Índigo Energía e Industria No. 15 - digitalización en industria farmacéutica
Informe final n15 11 municipalidad de providencia sobre auditoria de tecnologia de informacion y comunicaciones - agosto 2011
1. r
CONTRALORÍA GENERAL DE LA REPÚBLICA
Informe Final
Municipalidad de
Providencia
Fecha : 19 de agosto de 2011
N° Informe : 15 /2011
2. CONTRALORÍA GENERAL DE LA REPÚBLICA
DIVISIÓN DE MUNICIPALIDADES
SUBDIVISIÓN DE AUDITORÍA E INSPECCIÓN
ÁREA AUDITORIA 1
PMET 16.050/2011 REMITE INFORME FINAL QUE INDICA
DMSAI N° 613/2011
REF 211.021/2011
SANTIAGO, 19.16011 0 052411
Adjunto, remito a Ud., copia de Informe
Final N° 15, de 2011, debidamente aprobado, sobre auditoría de Tecnologías de
Información y Comunicaciones efectuado en ese municipio.
Saluda atentamente a Ud.
POR ORDEN DEL CONTRALOR GENERAL
PRISCILA JARA FUENTES
ABOGADO
Jefe . División de Municipalidades
AL SEÑOR
ALCALDE DE LA
MUNICIPALIDAD DE PROVIDENCIA
PRESENTE /
3. CONTRALORÍA GENERAL DE LA REPÚBLICA
ODIVISIÓN DE MUNICIPALIDADES
SUBDIVISIÓN DE AUDITORÍA E INSPECCIÓN
ÁREA DE AUDITORÍA 1
PMET 16.050/2011 REMITE INFORME FINAL QUE INDICA
DMSAI 613/2011
REF 211.021/2011
SANTIAGO, 19. Á601 1 *052412
Adjunto, sírvase encontrar copia del
Informe Final N°15, de 2011, de esta Contraloría General, con el fin de que, en la
primera sesión que celebre el concejo municipal, desde la fecha de su recepción,
se sirva ponerlo en conocimiento de ese órgano colegiado entregándole copia del
mismo.
Al respecto, Ud. deberá acreditar ante
esta Contraloría General, en su calidad de secretario del concejo y ministro de fe,
el cumplimiento de este trámite dentro del plazo de diez días de efectuada esa
sesión.
Saluda atentamente a Ud.
MI ORDEN DEL CONTRALOR GENERAL
/PRISCILA JARA 'FUENTES
ABOGADO
Jefe División de Municipalidades
AL SEÑOR
SECRETARIO MUNICIPAL
PROVIDENCIA
PRESENTE
4. CONTRALORÍA GENERAL DE LA REPÚBLICA
DIVISIÓN DE MUNICIPALIDADES
SUBDIVISIÓN DE AUDITORÍA E INSPECCIÓN
ÁREA AUDITORÍA 1
PMET 16.050/2011 REMITE INFORME FINAL QUE INDICA
DMSAI N° 613/2011
REF 211.021/2011
SANTIAGO, 19. A601 I *052413
Adjunto, remito a Ud., copia de Informe
Final N' 15, de 2011, debidamente aprobado, sobre auditoría de Tecnologías de
Información y Comunicaciones efectuado en ese municipio.
Saluda atentamente a Ud.
/ POR ORDEN DEL CONTRALOR GENERAL
PRISCILA JARA FUENTES
AllOGADC.1
Jefe ,División do Municipalidades
AL SEÑOR
DIRECTOR DE CONTROL
MUNICIPALIDAD DE PROVIDENCIA
PRESENTE /
5. 6011A
CONTRALORÍA GENERAL DE LA REPÚBLICA
DIVISIÓN DE MUNICIPALIDADES
SUBDIVISIÓN DE AUDITORÍA E INSPECCIÓN
(MIL [
ÁREA AUDITORÍA 1
PMET N° 16.050/11 INFORME FINAL N° 15, DE 2011, SOBRE
DMSAI N° 613/11 AUDITORÍA DE TECNOLOGÍAS DE
REF N° 211.021/11 INFORMACIÓN Y COMUNICACIONES EN
LA MUNICIPALIDAD DE PROVIDENCIA .
SANTIAGO, 1 9 460, 2011
En cumplimiento del plan anual de
fiscalización para el año 2011 y de acuerdo con las facultades establecidas en la ley
N° 10.336, Orgánica de esta Institución, esta Contraloría General se constituyó en la
Municipalidad de Providencia, para efectuar una auditoría de tecnologías de
información y comunicaciones.
Objetivo
El objetivo del examen consistió en revisar y
evaluar aspectos relacionados con las políticas, normas, prácticas y procedimientos
de control relativos a los sistemas basados en las tecnologías de información y
comunicaciones (TIC), incluidas aquellas actividades de tipo manual o no
automatizadas, que se desarrollan en el entorno de tales sistemas.
Metodología
El trabajo se efectuó conforme a las normas y
procedimientos de control aceptados por este Organismo Fiscalizador e incluyó las
pruebas de validación respectivas, sin perjuicio de utilizar otros medios técnicos
estimados necesarios en las circunstancias.
Alcance
La revisión abarcó el período comprendido
entre enero y diciembre de 2010, circunscribiéndose a las siguientes áreas:
a) Controles generales de las tecnologías de la información (TI).
b) Controles de seguridad física.
c) Controles de procedimientos de respaldo.
d) Controles de recuperación de desastres.
e) Controles específicos asociados a las aplicaciones de procesos significativos.
A LA SEÑORA
JEFE DE LA DIVISIÓN DE MUNICIPALIDADES
PRESENTE
JPT
6. CONTRALORÍA GENERAL DE LA REPÚBLICA
DIVISIÓN DE MUNICIPALIDADES
SUBDIVISIÓN DE AUDITORÍA E INSPECCIÓN
ÁREA AUDITORÍA 1
-2-
f) Sistemas administrativos municipales
- Permisos de circulación.
- Tesorería municipal.
- Contabilidad gubernamental.
