblico.
Sobre esta materia, la entidad municipal

indica en la respuesta que todo dispositivo que se asigna a un funcionario es
ntregado mediante memorndum, donde se detallan las caractersticas tcnicas del
. positivo, y se estampa la firma del funcionario que recibe. Por otra parte, reconoce

REA AUDITORA 1
- 25que no se ha implementado una poltica de seguridad sobre los equipos usados en

terreno, sin perjuicio de las medidas que se adoptan en la prctica.
En atencin a lo informado por la autoridad y
la documentacin de respaldo proporcionada se levanta la observacin en lo referente
a la asignacin de los dispositivos, mantenindose lo relativo a la implementacin de
una poltica de seguridad sobre los equipos usados en terreno.
1.3.-
Carencia de licencias.
El municipio no cumple con el licenciamiento

de la plataforma de software de operaciones (Sistemas operativos como Windows XP,
2000 Server, 2003 Server y 2008 Server), aplicaciones de oficina (Microsoft Office),
software de base de datos (SQl Server), software de seguridad (Antivirus) y otros
(Autocad y Arcview en direccin de obras). De un total de 271 equipos
computacionales a nivel municipal que requieren licencia, 12 son notebook, 253
estaciones de trabajo, y 6 servidores de respaldo, seguridad y operaciones.
En lo que respecta a licencias de sistemas
operativos que se encuentran en funcionamiento, slo un 47,23% de los 271 equipos
que posee el municipio tiene vigente su licencia, lo que equivale a 128 equipos.
Se detect que de un total de 2 equipos que
utilizan el programa Autocad o Arcview, ubicados en la direccin de obras
municipales, tienen su licencia habilitada, lo que representa el 100%.
En cuanto a aplicaciones de Microsoft Office,
un 96,68% de equipos posee licencia, lo que se traduce en 262 equipos de un total de
271 que hacen uso de la aplicacin.
Adicionalmente, se determin que el 100% de
los equipos con la aplicacin de base de datos SQl Server poseen licencia, lo que se
traduce en 2 equipos.
Se suma a lo anterior, que el 100% de los
equipos posee licencia de antivirus, correspondiendo a 271 equipos.
El Alcalde en su respuesta seala que en
futuras compras de equipamiento computacional se harn con licencias de software
incluidas, de manera de dar de baja todo el equipamiento computacional obsoleto y
reemplazar de este modo en forma paulatina, el software sin licenciamiento.
Al respecto, ese municipio reconoce la
objecin formulada, comprometindose a regularizar la situacin en un futuro no
determinado, por consiguiente, la observacin se mantiene, atendida la improcedencia
de mantener en uso software carente de licencia.
El resumen de los 271 equipos activos en la
plataforma, los software instalados por equipo y las licencias que se encuentran
certificadas, se detallan en Anexo N 9, en el cual se utiliza el formato X/N, indicando
X el tipo de software usado por columna y N la cantidad de equipos con licencia del
total indicado por filas. A continuacin un detalle por tipo de software:

REA AUDITORA 1
- 26Tipo de
software
Sistemas
Operativos.
Windows 2000 Profesional
Windows
2000
Server Sistemas
( Servidores)
Operativos.
Sistemas
Operativos.
Windows XP Profesional
Sistemas
Windows 2003 ( Servidores)
Operativos.
Windows Server Standard Sistemas
(Servidores)
Operativos.
Moto de Base de Datos - SQLBases de datos.
Server
Software
Software
Office 2003
Licencia
S.O
liberado
Microsoft.
S.O
liberado
Microsoft.
Vigencia
licencia
por Sin fecha de
caducidad.
por Sin fecha de
caducidad.
S.O. con Licencia OEM

N
00085-173-788-519
W 00089-182-271-198
N
00150-087-575-601
W 00150-088-057-288
Licencia en poder de
CAS Chile.
Tipo de
Licencia
software
Aplicaciones de
Oficina.
Sin licencia.
Otros.
Antivirus ESET Nod32
Correo Electrnico Exchange
Otros.
2007
W EAV-15598402.
N 381-04097.
Sin licencia.
Sin fecha de
caducidad.
Sin fecha de
caducidad.
En poder de
CAS Chile.
Vigencia
licencia
Sin licencia.
Hasta
10-072010.
Licencia
indefinida.
En
relacin
a
lo
anterior,
existen
inconsistencias en los datos suministrados en relacin con la plataforma de software
computacional, detallados en el Anexo N 9, mediante memorndum N 1501/08, de
13 de enero de 2010, en comparacin con detalle de nmina de inventario informtico
y de licencias proporcionado mediante memorndum N 1501/07, de 11 de enero de
2010, ambos emitidos por el administrador municipal de Estacin Central.
Sobre lo anterior, el edil reconoce lo
observado, adjuntando nuevos antecedentes que rectifican lo observado, por lo que
procede levantar la observacin.
2.- Seguridad fsica.
Para efectos de validar la seguridad fsica se
efectu una visita a la sala de servidores municipales, lo que permiti comprobar lo
siguiente:
a) En primera revisin a sala de servidores efectuada el da 15 de enero de 2010
se detectaron las siguientes observaciones:
Almacenamiento de toners vacos, los que obstruan las operaciones al interior
del departamento de sistemas, computacin e informtica.
Extintor en sala de servidores posee fecha de vencimiento 2003.
Manejo de discos duros con datos municipales en lugar de fcil acceso y sin
seguridad.
Las situaciones anteriormente mencionadas

fueron subsanadas, lo cual fue corroborado mediante segunda revisin de sala de
servidores realizada el da 26 de enero de 2010.

REA AUDITORA 1
- 27b) Puerta de ingreso al departamento auditado no cuenta con chapa de seguridad,

(Anexo N 10).
c) Existencia de cables de red antiguos en reas de trnsito
encontrarse en uso actualmente, (Anexo N 10).
pblico,
sin
d) Encargado de sistemas indica que los puntos de red se encuentran certificados,

sin embargo, no existe acreditacin formal por parte de empresa externa,
(Anexo N 10).
e) Son utilizados puntos de red antiguos sin certificacin (Anexo N 10).
f)
El rack de sala de servidores no cuenta con sello de seguridad.
g) Control de acceso a sala de servidores cuenta con chapa normal, la cual se

utiliza sin llaves, vulnerando la seguridad de acceso a los equipos.
Adicionalmente, el material de sala de servidores no resulta adecuado puesto
que no es incombustible.
h) No se ha instalado ninguna clase de sealtica en sala de servidores.
i)
Los muros son de tabiques y no cuentan con proteccin trmica ni acstica.
j)
No se ha implementado un sistema de registro de ingreso de personas, ni de

reparaciones de la plataforma de hardware y/o instalaciones que se realizan,
por parte del personal del departamento en estudio.
k) No se cuenta con circuito cerrado de televisin

sistemas, computacin e informtica.
en el departamento
de
1) No existe manejo de caja de seguridad para la custodia de las llaves del

departamento de sistemas, computacin e informtica.
m) No existe suficiente ni adecuada canalizacin de cables de red municipal,
existiendo gran cantidad de ellos alrededor de los servidores municipales,
posicionados sobre el piso de la sala
n) No se ha implementado sistema de inventario de equipos en desuso.
o) No se utilizan sellos de seguridad en equipos.
p) Se almacenan cintas con datos municipales de sistemas administrativos
lugares inseguros.
en
q) Se evidencia ausencia de mantenciones peridicas de aseo, mantenimiento y

recambio del mobiliario de oficina.
r) Puerta de seguridad exterior cuenta con chapas en desuso, lo cual vulnera
seguridad del departamento.
-r
s) Existencia de monitores y equipamiento informtico en sectores de trnsito, sin

existir nmina de movimiento de equipos.
t)
No existe poltica de regulacin para mantener rangos de temperatura en sala

de servidores.