Patentes municipales.
g) Contratos vigentes.
- Act Ltda.
Servicios de mantención, soporte y programación para los sistemas
integrados.
- Acrotek Ltda.
Renovación de licencias de antivirus Kaspersky.
- Airh Software Ltda.
Soporte para las herramientas de gestión de recursos humanos.
- Global Crossing Chile S.A.
Servicio de hosting y housing.
- GTD Teleductos S.A.
Servicio de enlaces dedicados Internet para dependencias externas.
Servicio de enlaces dedicados Internet para dependencias externas, opción
B.
Servicio de Internet con administración gerenciala de seguridad.
- Ingelan Ltda.
Sistema turnomático con servicio de soporte para la atención de público.
- Insico S.A.
Soporte pago de permisos de circulación por Internet.
- Marketing Interactivo Global S.A.
Servicio de desarrollo y mantención del sitio Web Providencia.
- Marketing Relacional y Fidelización Ltda.
Desarrollo de software y base de datos integral Filemaker Pro, para la
gestión de la dirección de desarrollo comunitario.
- Orion 2000 Ltda.
Soporte mensual de servicio de correo electrónico.
Renta mensual de 810 cuentas de correo electrónico.
- Proexsi Ltda.
Sistema de inspección digital.
Servicio de soporte y mantención del sistema de información de Juzgados
de Policía Local.
Servicio de soporte sistema licencias de conducir.
- Sistemas Digitales Newtec Ltda.
Servicio de mantenciones preventivas y correctivas para racks de
comunicaciones.
- Sistemas Modulares de Computación Ltda.
Arriendo de sistemas administrativos municipales.
- Stuedemann S.A.
Servicio de impresión para la Municipalidad de Providencia.
Servicio de respaldo de archivos centralizados.
- Suministra S.A.
Renovación tecnológica de computadores.
Servicio de mesa de ayuda.
- Technosystems S.A.
Arriendo de equipos permisos circulación 2011.
- Tsensor Chile S.A.
Servicio de sensores de humedad y temperatura para datacenter municipal.
7. CONTRALORÍA GENERAL DE LA REPÚBLICA
DIVISIÓN DE MUNICIPALIDADES
SUBDIVISIÓN DE AUDITORÍA E INSPECCIÓN
ÁREA AUDITORÍA 1
-3-
h) Cumplimiento de los decretos supremos N°s 77, 81 y 83, de 2004; y, N°s 93 y
100, de 2006, del Ministerio Secretaría General de la Presidencia.
En el contexto de los objetivos de auditoría,
se evaluaron los temas relacionados con tecnologías de información en régimen
operativo y que tienen relación directa o indirecta con transacciones automatizadas de
los sistemas administrativos municipales.
En tal sentido, se efectuó un análisis de los
procedimientos municipales específicos y de la aplicación de controles, con la
finalidad de verificar que la seguridad implantada en los procesos brinde a las
transacciones de los sistemas un resguardo operacional apropiado, así como que
hayan sido debidamente autorizadas, validadas y procesadas, de forma correcta y
oportuna.
La información utilizada fue proporcionada
por el secretario comunal de planificación de la Municipalidad de Providencia y puesta
a disposición de esta Contraloría General, mediante oficio N° 1.447, con fecha 4 de
febrero de 2011.
Cabe señalar que, con carácter confidencial,
mediante oficio N° 31.539, de 18 de mayo de 2011, fue puesto en conocimiento de la
autoridad comunal el preinforme conteniendo las observaciones establecidas al
término de la visita, con la finalidad que formulara los alcances y precisiones que a su
juicio procedieran, cuya respuesta, contenida en oficio N° 4.661, de 17 de junio de
2011, recibida en forma extemporánea, ha sido igualmente analizada para la emisión
de presente informe.
El análisis de las observaciones formuladas
en el citado preinforme, en conjunto con los antecedentes aportados por la autoridad
edilicia en su respuesta, determinaron lo siguiente.
I.- AMBIENTE TI ACTUAL DEL SERVICIO
1.- Procesos significativos asociados a TI.
El municipio presenta los siguientes procesos
significativos:
a) Pago de permiso de circulación y emisión de certificado.
b) Pago y emisión de patente comercial.
c) Decretos de pago y remuneraciones.
d) Transacciones de ingresos.
2.- Estructura organizacional.
El departamento de computación e
informática de la Municipalidad de Providencia se encuentra en un nivel jerárquico
medio dentro de la estructura organizacional, dependiendo directamente del secretario
comunal de planificación, lo cual se grafica en el organigrama, anexo N° 1.
8. CONTRALORÍA GENERAL DE LA REPÚBLICA
DIVISIÓN DE MUNICIPALIDADES
SUBDIVISIÓN DE AUDITORÍA E INSPECCIÓN
ÁREA AUDITORÍA 1
-4-
Por su parte, la inexistencia de calificación
profesional acorde al área, por parte de la jefatura citada precedentemente, no permite
que se desarrolle una acabada y profunda evaluación para la toma de decisiones, que
implique mejorar los procesos informáticos municipales.
Sobre el particular corresponde mantener la
observación formulada, toda vez que esa autoridad no se pronuncia a su respecto.
El departamento ya señalado opera
prestando servicios de soporte de hardware, software y redes, encontrándose
conformado por ocho funcionarios municipales, desempeñándose uno de ellos como
jefe de dicha dependencia, contando, además, con tres profesionales, dos técnicos,
dos secretarias, y cuatro personas contratadas a honorarios dentro de los cuales se
encuentran tres profesionales y un técnico, el detalle se indica en cuadro adjunto.
Calificación
Técnica Dependencia
Nombre Cargo Calidad Jurídica
Profesional Jerárquica
Terreros Ingeniero Secretario
Jefe
Andrade Boris Planta Ejecución en Comunal de
Departamento
Rodolfo Informática Planificación
Jefe
Ingeniero
Villagrán Lazo Departamento
Profesional Contrata Ejecución en
Jessica Silvia de Computación
Informática
e Informática
Jefe
Acevedo Ingeniero
Departamento
Guzmán Profesional Contrata Ejecución en
de Computación
Marcos Sergio Informática
e Informática
Jefe
Ingeniero
Silva Villegas Departamento
Profesional Planta Ejecución en
Lorena Ivete de Computación
Informática
e Informática
Jefe
González Galán
Educación Departamento
Alejandra Secretaria Planta
Media de Computación
Daniela
e Informática
Técnico en Jefe
González Villa Programación Departamento
Técnico Planta
Carlos Alberto de de Computación
Computadores e Informática
Jefe
Araneda
Secretaria Educación Departamento
Herrera María Planta
Departamento Media de Computación
Alejandra
e Informática
Técnico en Jefe
Silva Villegas
Programación Departamento
Williams Técnico Contrata
de de Computación
Rolando
Computadores e Informática
Jefe
Ojeda Díaz Honorarios a Departamento
Profesional Sin información
Eduardo Andrés suma alzada de Computación
e Informática
9. CONTRALORÍA GENERAL DE LA REPÚBLICA
DIVISIÓN DE MUNICIPALIDADES
SUBDIVISIÓN DE AUDITORÍA E INSPECCIÓN
ÁREA AUDITORÍA 1
-5-
Calificación
Técnica Dependencia
Nombre Cargo Calidad Jurídica
Profesional Jerárquica
Jefe
Arriaza Lagos Honorarios a Departamento
Técnico Sin información
Víctor Manuel suma alzada de Computación
e Informática
Jefe
Arce Peña Juan Honorarios a Departamento
Profesional Sin información
Álvaro Romelio suma alzada de Computación
e Informática
Silva Jefe
Schürmann Honorarios a Departamento
Profesional Sin información
Carolina Amalia suma alzada de Computación
Marcia e Informática
Por otra parte, cabe hacer presente que no se
han realizado evaluaciones de calificación técnica profesional al personal que se
desempeña en la dependencia antes citada.
Sobre el particular corresponde mantener la
observación formulada, toda vez que esa autoridad en su respuesta no se pronuncia
sobre el particular.
Adicionalmente, el personal del departamento
de computación e informática municipal, durante el año 2010, participó en cursos
grupales de administración del correo corporativo Gmail y utilización de firma
electrónica. Asimismo, a nivel personal y dependiendo del perfil profesional, se ha
enviado a los funcionarios a diversos cursos, cuyo detalle es el siguiente:
Duración
Funcionario Curso Entidad acreditada
horas
Formación de auto-
evaluadores Internos en el Chilecalidad Sin
modelo de gestión de (Corto) información
excelencia
Jessica Villagrán Lazo
Formación de auditor interno
en sistemas integrados de
lcontec S.A. 24
gestión ISO 9001- ISO 14001
- OHSAS 18001.
Curso: "Actualización de
Lorena Silva Villegas conocimientos en compras y Inceduc 10
contrataciones públicas
Curso: tratamiento de
Alejandra González
acciones correctivas y Inceduc 8
Galán
preventivas
Curso: "Actualización de
Carlos González Villa conocimientos en compras y Inceduc 10
contrataciones públicas
Curso: Tratamiento de
Williams Silva Villegas acciones correctivas y Inceduc 8
preventivas
Curso: Implementadores
integrados en norma ISO QualitasGea
Eduardo Ojeda Díaz 10
9001:2008, ISO 14001:2004 Consultores
Y OHSAS 18001:2007
10. CONTRALORÍA GENERAL DE LA REPÚBLICA
DIVISIÓN DE MUNICIPALIDADES
SUBDIVISIÓN DE AUDITORÍA E INSPECCIÓN
ÁREA AUDITORÍA 1
-6-
3.- Diagrama de red.
La operación de las redes, software y
procedimientos para la gestión de equipos remotos, incluyendo los equipos en áreas
de usuarios, tiene como responsable al jefe del departamento de computación e
informática, con dependencia del secretario de planificación comunal, y las empresas
GTD Teleductos S.A., Newtec S.A., Marketing Relacional y Fidelización Ltda., Proexsi
Ltda., Insico S.A. y SMC Ltda.
De acuerdo a los antecedentes
proporcionados por el jefe del departamento de computación e informática, la
Municipalidad de Providencia cuenta actualmente con una red informática
estructurada por unidad, además de puntos de red certificados, anexo N° 2.
La entidad presenta deficiencias al no contar
con procedimientos y servicios establecidos orientados a resguardar la integridad de
los datos municipales. Lo anterior, debido a que el municipio no posee un plan de
recuperación ante desastres, formalizado y difundido, para cubrir cualquier
eventualidad, sin embargo, cuenta con procedimientos destinados a dar continuidad a
los servicios, que son de propiedad de las empresas proveedoras de éstos.
La autoridad comunal en su respuesta señala
que existe el procedimiento estructural N° 023, sobre formas y vías de proceder con el
contenido y definición de los servidores, el cual se encuentra formalizado mediante
decreto exento N° 2.010, de 27 de octubre de 2010, y que forma parte del sistema de
gestión ISO.
Al tenor de lo expuesto por esa autoridad y
los antecedentes que acompaña, se levanta la observación planteada.
El plan de contingencia debiera, como
mínimo, contar con la definición de equipos, procedimientos a realizar, plan
alternativo, evaluación de áreas críticas, difusión y prueba del plan formal a nivel
municipal.
Sobre el particular, la autoridad comunal en
su respuesta señala que. mediante licitación pública, ID 2490-7-L111, se realizó la
adquisición de servidores, con la finalidad de virtualizarlos, no obstante éstos no se
encuentran habilitados ni en operación.
Efectuada las verificaciones en el portal
Mercado Público, se observó que esa entidad procedió a realizar una adjudicación
múltiple de servidores para un entorno virtualizado y mejoramiento de procesos, por
un monto neto ascendente a US$ 17.342.-.