REA AUDITORA 1
- 28u) La UPS no cuenta con mantenimiento ni pruebas para asegurar el uso ante
contingencias.
v) Dado el escaso espacio fsico de que dispone el departamento de sistemas,
computacin e informtica, resulta difcil el acceso a los componentes, sumado
al mal uso de las instalaciones por parte de los funcionarios (mantencin de
enseres bsicos de alimentacin, adornos y lquidos).
Respecto al punto 2, correspondiente a la
Seguridad Fsica, la autoridad informa que las observaciones de las letras a), e), j), p),
y s), han sido corregidas. De acuerdo con los antecedentes proporcionados al efecto,
procede levantar las observaciones indicadas.
Por otro lado, la autoridad informa que las
observaciones sobre las letras b), c), d), f), g), h), i), k), 1),m), n), o), q), r), t), u) y v),
se encuentran en proceso de mejoramiento. En relacin a lo informado y
considerando la ausencia de documentacin que acredite las medidas correctivas
informadas, corresponde mantener las observaciones, cuya revisin se efectuar en
futuras fiscalizaciones a la entidad.
3.- Procedimientos de respaldo.
El mUniCIpIO, en forma conjunta con la
empresa proveedora CAS Chile S.A., provey los procedimientos de respaldo en
relacin con los sistemas que se encuentran operando en la plataforma de software
municipal.
a) Para bases de datos de CAS Chile S.A., exceptuando base de datos de
licencias de conducir, el procedimiento de respaldo es el siguiente:
Paso
Periodicida
d
Diario
Diario da
hbil
Diario da
hbil
Semanal
Medio
Tipo De
Codificacin
Copia de
Carpeta en
Seguridad de
disco del
mismo servidor SQL-Server
Carpeta sComando
"Copiar" de
aries en disco
de servidor
explorador de
Piscis
Windows
Sub carpeta
Comando
"aaammdd" en "Copiar" de
carpeta s-aries explorador de
en disco de
Windows
servidor Piscis
Disco duro
Copia de
Externo
seguridad de
Windows
Informe
de
Reporte
Sin
informe
Responsable
Horario
Automtico
00:00
horas
Sin
informe
Automtico
22:00
horas
Sin
informe
Jos Gatica
08:30
horas
Informe
de copia
de
seguridad
de
Windows
Automtico
21:00
horas

REA AUDITORA 1
- 29b) En el caso de la base de datos de licencias

respaldo es el siguiente:
Paso
Periodicidad
Diario
Diario da
hbil
Diario da
hbil
Semanal
Medio
Carpeta en
disco del
mismo
servidor
Carpeta SrvEcentral en
disco de
servidor
Piscis
Sub carpeta
"aaammdd"
en carpeta
Srv-Ecentral
en disco de
servidor
Piscis
Disco duro
Externo
el procedimiento
Tipo De
Codificacin
Copia de
Seguridad de
SQL-Server
Informe de
Reporte
Sin informe
Automtico
01:00
horas
Comando
"Copiar" de
explorador de
Windows
Sin informe
Automtico
22:00
horas
Comando
"Copiar" de
explorador de
Windows
Sin informe
Jos Gatica
08:30
horas
Copia de
seguridad de
Windows
Informe de
copia de
seguridad
de
Windows
Automtico
21:00
horas
c) El respaldo
realizado
para la informacin
Paso
Periodicidad
Medio
Tipo De
Codificacin
Semanal
Disco duro
Externo
Copia de
seguridad de
Windows
d) El procedimiento
de conducir,
de respaldo
Responsable
por departamentos
Informe
de
Reporte
Informe
de Copia
de
seguridad
Windows
Paso
Periodicidad
Medio
Tipo De
Codificacin
Semanal
Copia de
Seguridad de
Windows
Semanal
Carpeta en
disco del
mismo
servidor
Disco duro
Externo
Comando
"Copiar" de
explorador de
Windows
Informe
de
Reporte
Sin
Informe
Sin
Informe
Horario
es el siguiente.
Responsable
Horario
Automtico
21:00
horas
para DHCP y Active Directory
de
es el siguiente:
Responsable
Horario
Automtico
03:00
horas
Jos Gatica
08:30
horas

REA AUDITORA 1
- 30e) Para respaldo de correo exchange se realiza lo siguiente:

Paso Periodicidad
Semanal
Semanal
f)
Medio
Tipo De
Codificacin
Carpeta en
disco del
servidor
Correo
Disco duro
Externo
Copia de
Seguridad de
Windows
Comando
"Copiar" de
explorador de
Windows
Informe
de
Reporte
Sin
Informe
Sin
Informe
Responsable
Horario
Automtico
22:00
horas
Jos Gatica
08:30
horas
Observaciones a procedimientos de respaldos:
No existe un responsable nico de los respaldos.
El departamento de sistemas, computacin e informtica, no realiza ms de

una copia de los respaldos diarios de la informacin procesada por los
sistemas de administracin municipal.
Los dispositivos de respaldo no se prueban regularmente,

que puedan ser de utilidad en una emergencia.
Existen diferencias entre los procedimientos de respaldo y las acciones

sealadas dentro del plan de recuperacin de desastres.
para asegurar
La autoridad comunal, en su respuesta,

manifiesta que se impartieron las instrucciones pertinentes, sin perjuicio de que
actualmente existe un funcionario designado como nico responsable de los
respaldos. Respecto a los backup de las bases de datos, indica que se copian a un
segundo servidor en forma diaria, mantenindose una copia en el servidor de origen,
probndose, a lo menos, una vez por semana, los respaldos efectuados.
Estudiada la respuesta entregada por ese
municipio y realizadas las verificaciones pertinentes, procede levantar las objeciones
planteadas de los puntos anteriores, excepto lo referido a las diferencias entre los
procedimientos de respaldo y las acciones indicadas dentro del plan de recuperacin
de desastres, puesto que ste debe incorporar expresamente el procedimiento de
respaldo existente, con la finalidad de minimizar una posible contingencia.
4.- Plan de recuperacin de desastres.
Segn memorndum N 1501/07, de 11 de
enero de 2010, emitido por el administrador municipal, el plan de recuperacin de
.desastres utilizado por esa entidad consta de las siguientes etapas:
a)
Fase preventiva, constituda por:
Actualizacin de antivirus en forma automtica.

Generacin de imagen de instalacin en unidad secundaria.
Claves de acceso a equipo, sistema operativo, sistemas
electrnico.
y correo

REA AUDITORA 1
- 31
b)
Fase reactiva, la cual consta de los siguientes pasos:
c)
Sistemas con claves y privilegios diferenciados dependiendo del tipo de

usuario.
Sala exclusiva para servidores con acceso restringido.
Respaldo diario de bases de datos en unidades distintas de su ubicacin
original.
Respaldo de bases de datos semanal a un medio externo.
Soporte tcnico en terreno y telefnico. (Ver anexo N 11).

Manuales de operacin de sistemas entregados por CAS Chile.
Call Center de empresa proveedora CAS Chile para consulta acerca de
sistemas administrativos municipales.
Comunicacin telefnica o va e-mail con jefe de proyecto de CAS Chile.
Bitcora de procedimiento para reinstalacin de PCs. (Ver anexo N 11).
Fase de mitigacin
De acuerdo a lo informado por el municipio,

no se cuenta con fase de mitigacin en el plan de recuperacin de desastre, por lo
que se infiere que el plan de contingencia utilizado no es completo y, por ende, no
entrega seguridad a los datos respaldados.
Lo anterior, implica la inexistencia de medidas
sobre evaluacin de criticidad de procesos, alcance y descripcin del plan a nivel
anual, declaracin de fallas, enfoque y tiempos de recuperacin, grupo de
contingencia, trabajo bsico inter-reas y plan alternativo.
El
mUnicipiO
reconoce
los
hechos
representados,
e informa como medida para subsanar
lo observado,
la
implementacin de la fase de mitigacin, situacin que no se acredita, en
consecuencia, dicha observacin se mantiene.
V.- EJECUCiN DE RECORRIDOS DE CONTROLES GENERALES ASOCIADOS A

TI.
1.- Sistemas administrativos municipales incluidos servicios online.
1.1.- Funciones.
Las funciones que realizan los sistemas
administrativos municipales en relacin con los procesos significativos analizados son
los siguientes:
a) Sistema contabilidad gubernamental.
Ingreso de presupuesto inicial y/o modificaciones presupuestarias.

Tratamiento de cuentas de tesorera.
Toma de ingresos de tesorera.
Consulta de recepciones de tesorera.
Verificacin de cuentas devengadas y percibidas.
Anlisis de cuentas.

REA AUDITORA 1
- 32
Exportacin de devengamientos para generacin de decretos de

pago.
Verificacin de ingresos de cuentas complementarias.
Consulta de saldos por rango de fecha.
Consulta de ingresos no percibidos por cuenta.
Traspaso de descargos mensuales.
Actualizacin de cuentas.
Bloqueos de das de tesorera.
Emisin de balances presupuestarios.
Emisin de balance acumulado.
Emisin de mayores analticos.
Emisin de balance de comprobacin y saldos.
Ingreso de pagos efectivos.
Emisin de libro diario.
Cuadratura de disponibilidades.
Cierre de mes.
b) Sistema licencias de conducir.
Ingreso de contribuyentes.
Toma de exmenes (mdulos de mdico, psicomtrico, terico)
Emisin de licencias.
Emisin de informes.
c) Sistema derecho de aseo.
Bsqueda de rol de propiedad para verificacin de deuda por

concepto de aseo.
Impresin de estado de deuda de derecho de aseo domiciliario por
contribuyente.
Emisin de estado de cuenta que indica fechas de pagos
realizados.
Rebaja de cuotas de aseo de acuerdo a decretos alcaldicios.
Modificaciones a formulario "Estado de deuda", en relacin a datos
proporcionados por el S.1.1.
d) Sistema tesorera municipal.
Cuadratura de cobros diarios.

Emisin listado de ingresos por departamento.
Informe de pagos realizados por contribuyente
y deudas
mantenidas con el municipio segn fecha de pago.
Listar requerimientos de distintas fechas y/o tems.
Informe de intereses por cobrar segn fecha de vencimiento de
cobros municipales.
e) Sistema patentes comerciales.
Ingreso de datos de contribuyente.