Al respecto, lo informado por la autoridad
municipal y la documentación de respaldo analizada, no permiten levantar la
observación expresada, debido a que el plan de contingencia no solamente incluye
mejoramiento en la plataforma de hardware sino en los procedimientos y equipos de
trabajo, respecto de los cuales no se informa.
Actualmente se utilizan, a título de plan de
recuperación ante desastres, los procedimientos administrados por la empresa Global
Crossing Chile S.A., los cuales contemplan uso de enlaces de comunicaciones
11. CONTRALORÍA GENERAL DE LA REPÚBLICA
DIVISIÓN DE MUNICIPALIDADES
SUBDIVISIÓN DE AUDITORÍA E INSPECCIÓN
ÁREA AUDITORÍA 1
-7-
redundantes, administración redundante de la energía eléctrica, servicio de backup
centralizado para base de datos y aplicaciones.
Los diagramas del modelo general de la red
del municipio, enlaces de Internet, y servidores activos, se presentan en el anexo
N° 2.
4.- Proyectos establecidos.
El secretario comunal de planificación,
mediante oficio N° 1.448, de 9 de febrero de 2011, informó sobre los proyectos
vigentes y sus estados de avance, en los siguientes términos:
a) En relación con el área de sistemas,
existen seis proyectos tendientes al mejoramiento del portal de pagos, auto-consulta y
licenciamiento. Asimismo, a nivel de infraestructura se estudia la factibilidad de
optimizar la toma y actualización del inventario físico de bienes informáticos. A
continuación el detalle:
Proyecto Área Financiamiento Estado
Definición de arquitectura de
Sistemas Municipal Estudio
sistemas
Mejoras al sistema
Sistemas Municipal Estudio
centralizado de pagos
Mejoras al Sistema Web de
Sistemas Municipal Estudio
Catastro
Mejoras al Sistema de Pago
Sistemas Municipal Estudio
de Partes
Sistema de autoconsulta
Sistemas Municipal Estudio
(kioscos de atención)
Mejoramiento toma de
Infraestructura Municipal Estudio
inventario equipos
Mejoramiento inventario de
Sistemas Municipal Estudio
licencias
En relación a los proyectos del área de
sistemas, la autoridad comunal en su respuesta manifiesta que el proyecto
denominado "Definición de Arquitectura de Sistemas", actualmente se encuentra en
etapa de planificado y no en estudio, como se señaló en el preinforme de
observaciones.
Sobre el particular, corresponde hacer
presente que los antecedentes detallados en el preinforme, sólo indican procesos de
mejoramiento, los cuales contienen información resultante de documentación oficial
remitida por ese municipio para el período en estudio. no considerándose como una
observación.
b) A nivel de infraestructura, se
encuentran en etapa de redacción de bases los proyectos asociados al fortalecimiento
de la red municipal, mejoramiento de la sala de servidores y el soporte ante
contingencias. A continuación el detalle:
12. CONTRALORÍA GENERAL DE LA REPÚBLICA
DIVISIÓN DE MUNICIPALIDADES
SUBDIVISIÓN DE AUDITORÍA E INSPECCIÓN
ÁREA AUDITORÍA 1
-8-
Proyecto Área Financiamiento Estado
Cableado estructurado Redacción de
Infraestructura Municipal
bases
Mejoramiento sala de Redacción de
Infraestructura Municipal
servidores bases
Servicio plataforma de
Redacción de
comunicaciones c/soporte y Infraestructura Municipal
bases
monitoreo
Soporte sistema de UPS sala Redacción de
Infraestructura Municipal
servidores bases
Soporte sistema documental, Redacción de
Sistemas Municipal
firma electrónica bases
Respecto a los proyectos de sistemas, la
autoridad municipal en su respuesta señala que el proyecto "Soporte Sistema
Documental, Firma Electrónica", posee estado del tipo "Propuesta".
Al respecto, se reitera que no todo el
contenido del presente informe constituye materia de observación.
c) Algunos proyectos de sistemas se
encuentran en etapas de licitación, adjudicación o desarrollo, los cuales se presentan
a continuación:
Proyecto Área Financiamiento Estado
Plataforma tecnológica Sistemas Municipal En licitación
Soporte archivo histórico Sistemas Municipal Adjudicado
Instalación y puesta en
Sistemas Municipal Adjudicado
marcha (2 sistemas)
Mensualidad Sistemas Municipal Adjudicado
Sistema de requerimientos Sistemas Municipal En desarrollo
Desarrollo banco municipal de
Sistemas Municipal En desarrollo
proyectos
En relación a los proyectos definidos como de
sistemas, la autoridad municipal expone que para el proyecto de Soporte Archivo
Histórico, su estado actual es tipo propuesta, ya que se procedió a su licitación, ID
2490-4-LE11, resultando desierta y en preparación de un nuevo llamado.
Por otra parte, los proyectos cuyos nombres
son "Instalación y Puesta en Marcha (2 sistemas)" y "Mensualidad", corresponden a
uno solo, cuyo nombre es "Sistema de Atención de Público", según indica la autoridad
municipal.
Sobre lo expuesto precedentemente, se
reitera que los proyectos detallados sólo se mencionan en cuatro procesos de
mejoramiento y agrupan datos de documentación oficial remitida por ese municipio en
el periodo bajo examen, no constituyendo una observación.
13. CONTRALORÍA GENERAL DE LA REPÚBLICA
DIVISIÓN DE MUNICIPALIDADES
SUBDIVISIÓN DE AUDITORIA E INSPECCIÓN
ÁREA AUDITORIA 1
-9-
4.1.-Tecnología incorporada.
a) Sistema Online.
El sistema de firma digital tiene por finalidad
emitir certificados catalogados como documento público, usando la modalidad de
firma digital avanzada. Los certificados a emitir son:
- Certificado de Capital Propio, Departamento de Rentas.
- Certificado de Número, Departamento de Catastro e Inspección.
- Certificado de Expropiación, Departamento de Catastro e Inspección.
- Certificado de línea, Departamento de Catastro e Inspección.
- Boletín de Permisos de Circulación (Pago por Internet), Departamento
de Permisos de Circulación.
En la actualidad existe un proceso de
intercambio de información entre los sistemas que administran los datos, a saber,
sistemas de rentas, catastro, tesorería, recursos humanos y el sistema que firma los
documentos y posteriormente los visualiza en formato PDF o HTML.
Por otra parte, desde marzo de 2010, el
sistema contiene una interfaz para el sistema de permisos de circulación, que se
encuentra en un equipo del Datacenter con un token y una aplicación que revisa
documentos pendientes por firmar. Una vez firmados, la aplicación almacena los
documentos en el repositorio central. El proceso de firma se realiza con certificados
X509 de entidades acreditadoras para firma avanzada, los cuales se encuentran
almacenados en el token, asimismo, el método de firma es RSA con SHA1.
b) Infraestructura tecnológica.
• Redes
Se cuenta con una red basada en gateway,
firewall y switch, que posee un enlace redundante a Internet de 100 Mbps Nacional y
10 Mbps Internacional, un enlace simple de 100 Mbps a la red backup y 8 conexiones
por medio de switches para soportar la red interna municipal.
Adicionalmente, existe una red perimetral
asociada a un firewall que soporta los sistemas de la dirección de desarrollo
comunitario, aplicaciones Web y el servicio CGI de Transbank. Por otra parte, existen
servidores virtualizados tanto en el datacenter municipal para los servicios de
monitoreo, alertas y escaneo de impresoras, como en el datacenter de Global
Crossing que presta el servicio de Hosting por medio de servidores orientados a
servicios de motor de base de datos SQL y Oracle, servidor de aplicaciones, servidor
de archivo, servidor web, controlador de dominio, software de gestión de bibliotecas
municipales, portal web municipal y de pagos de permiso de circulación. Anexo
N° 2.
A nivel del departamento de computación e
informática, se encuentran definidas mantenciones preventivas de redes, las cuales
fueron desarrolladas en el período 2010, a través de actividades como cambio de
patchcable, limpieza y ordenamiento de componentes del rack, cambio de
14. CONTRALORÍA GENERAL DE LA REPÚBLICA
DIVISIÓN DE MUNICIPALIDADES
SUBDIVISIÓN DE AUDITORÍA E INSPECCIÓN
ÁREA AUDITORÍA 1
-10-
ventiladores, limpieza de gabinetes de fibra óptica, fijación de patch paneis y revisión
de conexiones, cambio de chapas en puertas de rack tipo armario, actualización de
formulario de racks de comunicaciones y levantamiento en planos de puntos de red.
• Enlace de comunicaciones:
El detalle de los enlaces de comunicaciones
de la Municipalidad de Providencia, se contiene en anexo N° 3.
• Servidores por función:
El detalle de los servidores de la
Municipalidad de Providencia, se incluye en anexo N° 4.
c) Mantenimiento.
Mediante oficio N° 1.828, de 8 de marzo de
2011, emitido por el secretario comunal de planificación, éste informó sobre las
medidas de mantenimiento del equipamiento de la sala de servidores, cuyo detalle es
el siguiente:
Respecto de las mantenciones eléctricas del
equipamiento alojado en sala de servidores municipal, se cuenta con dos programas,
uno de mantención preventiva al equipamiento de comunicaciones y otro adicional, de
mantención preventiva de servidores.
Actualmente, en la mantención de
equipamiento de comunicaciones, se incluyen las actividades indicadas en la letra b),
precedente, sobre infraestructura tecnológica, sección redes.
Por otra parte, la mantención de servidores
incluye limpieza de filtros, ventiladores, tarjetas electrónicas y contactos eléctricos de
módulos de memorias, fuentes de poder, mantención externa y de software en
operación.
De la misma forma, se cuenta con
procedimientos de mantención de grupo electrógeno, los cuales se efectúan dos
veces al año y bajo la supervisión de la sección de servicios generales. Lo anterior, a
fin de asegurar la continuidad del suministro de electricidad que se ofrece a la sala de
servidores y al municipio en general. A su turno, las UPS que actualmente se
encuentran alojadas en la sala de servidores municipal no cuentan con mantenimiento
y se encuentran sin operar.
Al respecto, el alcalde en su respuesta señala
que, las UPS de la sala de servidores se encuentran actualmente operativas pero no
cuentan con mantención, por lo que se planea retirarlas, a fin de darlas de baja y en
forma conjunta adquirir nuevo equipamiento, mediante licitación pública ID 2490-8-
LE11, para la adquisición de dos UPS de 10 KVA cada una, con dos mantenciones
anuales.
Al tenor de lo expuesto por esa autoridad, las
validaciones efectuadas y los antecedentes que acompaña, se levanta la observación
planteada.
15. CONTRALORÍA GENERAL DE LA REPÚBLICA
DIVISIÓN DE MUNICIPALIDADES
SUBDIVISIÓN DE AUDITORÍA E INSPECCIÓN
ÁREA AUDITORÍA 1
- 11 -
II.- SOBRE CONTROL INTERNO, PROCESOS TI Y EL RIESGO DE FRAUDE
1.- Control interno.
a) Mediante decreto alcaldicio N° 386, de 28
de febrero de 2008, se fijó el texto refundido y sistematizado del reglamento interno de
la Municipalidad de Providencia.
El reglamento señalado, en su título II,
artículos 38 y 39. indica la dependencia, objetivos y funciones del departamento de
computación e informática, relacionadas con el apoyo a la gestión municipal en el
ámbito informático y computacional, incorporando los elementos de software,
hardware y de comunicaciones necesarias, las que se encuentran detalladas en
anexo N' 5.
b) En relación con la toma de decisiones
respecto de las políticas de sistemas e inversión de equipamiento, ésta no se lleva a
cabo por personal capacitado en informática.
Al respecto, el alcalde señala que las
decisiones son tomadas por personal del departamento de computación e informática
con conocimientos y capacidades, los cuales evalúan y estudian alternativas acordes
a las necesidades.