Ingreso de patentes nuevas.
Modificaciones, traslados, transferencias y anulaciones.
Ingreso de capitales propios de contribuyentes sin sucursales o
con casa matriz fuera de la comuna.

REA AUDITORA 1
- 33
f)
Generacin de certificados de distribucin de capital para distintas

municipalidades del pas.
Convenios
de pago para contribuyentes
con problemas
econmicos.
Sistema de permisos de circulacin.
Configuracin de datos mediante procedimientos de carga de

transacciones, parmetros generales y carga de registro de multas.
Registro comunal de vehculos motorizados.
Mantencin de permisos de circulacin emitidos, histricos y
morosos.
Emisin de certificado de permiso de circulacin.
Traslado de vehculos.
Reemplazo de placa patente.
Administracin de registro de vehculos fuera de circulacin.
Importar y exportar patentes sin cdigo del Servicio de Impuestos
Internos.
g) Generacin de listados de:
a) Ingresos.
b) Permisos pagados (1ra y 2da cuota).
c) Vencimientos de 2das cuotas.
d) Permisos no renovados.
e) Permisos girados no pagados.
f) Tasaciones con valor.
1.2.- Tipos de usuarios.

De acuerdo con la informacin entregada, las
cuentas de usuario empleadas para utilizar los sistemas se conforman por perfiles y
atributos, que se subdividen de la forma que sigue:
Aplicaciones
Perfiles
Atributos
Permiso de Circulacin
Patentes Comerciales
Licencias de Conducir
Ingresar
Derechos de Aseo
Listar
Tesorera Municipal
Administrador
Contabilidad
Gubernamental
Conciliacin Bancaria
Municipal
Ordenes de Ingreso
Municipal
Supervisor
Personal Municipal
Remuneraciones
Municipal
Convenios de Pago
Modificar
Eliminar
Usuario
Imprimir
Consultar

REA AUDITORA 1
- 34La creacin de los usuarios se realiza a

travs de la cuenta administrador, entregando privilegios a travs de atributos
asignados que definen el tipo de cuenta para el usuario, dentro de las cuales se
cuentan usuario bsico, supervisor y otras. El mantenedor de usuarios opera mediante
nombre y clave habilitada para obtener el tipo de acceso.
Por otra parte, los permisos se entregan al
usuario independientemente por cada sistema, siendo el administrador el encargado
de conceder el acceso validado previamente por el jefe de la direccin respectiva. El
procedimiento indicado se realiza en trminos informales, no quedando establecida la
autorizacin de creacin de cuenta de usuario ni la baja de la misma cuando el
funcionario deja de prestar servicios al municipio.
Sobre el particular, esa autoridad en su
respuesta seala que sobre la manera de expresar como estn creados los perfiles y
atributos de los usuarios de los sistemas, destacan tres niveles de usuario, cada uno
con sus respectivos atributos.
En atencin a lo expresado por el edil en su
respuesta, cabe hacer presente que no todos los anlisis efectuados en el cuerpo de
este informe derivan necesariamente en observaciones, sino que, como en este caso,
se trat de una exposicin respecto de cmo estn conformadas las cuentas de
usuario.
1.3.- Evaluacin de la integridad de la informacin.
La Municipalidad de Estacin Central cuenta
con 11 bases de datos, las que alojan 1.063 tablas de registros, de las que se evalu
las que tienen directa relacin con los procesos significativos asociados a TI y que
administran datos crticos.
En el caso particular de control de acceso
lgico, se evalu la cantidad de personal activo, pasivo y su relacin contractual con el
municipio, validando la integridad de datos relevantes, a fin de comparar la
informacin procesada con las cuentas de usuario activas para un funcionario y los
permisos otorgados para dicha cuenta.
Del anlisis practicado es posible advertir la
inexistencia de llaves primarias en las tablas usuario y permisos, situacin que no
permite relacionarlas a travs de una llave fornea 1 y realizar seguimientos de
seguridad entre las cuentas y sus permisos. Por otra parte, an cuando la tabla
"fichafuncionario" presenta llave primaria, no es posible auditar los accesos en forma
concluyente, debido a que sta no se encuentra en las tablas usuario y permisos. El
detalle de tablas se presenta en el Anexo N 12.1.
La autoridad comunal en su respuesta indica
que el anlisis de la estructura de las bases de datos es incompleto, dado que no se
conoce el alcance global de la solucin informtica. Ello se debe a que la empresa
Cas-Chile S.A. no suministr los diccionarios de datos que posibiliten realizar un
1 Una llave fornea es un atributo (puede estar compuesto) de una relacin 1 cuyos valores deben de
concordar con los de una llave primaria de alguna relacin 2. Las relaciones 1 y 2 pueden incluso ser la
misma.

REA AUDITORA 1
- 35anlisis pormenorizado de la estructura de las bases de datos que soportan los

sistemas administrativos municipales, por lo que corresponde mantener lo objetado.
1.3.1.- Control de datos numricos.
La auditora
permiti verificar
que, al
momento de ingresar datos numricos en la pantalla de datos de archivo de personas,
del mdulo de licencias de conducir, existe la posibilidad de dejar en blanco el nmero
de RUT, sin que el sistema indique error o exija el reingreso de la informacin, que al
ser grabada no permitir la identificacin. Ver Anexo N 12.2.
Por otra parte, la fecha con formato da, mes
y ao (dd/mm/aa), permite que el sistema acepte rangos de fecha por sobre la data
actual, situacin que ocasiona un clculo negativo de la edad del peticionario,
generando fichas de solicitantes invlidas.
1.3.2.- Control de validacin en el ingreso de datos.
El anlisis realizado permiti advertir en el
mdulo de permisos de circulacin que, para el ingreso automtico de datos que se
genera a travs de listas desplegables correspondientes a la comuna, no es posible
certificar que los registros contenidos sean correctos, por cuanto algunos han sido
ingresados manualmente, existen duplicados y no consignan informacin de comuna,
regin y codificacin nacional, de acuerdo a la estandarizacin de la informacin
cargada.
Al respecto, cabe indicar que el diseo lgico
de la tabla permite valores nulos en todos los datos, a excepcin de la llave primaria
de la tabla que corresponde a cdigo de comuna, no habiendo aplicacin de
validacin alguna en el ingreso de datos a la base por parte del funcionario en el
proceso, ni del supervisor en actividades de mantenimiento de la base de datos. En el
Anexo N 12.3, se presenta la estructura de la tabla y un ejemplo de algunos registros
que contienen datos duplicados y nulos.
Por otra parte, en el sistema de patentes
comerciales existe una tabla denominada "comunas" que presenta datos invlidos.
Ver Anexo N 12.4.
que en relacin a los puntos 1.3.1 y 1.3.2, por ser temas especficos, ellos sern
respondidos una vez validados; por lo que en tanto no exista una respuesta que seale
medidas correctivas aplicadas, corresponde a mantener las observaciones citadas.
1.3.3.- Verificacin del modelo de datos.
Se solicit
al administrador
municipal
gestionar la entrega de documentacin relativa al diccionario de la base de datos que
soporta los sistemas municipales implantados, quien mediante correo electrnico de
20 de enero de 2010, inform que la empresa CAS-Chile S.A. no transfiere la
propiedad intelectual del o los cdigos objetos o ejecutables del o los programas
computacionales que se prestan en uso a la Municipalidad de Estacin Central.
Al no obtenerse acceso al diseo lgico,
debido a lo precedentemente expuesto, se realiz un proceso de anlisis de las tablas

REA AUDITORA 1
- 36que mantienen los sistemas en la base de datos, entregadas por el encargado del
departamento de sistemas, en forma conjunta con los diagramas de flujos de los
procesos auditados (ver Anexo N 13). Del anlisis efectuado se advierte que en el
modelo de datos existe riesgo de inconsistencias, cuentas sin validacin de unicidad,
repetidas, as como ausencia de datos en las tablas para ciertos elementos
contenidos en la base de datos.
La autoridad en su respuesta indica que la
empresa Cas-Chile S.A. estima que no existe riesgo de inconsistencia en el modelo de
datos, ya que estn consideradas todas las normas establecidas para mantener una
integridad de la informacin contenida en las bases de datos de los sistemas
municipales.
En atencin a que la respuesta no aporta
antecedentes que permitan desvirtuar lo objetado, y teniendo en cuenta que no se
suministr, por parte de la empresa ya citada, los diccionarios de datos que permiten
conocer la estructura e integridad asociada a la base de datos que, a su vez, soporta
los sistemas administrativos municipales, corresponde mantener la observacin.
1.3.4.- Control de integridad.
En relacin al sistema de tesorera municipal,
se verific la operacin del mdulo de ingresos, pudiendo detectarse en la pantalla
men de informes, un error en la cuadratura diaria del da 6 de marzo de 2009, en
comparacin con el resumen de ingresos del mismo da, existiendo montos distintos
en ambos reportes.
Al respecto, el edil informa que el error no es
atribuible a la integridad de datos en la base de datos, ya que la situacin se debe a
errores en la digitacin de informacin en los sistemas.
Los argumentos planteados por la autoridad
as como los nuevos antecedentes aportados, permiten levantar la observacin.
1.3.5.- Control de reglas de negocio.
Respecto de la aplicacin de patentes
comerciales, se detectaron inconvenientes en el mdulo maestro de patentes, de las
cuales se pueden mencionar los siguientes:
El sistema no importa directamente el monto del capital propio, el

nmero de trabajadores y el porcentaje de capital del contribuyente, en
el caso de pagos de patentes comerciales de sucursales.
Se permite continuar al siguiente mdulo del sistema, an sin ingresar

datos relacionados con telfono comercial y correo electrnico del
contribuyente.
Se detect la existencia de registros con RUT invlido y datos nulos.

(Ver Anexo N 12.5).
Por otra parte, el sistema de licencias de

conducir presenta falencias en relacin a:

REA AUDITORA 1
- 37
El men de ingresos de los datos del solicitante exige que los

antecedentes del contribuyente sean ingresados dos veces, tanto en la
solicitud de cobro como en el cobro efectivo, no existiendo un
mecanismo que importe directamente los datos dentro del mdulo.
A nivel de sistema no se registra la funcionalidad de impresin de listado

de trmites a realizar por parte del contribuyente en la solicitud de
obtencin de licencia de conducir; procedimiento que debe ser realizado
manualmente por la operadora.
En su respuesta, la autoridad edilicia seala

que, por tratarse de temas especficos, ellos sern respondidos una vez validados, por
lo que corresponde mantener lo objetado.
1.3.6.- Pruebas de caja negra.
La auditora practicada
siguiente para el sistema de contabilidad gubernamental:
permiti advertir lo
El proceso de toma de ingresos diarios del mdulo de ingresos, presenta

anomala respecto a la duplicacin de los traspasos, al momento de
ingresar el da al egreso devengado.
Asimismo, en el mdulo cuentas, para el proceso de anlisis de cuentas,

se detect la existencia de error en cuanto a los nombres de los
proveedores que se ingresan al sistema. Lo anterior, debido a que el
sistema reemplaza aleatoriamente el nombre al momento de emitirse el
egreso correspondiente, existiendo el riesgo de pagar a proveedores con
los cuales no existan obligaciones pendientes.
Para los mdulos en cuestin, el resto de las

pruebas realizadas no arrojaron deficiencias, respecto de sus operaciones.
Respecto a la observacin que dice relacin
con el proceso de toma de ingresos diarios del mdulo de ingresos, el edil seala que
el sistema advierte por medio de un mensaje en pantalla si el usuario est seguro de
seguir con la operacin, debiendo ste confirmarlo. No obstante, lo objetado no
corresponde a un error de digitacin sino a una anomala de procesamiento del
sistema, por lo que debe mantenerse la observacin inicialmente planteada.
Por otra parte, en lo referido al mdulo
cuentas, esa entidad municipal indica que es una opcin del sistema que se puede
habilitar o deshabilitar, por lo tanto, el uso va a depender de la necesidad del municipio.
Al respecto, se debe sealar que el error suscitado corresponde a la accin de
reemplazo del nombre del proveedor cuando se emite el egreso, por lo que no se
considera una accin de habilitacin por sistema, sino una anomala del mismo.
-r
Considerando que el municipio no aporta

antecedentes adicionales que permitan a regularizar lo objetado, corresponde
mantener las observaciones formuladas inicialmente.

REA AUDITORA 1
- 381.3.7.- Pruebas de razonabilidad de cifras calculadas histricamente.

Durante
el examen
se efectu
una
verificacin del proceso de cobros correspondiente al sistema de derechos de aseo,
detectndose errores en el mdulo a nivel de estado de cuenta; en efecto, al momento
de ingresar informacin para emitir estado de deuda del contribuyente Jacqueline
Rodrguez Contreras, R.U.T N 9.797.579 - 5, se gener informacin errnea, como
fecha de vencimiento del cobro, 1 de enero de 1900.
que, por tratarse de temas especficos, ellos sern respondidos una vez validados, por
lo que corresponde mantener lo objetado.
1.3.8.- Control de gestin de lag de errores.
El sistema administrativo municipal cuenta
con una implantacin de registro de transacciones en cada mdulo que reporta las
acciones realizadas por los usuarios poseedores de cuentas vigentes con privilegios.
Los datos bsicos con que se cuenta y que
varan segn el mdulo, son nmero de registro, fecha, hora, accin, usuario, lugar de
transaccin, RUT, versin y otros.
Por la constitucin de los datos, se pueden
realizar bsquedas selectivas de acuerdo a uno o ms atributos, sin embargo, en el
mdulo de licencias de conducir, los campos fecha y hora se encuentran
concatenados con el siguiente formato: dd/mm/aaaa
00:00:00, dificultando la
bsqueda y la auditora de las acciones llevadas a cabo dentro del mdulo. Por otra
parte, algunas identificaciones de estacin de trabajo donde se realiza la accin, se
encuentran en blanco.
La autoridad edilicia, en su respuesta, informa
que no existe dificultad para buscar y auditar las acciones realizadas dentro de los
mdulos del sistema, con las rutinas creadas para el control de transacciones que
poseen los programas.
De acuerdo a lo expresado en la respuesta, y
en atencin de que no se aporta documentacin referida a sistemas, como manuales
de usuario que permitan administrar las consultas, corresponde mantener lo objetado.
1.3.9.-Anlisis de sistemas administrativos municipales.
Se realiz una evaluacin para los mdulos
de sistemas administrativos municipales, advirtiendo que se producen problemas de
procesamiento, ingreso y validacin de datos. A continuacin se entrega un detalle de
falencias:
Sistemas Administrativos Municipales.
El sistema no solicita cambio de claves peridicamente.

No se exige por parte del sistema una clave alfanumrica.
No se exige un mnimo de dgitos para la creacin de claves de
Ingreso.
No existe bloqueo automtico del sistema despus de un perodo
de inactividad.

REA AUDITORA 1
- 39-
Por parte de los funcionarios no es posible registrar los cambios

realizados al sistema.
Las modificaciones tarifarias no son realizadas automticamente .
Respecto de los sistemas administrativos

municipales, en Anexo 14 se adjuntan cuadros con anomalas registradas en revisin
aleatoria durante el perodo de la auditora. Se indica en el registro sistema, mdulo,
pantalla, detalle de la falla y observacin.
Sobre el particular, la autoridad en su
respuesta seala que no existen problemas de procesamiento, ingreso y validacin de
datos, sin embargo, instruy a la empresa Cas-Chile S.A. la revisin de los sistemas,
mediante requerimiento "Reporte de problema N 001", con la finalidad que analice y
corrija las observaciones planteadas en los numerales 1.3.1 al 1.3.9.
En atencin a que esa entidad comunal no
aporta informacin relativa a los procedimientos de evaluacin de la integridad de la
informacin de los sistemas administrativos municipales, procede mantener la
observacin.
VI.-CONTROLES ESPECFICOS ASOCIADOS A APLICACIONES

SIGNIFICATIVOS.
DE PROCESOS
1.- Control de acceso lgico

a) Los sistemas que operan en el municipio cuentan con mdulos de seguridad
por aplicacin. Se utilizan, por regla general, claves de 6 caracteres
alfanumricos que ingresa el administrador de CAS-Chile, situacin que, segn
se verific, no se realiza en forma permanente al encontrar en la base de datos
diferentes tipos de contraseas, en cuanto a tipo y largo. Por otra parte, no es
posible crear o realizar cambios de clave por parte de las cuentas de nivel
usuario.
b) En el municipio existe un total de 579 usuarios, de los cuales 442 se
encuentran activos y 137 inactivos. Por otra parte, los usuarios se relacionan
con los sistemas por medio de cuentas configuradas a 3 niveles de acceso,
existiendo a nivel de sistemas diferentes cuentas clasificadas en administrador
(4), supervisor (26) y usuario (259), no existiendo la posibilidad de restringir el
acceso por horarios de conexin.
c) A nivel municipal se realiz un anlisis de las bases de datos que resguardan
las cuentas de acceso del personal, advirtiendo que existen diferencias
respecto de la cantidad de cuentas informadas mediante memorndum
N 1501/08, de 13 de enero de 2010, emitido por el administrador municipal de
Estacin Central. A continuacin se presenta el total de cuentas:

REA AUDITORA 1
- 40Nombre del Sistema
Seguridad Seguridad
Habilitada Deshabilitada
Tesorera Municipal
Contabilidad y Egresos
Permisos de Circulacin
Licencias de Conducir
Derechos de Aseo
26
21
12
10
15
11
O
O
O
O
O
O
Registro Registro Diferencia de