Sobre el particular, corresponde hacer
presente que el proceso no solamente se relaciona con la entrega de información
especializada, sino que con la elección y decisión final, la cual no se efectúa
solamente por el jefe del departamento de computación e informática, sino por el
secretario de planificación comunal, por lo que se mantiene la observación inicial.
c) Por otra parte, dentro del departamento de
computación e informática no se manejan matrices de control, que consideren el
análisis de acceso físico a instalaciones y lógico de los sistemas.
La autoridad municipal, en su respuesta
corrobora lo observado, manifestando que se evaluará, de acuerdo al presupuesto, su
ejecución y/o implementación. Al respecto, contar con tales matrices constituye una
recomendación de control y no propiamente una observación.
d) No se han practicado revisiones
programadas y auditorías internas con un enfoque a las TI, lo que provoca la ausencia
de informes sobre el estado de la plataforma de hardware y software, revelando la
falta de planificación que actualmente mantiene ese departamento en esta área de
operación.
En relación a lo observado, el alcalde informa
que, se evaluará, conforme disponibilidad de presupuesto, efectuar a lo menos cada
dos años auditorías sobre el estado de la plataforma de hardware y software.
No obstante, no se acompañan antecedentes
que respalden la medida informada, por lo que procede mantener la observación.
Además, no existen políticas de rotación de
equipos de acuerdo a su potencialidad y carga de procesos informáticos, asimismo,
no se realiza una evaluación relacionada con la criticidad de éstos, con el fin de
asegurar su funcionamiento continuo.
16. CONTRALORÍA GENERAL DE LA REPÚBLICA
DIVISIÓN DE MUNICIPALIDADES
SUBDIVISIÓN DE AUDITORÍA E INSPECCIÓN
ÁREA AUDITORÍA 1
-12-
Al respecto, el alcalde señala que en el año
2008, el departamento de computación e informática definió, previo a la licitación
"Renovación Tecnológica de computadores, servicio de mesa de ayuda y respaldo de
información de usuarios para la Municipalidad de Providencia", tres tipos de
computadores para asociar por carga de trabajo y criticidad.
La situación precedentemente expuesta, si
bien corresponde a una definición respecto a inversión en equipamiento, no es un
procedimiento permanente para balancear la carga de procesos, por lo que no es
posible salvar la objeción formulada.
2.- Riesgos asociados a TI.
El municipio presenta procesos significativos,
los cuales fueron considerados para su evaluación, en relación a las siguientes
situaciones de prueba:
a) Obtención y/o renovación de permiso de circulación sin ingreso y/o
acreditación física y online de datos sobre propietario, placa patente única,
seguro obligatorio, revisión técnica y multas impagas.
b) Obtención y/o renovación de patente municipal sin ingreso y/o acreditación
de datos de contribuyente, propiedad, sucursales y datos del Servicio de
Impuestos Internos.
c) Emisión de decretos de pago sin registrar datos y/o sin comprobantes.
d) Decretos de pago imputados a cuentas presupuestarias que no
corresponden.
e) Duplicidad de pago de derechos de aseo por pago de contribuyentes a
través del sistema de patentes comerciales.
f) Emisión de cheque individual sin consultar datos en sistema de contabilidad
gubernamental.
g) Recepción de pagos con cálculo de intereses y multas fuera del período.
Al respecto, el alcalde en su respuesta hace
un análisis de cada uno de los riesgos de prueba, exponiendo los controles que el
municipio contempla para aminorar la ocurrencia de anomalías en el funcionamiento
de los sistemas, en cada uno de ellos.
Sobre el particular, es necesario hacer
presente que los antecedentes detallados en el preinforme, sólo corresponden a la
enunciación de los riesgos genéricos sobre los cuales se realizan las pruebas de
auditoría y no necesariamente corresponden a observaciones que hayan sido
advertidas en el municipio en forma preliminar, por lo que no corresponde informar
sobre los literales del presente numeral.
III.- REVISIÓN DE CONTRATOS VIGENTES ASOCIADOS A TI
De la totalidad de los contratos suscritos por
la Municipalidad de Providencia en el ámbito de TI, se determinó una muestra usando
17. CONTRALORÍA GENERAL DE LA REPÚBLICA
DIVISIÓN DE MUNICIPALIDADES
SUBDIVISIÓN DE AUDITORÍA E INSPECCIÓN
ÁREA AUDITORÍA 1
-13-
muestreo analítico y aleatorio simple, con un nivel de confianza del 95% y una tasa de
error de 3%, parámetros estadísticos aprobados por esta Entidad Fiscalizadora, el que
determinó respecto de los egresos municipales, una muestra de $ 675.540.093.-, lo
que representa el 53,67% del universo, equivalente a $ 1.258.692.180.-.
En relación con lo anterior, los contratos en
estudio son los operados por las empresas Act S.A., Global Crossing S.A., Marketing
Relacional y Fidelización Ltda., Orion 2000 S.A., Suministra S.A. y Sistemas
Computacionales Modulares Ltda.
Tales contratos, en el período en examen,
están normados técnicamente y en funcionamiento, realizándose análisis y pruebas
de validación de integridad de datos a registros de procesos críticos, evaluación de
disponibilidad, tiempos de respuesta y reportes de salida.
En cuanto a los aspectos administrativos, es
necesario señalar lo siguiente:
1.- Importaciones y Servicios Advanced Computing Technologies S.A., Act S.A.
Mediante decreto alcaldicio EX N° 234, de 30
de enero de 2009, se adjudicó a la empresa Importaciones y Servicios Advanced
Computing Technologies S.A., por medio de licitación pública, ID N° 2490-11037-
LP08, el contrato denominado "Servicios de mantención, soporte y programación para
los sistemas integrados de la Municipalidad de Providencia", siendo su tarificación la
indicada en los cuadros adjuntos, de acuerdo a los tres servicios contratados.
Valor
Servicio Detalle
mensual IVA incluido
N° 1 Mantención y soporte. 3.969.975
Valor
Servicio Detalle
Anual IVA Incluido
N° 2 Configuración servidor de
base de datos para permisos 4.869.048
de circulación.