Total
Total
cuentas
Auditora Municipio no informadas
21
21
O
11
10
1
12
11
1
15
14
1
26
24
2
10
9
1
Por otra parte, al realizar un anlisis detallado

se presentan las cuentas por nivel, actividad de cuenta de supervisin, actividad de
cuentas usuario general, y las cuentas no informadas con el nivel que posee el
usuario, su nombre de acceso e identidad:
Nombre del
Sistema
Nivel
20 - Usuario
1Supervisor
9 - Usuario
Derechos
1de Aseo
Supervisor
10 - Usuario
Contabilidad
1Y Egresos
Supervisor
13 - Usuario
Licencias de
1Conducir
Supervisor
Tesorera
Municipal
Actividad
Supervisor
Actividad
General
Diferencia
Detalle Cuentas
de
Sistemas
cuentas
Con
Actividad
1 - Activas
12 - Sin
actividad
Sin
Actividad
3 - Activas
7 - Sin actividad
Felipe Heresi(U)
FHERES
Con
Actividad
4 - Activas
7 - Sin actividad
Felipe Heresi(U)
FHERES
Sin
Actividad
7 - Activas
7 - Sin actividad
Asignar (U)
COTROl
Felipe Heresi(U)
FHERES
23 - Usuario
Patentes
1Comerciales
Supervisor
Con
Actividad
6 - Activas
18 - Sin
actividad
8 - Usuario
Permisos de
1Circulacin
Supervisor
Sin
Actividad
3 - Activas
6 - Sin actividad
Administrador
CAS (A)
ALE
Patricio Fontte(U)
PFONTT
d) Se constat la inexistencia de un procedimiento formal para la creacin de

usuarios de sistemas. Sin embargo, la creacin, modificacin y desvinculacin
de cuentas de acceso a los sistemas administrativos es realizada por el
encargado del departamento de sistemas, computacin e informtica.
Adicionalmente, en las bases de datos figuran 289 cuentas, de las cuales 63 se
encuentran inactivas, pero no eliminadas.
e) En relacin con el acceso fuera de horario, se pudo constatar que no existe por
parte del municipio control del uso de los sistemas.
Cabe sealar la existencia de 14 casos con ms de dos cuentas de acceso por
funcionario, sin mediar autorizaciones escritas de peticin y/o asignacin por
jefaturas. A modo de ejemplo se presenta el siguiente caso (Ver Anexo N
12.6).

REA AUDITORA 1
- 41 Nombre Usuario
Alejandro Paillan
Alejandro Paillan
Alejandro Paillan
Alejandro Paillan
Alejandro Paillan
Alejandro Paillan
Alejandro Paillan
Nivel
U
U
U
U
U
U
U
Cuenta
APAILL
APAILL
APAILL
APAILL
APAILL
APAILL
APAILL
Sistema
6
5
33
80
2
4
100
Descripcin
Conciliacion Sancaria
Modulo de Ingresos
Aseo
Contabilidad Municipal
Tesorera y Caja
Convenios de Pagos
g) Actualmente, indicar los privilegios de cada usuario es prcticamente imposible,

puesto que los mdulos operan bajo el mismo sistema de mantencin de
usuarios pero en forma independiente, donde se entrega la calidad (tipo) a las
cuentas y sus permisos (atributos), los cuales pueden variar entre ingresar,
guardar, eliminar, consultar, listar e imprimir.
h) No obstante lo anterior, realizando un proceso de chequeo pormenorizado por
medio de SQL2 en el servidor de la base de datos, se pudo determinar la
cantidad de permisos habilitados totales (22.989) del conjunto de aplicaciones
por atributos, segn el detalle siguiente:
Atributos de Mdulos
Cantidad
Activa
Cantidad Inactiva
Total
Ingresar
5.331
17.658
22.989
Listar
4.018
18.971
22.989
Modificar
5.744
17.245
22.989
Eliminar
9.739
13.250
22.989
Imprimir
4.288
18.701
22.989
Consultar
4.590
18.399
22.989
i)
Del cuadro anterior se pueden advertir dos puntos crticos, relacionados con los
atributos de eliminacin y modificacin, debido a que registran la mayor
presencia como comando en los mdulos, respecto de otros atributos no
crticos, como son listar y consultar.
j)
Una importante vulneracin de la seguridad de acceso tiene origen en el diseo

lgico de las bases de datos, pues se encuentran ausentes atributos (llaves
primarias) que permitan relacionar la tabla de usuarios contra la tabla de
permisos, para proveer la identificacin del funcionario, los permisos que tiene
asignados a la cuenta en particular y los movimientos que realiza. (Ver Anexo
N 12.1).
k) En la verificacin realizada no se registr cuentas activas de usuarios de planta

municipal que hayan dejado de prestar servicios al municipio. Sin embargo, la
solicitud de requerimiento N 3, de 5 de enero de 2010, efectuada por la
comisin auditora, relacionada con la revisin de cuentas, cabe sealar que no
fue suministrada por parte del municipio la nmina de personal externo, lo que
impidi evaluar la existencia de cuentas activas de personal externo cesado en
funciones en el municipio.
SQL es un lenguaje de consulta estructurado para realizar anlisis
y extraccin de datos de las SD.

REA AUDITORA 1
- 421) Del anlisis realizado a las claves de acceso, es posible comprobar que no
presentan unicidad de criterios para su formacin, puesto que difieren en tipo y
mnimo de caracteres requeridos. Adicionalmente, existen cuentas de usuario
grupales del tipo genrico, con contrasea conocida por todo el personal del
rea, lo que vulnera la seguridad.
Cuenta
ADMIN
ALE
Clave
RJ TS
ZZ
Nombre Usuario
Administrador Sistemas (CAS)
Administrador Sistemas (CAS)
Nivel
A
A
Sistema
43
33
m) Por otra parte, existen registros de funcionarios con contrato indefinido (planta
municipal) que presentan cuentas inactivas de acceso en los sistemas. La
nmina se presenta a continuacin:
Id.
Funcionario
70
138
179
189
190
194
209
210
213
214
240
248
252
262
285
297
298
300
313
315
327
366
379
380
385
388
399
412
413
420
421
Rut
Fecha Final Contrato
08538854-1
08961541-0
06831082-2
13060198-7
14334474-6
12463852-6
09992787-9
13560232-9
14404186-0
14124832-4
10986488-9
13043410-K
11397447-8
07512091-5
08312275-7
07621220-1
12257178-5
14574246-3
13679207-5
06287801-0
10480682-1
11836656-5
08748672-9
10230642-2
12874040-6
07247231-4
13130928-7
13661049-K
16117408-4
09077889-7
13663507-7
31-12-2050
31-12-2050
31-12-2050
31-12-2050
31-12-2050
31-12-2050
31-12-2050
31-12-2050
31-12-2050
31-12-2050
31-12-2050
31-12-2050
31-12-2050
31-12-2050
31-12-2050
31-12-2050
31-12-2050
31-12-2050
31-12-2050
31-12-2050
31-12-2050
31-12-2050
31-12-2050
31-12-2050
31-12-2050
31-12-2050
31-12-2050
31-12-2050
31-12-2050
31-12-2050
31-12-2050
n) En las tablas de la base de datos figuran dos usuarios en sistema sin cuentas
de acceso. Realizada la revisin de personal desvinculado se confirm la
inexistencia de cuentas activas para el acceso a sistemas administrativos
municipales. En forma adicional, es conveniente sealar que no existe un

REA AUDITORA 1
- 43proceso formal de notificacin para desvincular a los usuarios de los sistemas

una vez que dejan de pertenecer a la entidad municipal, pudiendo generar
vulnerabilidades al servicio.
Id.
Funcionario
455
565
Rut
Fecha Inicio Contrato Fecha Final Contrato
10748495-7
17021884-1
01-03-2009
07-09-2009
31-12-2009
30-11-2009
o) Asimismo, se detect la existencia del ex funcionario Patricio Morales Basualto,

quin ces en funciones el 30 de junio de 2009, manteniendo a la fecha cuenta
activa en los sistemas informticos municipales.
Cuentas asociadas al funcionario:
Nombre Usuario
Nivel
Cuenta
Descri cin de Sistema
Patricio Morales
Patom
Patricio Morales
Patom
Control Documentos
Munici
p) Dentro del anlisis de seguridad, se concluy que existe una cuenta con nivel
de acceso supervisor perteneciente a personal a contrata.
Nombre Usuario
Nivel
Cuenta
Sistema
Descri cin de Sistema
Mire a Cceres
Invent
18
Activo Fi'o
q) Por otra parte, se evidenci que existen dos cuentas nivel supervisor para un
mismo sistema, no existiendo regulacin en la composicin de los nombres de
cuenta y clave de acceso.
Cuenta
Marcel
Patty
Clave
SGXIKR
5678
Nombre Usuario
Sara Alarcn
Patricia Morales
Nivel
S
S
Sistema
20
20
Adems, se verific la existencia de dos

usuarios con nivel de seguridad administrador para el mismo sistema, gestin
municipal, lo que vulnera la seguridad en cuanto al otorgamiento de permisos.
Cuenta
ADMMUN
SECMUN
Clave
7;?=;9
YKIS[T
Nombre Usuario
Ricardo Ferrada
Agustn Carricajo
Nivel
A
A
Sistema
101
101
Asimismo, se detect que cuentas de acceso

no cumplen con regulacin de composicin de nombre de cuenta y nombre de
usuario. A continuacin algunos ejemplos.
Cuenta
3311
121916
Cuentas poseen identificador numrico para sistema de control de

documento municipal.
Clave
7755
787?7<
Nombre Usuario
Marcela Abarza
Juan Carlos Glvez
Nivel
U
U
Sistema
82
82