18. CONTRALORÍA GENERAL DE LA REPÚBLICA
DIVISIÓN DE MUNICIPALIDADES
SUBDIVISIÓN DE AUDITORÍA E INSPECCIÓN
ÁREA AUDITORÍA 1
-14-
Valor precios unitarios
Servicio Detalle
$
N° 3 Valor hora programación en
plataforma de desarrollo 23.294
cliente/servidor.
Valor hora de programación
en plataforma de desarrollo 23.294
web.
Valor hora de Ingeniero
23.294
Analista de Sistema.
Valor hora Administrador de
Base de Datos Oracle 9i, SQL 31.059
Server.
Valor mensual de
programación en plataforma 1.760.000
de desarrollo cliente/servidor.
Valor mensual de
programación en plataforma 1.760.000
de desarrollo Web.
Valor mensual de Ingeniero
1.760.000
Analista de Sistema.
Valor mensual de
Administrador de Base de 2.484.706
Datos Oracle 9i, SQL Server.
Por otra parte, a continuación se presentan
los sistemas que hacen uso de los servicios ya señalados:
• Tesorería
• Catastro e inspección
• Catastro Web
• Permisos de circulación
• Permisos de circulación por Internet
• Patentes municipales
• Inspección rentas
• Declaración de capital por Internet
• Edificación
• Módulo de recaudación de pagos Web
• Permisos de construcción
El contrato tiene una vigencia de 48 meses,
período que podría renovarse dos veces hasta por un máximo de 12 meses cada una,
si ninguna de las partes manifiesta a la otra su intención de ponerle término por escrito
con a lo menos 60 días de anticipación a la fecha de término del contrato o de la
prórroga que se encuentre vigente, con las formalidades que indica.
El plazo de duración del servicio se cuenta
desde la entrega de los sistemas, de los cuales se levanta un acta, suscrita por la
empresa contratista, el inspector técnico de servicio y el secretario comunal de
planificación.
La empresa, según contrato, debía hacer
entrega de una garantía a nombre de la Municipalidad de Providencia por un monto
equivalente a dos mensualidades correspondientes al valor total mensual del servicio
de mantención y soporte, la que se reajustará anualmente de acuerdo a la variación
del IPC, con una vigencia igual a la del contrato más 60 días desde la recepción
19. 604"
CONTRALORÍA GENERAL DE LA REPÚBLICA
DIVISIÓN DE MUNICIPALIDADES
SUBDIVISIÓN DE AUDITORÍA E INSPECCIÓN
n
(
ÁREA AUDITORÍA 1
- 15 -
provisoria del servicio, documento que no fue puesto a disposición de esta Entidad de
Control.
Sobre lo anterior, la autoridad comunal en su
respuesta adjunta la boleta de garantía N° 6.495, del Banco Rabobank, por un monto
de UF 200, con una vigencia hasta el 1 de mayo de 2014.
Examinados los nuevos antecedentes
proporcionados por ese municipio, corresponde levantar la observación formulada.
Para el período bajo examen, de acuerdo a lo
informado por esa entidad comunal, los desembolsos registrados en el sistema
contable ascendieron a la suma de $ 101.683.367.-, acreditándose $ 67.857.850.-, de
acuerdo con los antecedentes de respaldo aportados en la auditoría, el detalle de los
decretos de pago se indica en anexo N° 6.1.
Sobre lo anterior, el alcalde manifiesta que,
la diferencia informada se produce por el cambio de año, cuando las últimas
mensualidades se cargan a la cuenta "obligaciones pendientes años anteriores",
adjuntando para ello fotocopia de los documentos de respaldo faltantes.
De acuerdo a los nuevos antecedentes
puestos a disposición, y analizados los argumentos esgrimidos por la autoridad se da
por superada la observación formulada.
En relación al contrato, no se consideran
cláusulas sobre operaciones orientadas a:
• Confidencialidad de la información municipal.
• Controles para asegurar la protección de la información, su respaldo y
administración contra software malicioso y third party software.
• Restricciones de copiado y divulgación de información municipal.
• Plan de contingencias para accesos indebidos, siniestros físicos y lógicos.
• Posibilidad de auditar módulos del sistema administrativo municipal y los datos.
• Devolución o destrucción de la información y bienes, amparado por las
regulaciones legales y término de la relación contractual.
• Asesoría técnica a proporcionar por los sistemas administrativos.
• Especificaciones de los detalles técnicos por servicios entregados.
• Disposiciones para informar, notificar e investigar los incidentes y las
violaciones a la seguridad a través del sitio Web.
• Cumplimiento de normativa gubernamental respecto a publicación, uso y
administración de la información municipal.
La autoridad municipal en su respuesta
informa que, respecto a la confidencialidad de la información municipal se encuentra
descrita en la letra p), de las bases técnicas.
En relación con los controles para asegurar la
protección de la información, respaldo y administración contra software malicioso de
información municipal, el alcalde indica que en el contrato se encuentran delegadas
las funciones por ser un servicio externo, encontrándose el detalle en las bases
técnicas.
20. CONTRALORÍA GENERAL DE LA REPÚBLICA
DIVISIÓN DE MUNICIPALIDADES
SUBDIVISIÓN DE AUDITORÍA E INSPECCIÓN
ÁREA AUDITORÍA 1
-16-
En cuanto a las restricciones de copiado,
divulgación de información y especificaciones de los detalles técnicos por servicios
entregados, también se encuentran descritas en las bases técnicas.
Sobre las restantes consideraciones, el
alcalde expone que serán contempladas en futuras licitaciones.
En base a lo expuesto precedentemente,
junto con la documentación de respaldo y el análisis realizado, corresponde levantar
las observaciones referidas a la confidencialidad de la información municipal;
controles para asegurar la protección de la información, respaldo y administración
contra software malicioso de información municipal, restricciones de copiado,
divulgación de información y especificaciones de los detalles técnicos por servicios
entregados. Respecto de las restantes consideraciones, ellas se mantienen debido a
que no se encuentran respaldadas.
2.- Global Crossing Chile S.A.