REA AUDITORA 1
- 44
Cuentas de acceso sin identificador de nombre de usuario para el

sistema de personas jurdicas receptoras de fondos pblicos.
Cuenta
RENTAS
FMARQU
RENTAS
Clave
TKRYUT
LSGXW[
XKTZGY
Nombre Usuario
Nivel
S
U
U
Sistema
100
104
33
r) En la reVISJon practicada se consider la verificacin de los sistemas,

determinndose que dos de ellos no tienen referencia dentro de las tablas de la
base de datos, por ende, no existen. Adems, en los sistemas existen cuentas
nivel supervisor y usuario.
s)
Cuenta
MOPAZO
ADMORC
CDIAZ
FMARQU
IALONS
JBOITA
JVIDEL
Clave
YURKJG
GJSUXI
HINF
LSGXW[
GJSOF
PHUOZG
P\OJKR
RGONZA
UFNYT
Nombre usuario
Marisol Opazo
Administrador
Cecilia Daz
Frances Mrquez
Ivonne Alonso
Jeaninne Boitano
Jorge Videla Prez
Rosa del Carmen
Gonzlez Espinoza
Nivel
S
S
U
U
U
U
U
Sistema
150
150
150
150
150
150
150
No se mantiene un registro sobre los accesos lgicos a los sistemas de

entidades externas al servicio, como el Servicio de Impuestos Internos y el
Servicio Nacional de Menores, entre otros; tampoco se regula mediante
procedimiento interno el cierre de las cuentas.
En su respuesta, el edil manifiesta que

instruy a la empresa Cas-Chile S.A.; mediante formulario denominado "Reporte de
problema N 002", para que analice y corrija las observaciones planteadas en las letras
a), b), e), g), j), r) y s).
En
relacin
a
las
observaciones
contempladas en las letras d), f), h), i), k), 1),m), n), o), p) y q), la autoridad municipal
indica que ha instruido a un funcionario del departamento de sistemas, con la finalidad
que analice, corrija e implemente un criterio nico para la creacin de cuentas y las
claves de acceso, eliminando las cuentas genricas. Asimismo, para aquellos
funcionarios que utilizan ms de una aplicacin, se emplear un usuario nico,
estableciendo un procedimiento para solicitar la creacin y/o eliminacin de los
mismos.
Si bien los argumentos planteados por edil
resultan atendibles, procede mantener las observaciones, por cuanto no se acredita la
implementacin
de las mejoras anunciadas, en los sistemas administrativos
municipales.
2.- Control de cambios.
En los sistemas administrativos municipales
existe actualmente un mdulo de control de transacciones que registra movimientos
propios de cada una de las aplicaciones, como datos bsicos relativos a detalle de

REA AUDITORA 1
- 45fecha, usuario,
aplicacin.
accin
realizada,
observacin,
equipo
y versin en uso de la
De los cambios evaluados en los mdulos, se

pudo comprobar lo siguiente:
a) No existen aprobaciones formales para la asignacin y utilizacin de cuentas
con atributos de modificacin o eliminacin de datos en actividades propias de
la funcin.
b) El control de cambios que realiza el municipio en los sistemas no registra los
resultados de las mantenciones realizadas, salvo en algunos casos en que se
cuenta con el nmero de versin del mdulo en operacin. Por otra parte, se
verific que algunos sistemas no poseen identificador de versin actual y
anterior, a fin de realizar seguimiento a cambios e instalaciones. (Ver Anexo
N 12.7).
c) Dentro del proceso de control de cambios no existe de manera formal una
evaluacin del impacto potencial sobre el ambiente de TI, mdulos adicionales,
base de datos y controles.
Sobre el particular,
la autoridad
hace
presente que la encargada de tratar el tema es la empresa Cas-Chile S.A. debido a su
carcter tcnico, por lo que se ha solicitado a sta realizar un anlisis a fin de corregir
las observaciones planteadas por este Organismo de Control.
Analizados los argumentos presentados por
esa autoridad, se mantienen las observaciones planteadas, por cuanto no se aportan
antecedentes que acrediten las medidas adoptadas.
VII.-
SOBRE CUMPLIMIENTO DE DECRETOS.
Teniendo en cuenta la realidad del municipio,

no se llev a efecto la verificacin de cumplimiento de los decretos supremos Ns 81 y
83, ambos de 2004, del Ministerio Secretara General de la Presidencia, debido a que
no utiliza documento electrnico ni firma digital o digital avanzada. Por lo tanto, se
evalu el cumplimiento de los decretos supremos restantes, determinndose lo que en
cada caso se seala:
1.Decreto supremo N 77, de 2004, del Ministerio Secretara General de la
Presidencia: Regula de manera general y supletoria las comunicaciones entre
rganos del Estado y las de stos con las personas de aquellos mbitos no regulados
por esta norma.
a) Se declara por parte de la entidad, que las comunicaciones
realizadas no son sometidas a principios de legalidad, efectividad,
eficiencia, publicidad y transparencia.
"
1
I
b) Con respecto a la transmisin de comunicaciones entre rganos del

estado, el municipio indica que no se asegura disponibilidad y acceso
para su uso posterior, adems se menciona la inexistencia de
medidas tendientes a evitar accesos no autorizados.

REA AUDITORA 1
- 46c) El municipio no declara en l o en los sitios web de su institucin,

cules son los formatos utilizados para el envo, autenticacin y
acceso a informacin disponible.
d) La entidad no almacena las comunicaciones electrnicas mantenidas
con sus usuarios/beneficiarios, por un mnimo de 6 aos en el
repositorio.
e) La municipalidad no almacena en repositorios las respuestas
enviadas por un plazo de 60 das.
f) El municipio no adjunta los antecedentes para permitir la bsqueda y
recuperacin de la documentacin almacenada en los repositorios de
documentos electrnicos.
g) En el caso que se verifique una comunicacin electrnica a una
direccin de correo que no admita ser calificada como apta, al tenor
de lo sealado en el artculo 3, letra d) del decreto supremo ya
citado, por parte del municipio, no existe una normativa que regule el
procedimiento de respuesta al recurrente y remisin de los
antecedentes a la autoridad competente.
En su respuesta, la autoridad edilicia indica
que es efectivo que sus comunicaciones con otros rganos del Estado y con terceros,
no se han sometido a la normativa del citado decreto supremo, aunque los principios
de legalidad, eficiencia, publicidad y transparencia han sido respetados en su gestin;
y agrega que, al no cumplirse lo anterior, la comunicacin entre los rganos queda
limitada a una relacin directa entre funcionarios de ambos organismos.
Adicionalmente, indica que el sitio Web
municipal no tiene ingreso de informacin externa, por lo tanto, no se ha
implementado el formato de datos para ingresar informacin ni autenticacin. Agrega
que si bien la entidad no almacena sus comunicaciones electrnicas, se adoptarn
medidas rectificatorias respecto a la disponibilidad y almacenamiento de las
respuestas en los repositorios.
Por
otra
parte,
informa
comunicaciones electrnicas calificadas como no aptas, no se realizarn.
que
las
Al tenor de lo informado, y considerando de

que esa entidad municipal no adjunta antecedentes que respalden las medidas
adoptadas, procede mantener las observaciones.
2.Decreto supremo N 93, de 2006, del Ministerio Secretara General de la
Presidencia: Aprueba norma tcnica para la adopcin de medidas destinadas a
minimizar los efectos perjudiciales, de los mensajes electrnicos masivos, no
solicitados, recibidos en las casillas electrnicas de los rganos de la administracin
del Estado y de sus funcionarios.
a) El municipio no identifica ni evala los riesgos y costos
asociados a la recepcin de mensajes electrnicos masivos
no deseados.

REA AUDITORA 1
- 47b) El municipio no desarrolla, documenta ni difunde polticas de

uso, almacenamiento, acceso y distribucin de mensajes
electrnicos y de los sistemas informticos utilizados en su
procesamiento en documentacin formal.
c) La entidad no disea, documenta ni implanta procesos y
procedimientos necesarios para poner en prctica esas
polticas.
d) No se realiza monitoreo del cumplimiento de los
procedimientos establecidos, de manera de reducir los costos
asociados a la recepcin de mensajes electrnicos masivos
no deseados, que no guarden relacin con el mbito de
competencia del municipio.
e) No se ha efectuado capacitacin para
infraestructura de comunicaciones establecidas.
operar
la
f) El municipio no ha definido ni documentado los roles y

responsabilidades de las unidades organizacionales e
individuos involucrados.
g) No se han instalado los sistemas informticos adecuados
para la filtracin de mensajes electrnicos masivos no
deseados entrantes al servidor o servidores de correo.
h) No existe capacitacin para los usuarios del sistema
i) En la pgina Web no se ha ofrecido a los usuarios un punto
de contacto para comunicarse con el encargado de
informtica.
j)
No se coloca a disposicin de los usuarios condiciones

particulares de uso de correo electrnico, ni facilidades para
el filtrado que garantice un nivel de proteccin adecuado.
k) El municipio no ha implantado polticas para evitar que las

casillas electrnicas institucionales sean difundidas a travs
de su sitio Web.
1) El municipio no asegura el adecuado funcionamiento de las
herramientas de filtrado, puesto que no realiza mantenimiento
y monitoreo de las mismas al menos cada 6 meses.
m) El personal municipal no ha sido instruido con respecto al uso
exclusivo de las casillas institucionales para fines
profesionales.
Sobre esta materia, la entidad municipal, en
sntesis, seala que el software de que dispone esa entidad comunal, ms el que
controla las comunicaciones electrnicas, bajan considerablemente la tasa de correo
masivo no deseado, agregando, que se han dispuesto acciones de difusin para evitar
este tipo de correos.

REA AUDITORA 1
- 48Asimismo, en relacin a lo sealado en la

letra b), indica que instruir acerca de las polticas de uso, almacenamiento, acceso y
distribucin de mensajes electrnicos y de los sistemas informticos.
Respecto de las observaciones relacionadas
con las letras c), d), f), g), h), i), j), 1)Y m), el edil se limita a confirmarlas, indicando
que se adoptarn medidas al respecto, las que no se acreditan, por lo tanto, ellas se
mantienen.
En cuanto a lo observado en la letra e), sobre
capacitacin para operar la infraestructura de comunicaciones establecidas, el edil
seala que la mayor parte de los equipos de comunicacin son de propiedad de la
empresa que entrega los servicios de comunicacin, por lo tanto, la mantencin de la
infraestructura de comunicaciones establecidas es de su cargo, razn por la cual
procede levantar lo observado.
Por otra parte, en lo referido a que el
municipio no ha implantado polticas para evitar que las casillas electrnicas
institucionales sean difundidas a travs de su sitio web, esa entidad comunal indica
que por disposicin de la Ley de Transparencia y Acceso a la Informacin Pblica slo
aparecen publicados los correos de los directores en el sitio web del municipio, motivo
por el cual se da por subsanada la observacin
3.Decreto supremo N 100, de 2006, del Ministerio Secretara General de
la Presidencia: Establece caractersticas mnimas obligatorias que deben cumplir los
sitios Web de los rganos de la Administracin del Estado.
a) La entidad edilicia no desarrolla tareas que permitan implementar en
el sitio web las directrices principales de las normas internacionales
sobre accesibilidad para personas discapacitadas.
b) La unidad de informtica no realiza monitoreo del cumplimiento de
los procedimientos establecidos, de manera de reducir los costos
asociados a la recepcin de mensajes electrnicos masivos no
deseados, que no guarden relacin con el mbito de competencia del
municipio.
c) El administrador del sitio web no monitorea la actividad del mismo.
d) Se carece de plan de contingencia, en caso de no encontrarse el sitio
web a disposicin del pblico.
e) No se utiliza la codificacin de caracteres UTF-8.
f)
El municipio no ha realizado
herramientas de filtrado.
mantenimiento
ni monitoreo
a las
g) No existe una declaracin en trminos claros y precisos respecto al

tratamiento de datos personales desde el sitio web, condiciones y
garantas sobre confidencialidad del tratamiento de los datos
personales; derechos de los que dispone el usuario, en cuanto titular
de los datos, para su debido resguardo.
h) No son puestos a disposicin de los usuarios los programas, en caso
de archivos que requieran de programa de visualizacin especial.

REA AUDITORA 1
- 49Sobre esta materia, la entidad municipal, en

su respuesta, en sntesis, seala que para la letra a) no se encuentra en el servidor
del sitio web una base de datos, ni un programa para desarrollar ese tipo de formatos.
Por otra parte, para la letra b) seala que el
documento electrnico no se encuentra sancionado por decreto alcaldicio, por lo que
no existen procedimientos establecidos. En ambas situaciones la respuesta del
municipio no guarda relacin con lo planteado en el presente informe.
Respecto a lo planteado en las letras d), e),
f), g) y h), el jefe comunal no hace sino ratificar las observaciones formuladas, sin
aportar antecedentes que permitan acreditar la adopcin de medidas correctivas, por
consiguiente, se mantienen las observaciones formuladas.
En cuanto a la administracin del sitio web, la
autoridad informa que las visitas son monitoreadas a travs de Google Analytics, por
lo tanto, se levanta la observacin.
En relacin al cumplimiento del decreto
supremo ya citado, se realiz una revisin al sitio web municipal, detectndose las
siguientes situaciones:
1. No existe un contrato para diseo, desarrollo y mantenimiento
municipal.
del sitio web
2. El mantenimiento del sitio web municipal no se encuentra asignado al personal

del departamento de informtica municipal, sino al departamento de relaciones
pblicas.
3. En el sitio web municipal se detectaron links rotos que inhabilitan el acceso a
reas del sitio web, como la galera fotogrfica.
4. Adicionalmente, el sitio Web municipal no pone a disposicin de los usuarios,
los software de visualizacin de documentos como son Microsoft office, Adobe
reader y otros.
5. El registro de sesiones activas no se encuentra implantado,
determinar el origen de las consultas al sitio Web municipal.
con el fin de
6. Al no existir un registro de accesos al sitio Web no es posible medir la duracin

media de consulta al sitio Web.
7. Se realizaron pruebas con los principales Browser3 y se verific que con todos
ello es posible acceder a la navegacin sobre el sitio Web municipal.
8. El sitio Web municipal es accedido mayoritariamente a travs de referencias
desde sitios de bsquedas. Por lo anterior, resulta conveniente realizar difusin
del sitio Web municipal en los servidores, con el fin de mejorar las
coincidencias al momento de que los usuarios realicen la bsqueda.
9. De acuerdo al anlisis, se concluye que las consultas se centran en la pgina
principal, gua de trmites y noticias.
Browser,
es un programa que permite visualizar la informacin que contiene una pgina web.

REA AUDITORA 1
- 5010. El sitio Web municipal presenta un trfico medio, debido al uso de imgenes y
archivos multimedia; por lo que es necesario regular y mantener un equilibrio
entre el uso de los medios y las aplicaciones que el sitio Web pone a
disposicin de los usuarios.
11. El uso del sitio web es a nivel de consulta, puesto que no existen
transacciones, se produce mayoritariamente los primeros das de la semana y
va decreciendo; por ende, la disponibilidad debe ser resguardada. Al analizar
los horarios se pudo establecer que, mayoritariamente, los accesos son desde
las 11:00 horas hasta las 14:00 horas y desde las 15:00 horas hasta las 17:00
horas.
12. Consultado el registro de nombres de dominio NIC.CL, se detect que la
inscripcin de datos de tipo y descripcin de organizacin para el dominio web
del sitio institucional del municipio de Estacin Central es errneo. (Ver Anexo
N 15).
El Alcalde informa, en sntesis, que respecto

a los puntos 4, 5, 6 Y 8, se adoptarn medidas correctivas, sin adjuntar antecedentes
que permitan verificar la implementacin de las soluciones, razn por la cual se
mantienen las observaciones.
En cuanto, a los puntos 7, 9, 10 Y 11, la
autoridad municipal no se pronuncia, por lo que corresponde mantener las
observaciones formuladas.
Por otra parte, nuevas verificaciones
practicadas y en atencin a la documentacin aportada para las observaciones
planteadas en los puntos 1, 3 Y 12, permitieron establecer que las medidas correctivas
informadas por esa entidad comunal fueron ejecutadas, por lo que procede
levantarlas.
CONCLUSIONES.
Como resultado de la presente auditora es
posible concluir lo siguiente:
1.
Respecto al captulo 1, ambiente de TI,
sobre la estructura organizacional, diagrama de red y proyectos vigentes, el municipio
deber regularizar la situacin de los funcionarios contratados bajo el Cdigo del
Trabajo para desempearse en el Departamento de Educacin, y que prestan
servicios para el departamento de sistemas, dependiente de la Administracin
Municipal, as como especializar al personal del departamento y realizar evaluaciones
de su calificacin tcnica, y crear procedimientos informticos acerca del uso de los
recursos y reas de seguridad informtica e ingeniera de software.
~
Por otra parte, deber implantar sistemas de

seguridad contra intrusos, filtros de correo electrnico y certificar puntos de red,
I proporcionando informes de integridad de datos. (V. 2b; 2c; 2e; 3a y 3b).

REA AUDITORA 1
- 51 2.
Respecto a lo sealado en el Capitulo II
sobre control interno, procesos TI y el riesgo al fraude, esa entidad comunal deber
ponderar la contratacin de un profesional del rea informtica para el departamento
de sistemas, establecer polticas de uso de los recursos informticos, as como
normar el proceso de toma de decisiones en relacin a la inversin de equipamiento y
polticas a aplicar a nivel municipal; ponderar la aplicacin de una matriz de riesgo
para evaluar el control de acceso lgico, fsico y control de cambios en los mdulos de
sistemas, as como, establecer revisiones programadas y auditoras con un enfoque a
las TI en las plataformas de hardware y software. (V. 1a; 1b; 1c y 1d )
3.
En relacin a lo observado en el
captulo 111, revisin de contratos vigentes asociados a TI, el municipio deber adoptar
las medidas conducentes a contratar servicios que se relacionen directamente con el
desempeo de sus funciones pblicas, cuyo no es el caso de los servicios
suministrados por la empresa VTR Banda Ancha Chile S.A., por lo que se deber
poner trmino a esa relacin comercial.
Asimismo,
pagar
oportunamente
sus
obligaciones por los servicios informticos y de comunicaciones y analizar las
especificaciones tcnicas de adjudicacin de contratos y bienes de TI.
Por otra parte, se deber incorporar en
futuros contratos clusulas que regulen en detalle tiempos de operacin, polticas de
auditora interna y externa, cumplimiento de normativa gubernamental, uso y
administracin de datos municipales, para los servicios de mantenimiento de
programa, sistema de licencias de conducir y conexin de banda ancha municipal. (V.
1, 2, 3 Y 4).
La autoridad deber implementar las medidas
tendientes a solucionar las observaciones relativas a contratos por servicios de
sistema computacional que presentan continuas prrrogas o clusulas de renovacin
automtica, tanto respecto de los anteriores a la vigencia de la ley N 19.886, como
los posteriores que no satisfacen las condiciones exigidas en el artculo 12 del
reglamento respectivo, contenido en el decreto N 250 de 2004, de Hacienda,
convocando con la debida oportunidad una nueva licitacin.
Adems, esa autoridad deber exigir la
entrega de la boleta de garanta renovada por parte de la empresa Telefnica
Empresas Chile S.A.
4.
Con respecto al captulo IV, controles
generales asociados al entorno de TI, el municipio deber establecer procedimientos
de control sobre el perfilamiento de acceso para personal municipal, administracin de
las cuentas, desarrollar auditoras internas y externas a los sistemas de informacin
municipales, y evaluar generar una matriz de riesgo en relacin a procesos
informticos.
Por otra parte, deber implementar
un
procedimiento para la creacin de casillas institucionales, definir sus cuotas de
almacenamiento y uso, implantar directivas para perfilamiento de cuentas de acceso a
Internet con control de horario, crear procedimientos de control de stock mnimo de
componentes crticos y contemplar disponibilidad en bodega para almacenar
equipamiento informtico. Asimismo, deber disponer el uso de sellos de seguridad
para evitar desarme y extraccin de piezas por parte de los usuarios, crear una

REA AUDITORA 1
- 525.
Sobre las observaciones sealadas en
el Captulo IV, N 2, seguridad fsica, el municipio deber efectuar las modificaciones
que permitan validar aquella, en cuanto a certificacin de puntos de red, instalacin de
sellos de seguridad en rack de servidores, arreglos de control de acceso a la sala,
mtodo de acceso seguro al departamento de informtica, circuito cerrado de
televisin de monitoreo, canalizacin de cables de red y elctricos, mejora de UPS,
entre otros. (V. 2b, 2c, 2d, 2f, 2g, 2h, 2i, 2k, 21,2m, 2n, 20, 2q, 2r, 2t, 2u y 2v)
6.
En relacin con los N 3 Y 4 del mismo
Captulo, sobre procedimientos de respaldo y plan de recuperacin de desastres, el
municipio deber implementar un procedimiento formal de prueba de integridad y
equipos donde se realizarn los respaldos, as como definir un plan de recuperacin
de desastres y procedimientos de evaluacin de criticidad de operaciones, alcance,
tiempo de recuperacin, costos y grupo de contingencia, as como un plan alternativo.
(V. 3f Y 4c)
7.
Respecto al Captulo V, sobre recorrido
de controles generales asociados a TI, el municipio debe evaluar la criticidad de
operar con los sistemas administrativos municipales, considerando la existencia de
fallas en el modelo lgico, requerir a la empresa proveedora la modificacin del
mdulo de derechos de aseo, patentes comerciales, licencias de conducir, permisos
de circulacin, contabilidad gubernamental y tesorera municipal, adems de evaluar
incluir en futuros contratos una clusula sobre entrega de documentacin relativa a
diseo lgico de base de datos, en el caso fundado de revisin por parte de este
Organismo de Control. (V. 1.3.1, 1.3.2, 1.3.3, 1.3.5, 1.3.6, 1.3.7, 1.3.8 Y 1.3.9 (a))
8.
De acuerdo a lo sealado en el Captulo
VI, puntos 1 y 2, sobre aspectos relacionados con el control de acceso lgico y control
de cambios, la autoridad municipal deber implantar las medidas necesarias para
mejorar las observaciones all enunciadas, lo cual ser objeto de futuras validaciones
por parte de este Organismo de Control. (V. 1a al 1s, 2a, 2b y 2c)
9.
En relacin con el Captulo VII, se
debern adoptar las medidas necesarias para cumplir los decretos supremos del
Ministerio Secretara General de la Presidencia, relacionados con el ambiente TI.
10.- Finalmente,
la efectividad
de las
medidas enunciadas en el cuerpo del presente informe, tendientes a solucionar las
observaciones planteadas, ser comprobada en las prximas visitas que se realicen a
la entidad, conforme a las polticas de este Organismo de Control sobre seguimiento
de los programas de fiscalizacin.
Transcrbase
al
Alcalde
al
municipal de Estacin Central.
VIVIAN AVILA FI
EROA
JEFA AREA AUDITORIA
SUBOIVISIN AUDITORIA E INSPECCIN

DIVISION DE MUNICIPALIDADES
concejo
www.contraloria.cl

Informe Final 8 2010 Auditoria Sistemas Informaticos

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Informe Final 8 2010 Auditoria Sistemas Informaticos

Uploaded by

Copyright:

Available Formats

CONTRALORA GENERAL DE LA REPBLICA

REMITE INFORME FINAL QUE INDICA

Adjunto, srvase encontrar copia de Informe

informticos, efectuada en esa municipalidad.

FINAL QUE INDICA

N 8 de 2010, de esta Contralora General, con el fin de que, en la

primera sesin que celebre el concejo municipal, desde la fecha de su recepcin,

de ese rgano colegiado entregndole

Al respecto, Ud. deber acreditar ante esta

General, en su calidad de Secretario del concejo y ministro de fe, el

S~lda atentamente a Ud.

;' por Orden del Contralot G~eral

PRISCII.A JAf<A FUEN I ES

CONTRALORA GENERAL DE LA REPBLICA

INFORME FINAL N 8, DE 2010, SOBRE

generales de las tecnologas de la informacin (TI).

CONTRALORA GENERAL DE LA REPBLICA

Sistemas administrativos municipales.

Cumplimiento de los decretos supremos Ns 77, 81 Y 83, de 2004; y, Ns 93 y

En el contexto de los objetivos de la auditora,

El anlisis de las observaciones formuladas

CONTRALORA GENERAL DE LA REPBLICA

-31.- AMBIENTE TI ACTUAL DEL SERVICIO.

Pago de permiso de circulacin y emisin de certificado.

2.- Estructura organizacional.

del Tcnico en redes Administrador

CONTRALORA GENERAL DE LA REPBLICA

Respecto de lo anterior, cabe observar que el

En su respuesta, el edil indica que estima

CONTRALORA GENERAL DE LA REPBLICA

- 5municipio, desde el momento que el departamento de que se trata depende de la

CONTRALORA GENERAL DE LA REPBLICA

-6que haba aprobado su modificacin,

en julio de 2009, por lo que corresponde

e) El municipio no ha realizado evaluaciones

a) Procedimientos y servicIos orientados a

b) Adicionalmente, el mUniCipiO cuenta con

CONTRALORA GENERAL DE LA REPBLICA

Las Azucenas 316

Los Gladiolos 4805

Padre Vicente Irarrzabal1313

El diagrama del actual modelo de red del

siguientes proyectos vigentes:

A nivel municipal, y en conjunto con la empresa CAS-Chile S.A.,

CONTRALORA GENERAL DE LA REPBLICA

Pago de seguro obligatorio.

Respecto al sistema de control de documentos, suministrado por

Sobre lo anterior, la autoridad alcaldicia no

CAS-Chile S.A. inform que el sistema de asistencia

Enlace de datos y telefona.

cuenta con los siguientes

CONTRALORA GENERAL DE LA REPBLICA

El municipio, por medio del administrador municipal, suministr

De acuerdo a memorndum N 1501/015, de 21 de enero de

En relacin al memorndum anteriormente sealado, se

Segn memorndum N 1501/018, de 1 de febrero de 2010,

CONTRALORA GENERAL DE LA REPBLICA

-10 11.- SOBRE CONTROL INTERNO, PROCESOS TI Y EL RIESGO DE FRAUDE.

La autoridad no adjunta antecedentes que

b) En relacin con la toma de decisiones

CONTRALORA GENERAL DE LA REPBLICA

- 11 Respecto del estado del software, se ha

e) Emisin de decretos de pago sin registrar datos y/o sin comprobantes.

g) Emisin de cheque individual sin consultar datos en sistema de contabilidad