Mediante decreto alcaldicio EX N° 2.701, de
28 de diciembre de 2009, se adjudicó a la empresa Global Crossing Chile S.A.,
mediante licitación pública ID N° 2490-46-LP09, el "Servicio de Hosting y Housing
para la Municipalidad de Providencia", con una vigencia por 4 años, período que
podría renovarse por dos veces hasta por un máximo de un año cada uno, si ninguna
de las partes manifiesta a la otra su intención de ponerle término mediante carta
certificada enviada con a lo menos 90 días de anticipación a la fecha de término del
contrato.
Asimismo, el contrato contempla que, en el
evento que el monto acumulado de las multas supere el 25% del valor del contrato, el
municipio podrá poner término al contrato y hacer efectivas las garantías
correspondientes.
Los servicios adjudicados se encuentran
tarificados de acuerdo a los cuadros siguientes:
21. CONTRALORÍA GENERAL DE LA REPÚBLICA
DIVISIÓN DE MUNICIPALIDADES
SUBDIVISIÓN DE AUDITORÍA E INSPECCIÓN
ÁREA AUDITORÍA 1
-17-
Servicio de Hosting y Housing mensual.
Valor mensual
Servicio Detalle
UF con IVA
Hosting para servidores web - Arquitectura física, 172,55
—B alojamiento, administración,
monitoreo y accesos.
- Enlace Internet 100 Mbps / 3 17,85
Mbps nacional.
- Enlace dedicado de datos 21,42
100 Mbps.
- Firewall. 15,47
Hosting para servidores web - Licencias Windows. 18,56
—B - Licencias SQL Server. 10,76
- Licencias Nodos 6,87
Virtualizados.
- Licencias Antivirus. 2,95
Hosting para servidores de - Arquitectura física, 220,15
dominio y base de datos alojamiento, administración,
—D monitoreo y accesos.
- Enlaces redundantes 45,22
dedicados de datos 100
Mbps.
- Firewall. 15,47
Hosting para servidores de - Licencias Windows. 18,56
dominio y base de datos - Licencias SQL Server. 10,76
—D - Licencias Nodos 8,59
Virtualizados.
- Licencias Antivirus. 4,17
Servicio de Habilitación.
Valor total
Servicio Detalle
UF con IVA
Habilitación de servicio de - Migración de servicios web y 238,00
Hosting para servidores Web puesta en marcha.
-A
Habilitación de servicio de - Migración de servicios web y 238,00
Hosting para servidores de puesta en marcha.
dominio y base de datos
-C
Para el fiel cumplimiento de la ejecución de
los servicios, la empresa citada hizo entrega de la boleta de garantía N° 0095682, por
138,04 UF, del Banco Scotiabank, con vencimiento al 30 de abril de 2012, sin
embargo, la garantía no cubre la totalidad del período definido en el contrato, que se
extiende hasta el 28 de diciembre de 2013.
Sobre el particular, el alcalde en su respuesta
señala que la boleta citada corresponde a un aumento de servicio, la cual se suma a
la original de la adjudicación, por lo que, ambas boletas corresponden al valor de 2
veces la mensualidad adjudicada o aumentada, y cuyo detalle corresponde, por una
parte, a la adjudicación del contrato N° 7/2010, con decreto Ex. N° 2.701, de 28 de
diciembre de 2009, póliza de seguro de garantía N° 22002721, corredor de seguros
Marsh S.A., por UF 1.178,74.-, con vigencia hasta 1 de abril de 2014.
22. CONTRALORÍA GENERAL DE LA REPÚBLICA
DIVISIÓN DE MUNICIPALIDADES
SUBDIVISIÓN DE AUDITORÍA E INSPECCIÓN
ÁREA AUDITORÍA 1
-18-
Seguidamente señala que, respecto al
aumento del servicio, mediante decreto Ex. N° 2.147, de 15 de noviembre de 2010,
para el contrato N° 141/2010, sobre hosting y housing para el municipio, la boleta de
garantía se encuentra vigente, sin embargo no tiene la cobertura requerida en el
referido contrato, por lo que se solicitará a la empresa su reemplazo.
Examinados los nuevos antecedentes
proporcionados por ese municipio, se mantiene la observación planteada inicialmente,
dado que no existe documentación de respaldo que acredite la ampliación en la
vigencia de la boleta antes citada.
Durante el período en estudio, el municipio ha
desembolsado la suma de $ 158.743.950.-, el detalle se señala en anexo N° 6.2.
En relación al contrato en comento, no se
consideran cláusulas sobre operaciones orientadas a:
• Plan de contingencia en caso de desastres y/o pérdidas de las comunicaciones.
• Fechas de facturación de los servicios.
• Asesoría técnica a proporcionar.
• Confidencialidad de la información municipal.
• Controles para asegurar la protección de la información, su respaldo y
administración contra software malicioso y third party software.
• Restricciones de copiado y divulgación de información municipal.
• Devolución o destrucción de la información y bienes, amparado por las
regulaciones legales y término de la relación contractual.
• Especificaciones de los detalles técnicos por servicios entregados
En relación a lo señalado precedentemente,
la autoridad municipal indica que aquellas relativas al plan de contingencia, asesoría
técnica a proporcionar, controles para asegurar la protección de la información,
respaldo, administración contra software malicioso de información y especificaciones
de los detalles técnicos por servicios entregados, se encuentran descritas en las
bases técnicas, en donde se indican aspectos generales.
Por otra parte, sobre las fechas de
facturación de los servicios, el edil manifiesta que se describen en las bases
administrativas.
Considerando lo expuesto por la autoridad
comunal, conjuntamente con la documentación de respaldo, corresponde levantar las
observaciones indicadas.
Sobre las restantes consideraciones, el edil
expone que serán contempladas en futuras licitaciones, por lo tanto, procede
mantenerlas.
3.- Marketing Relacional y Fidelización Ltda.
Mediante decreto alcaldicio EX N° 868, de 22
de abril de 2010, se adjudicó a la empresa Marketing Relacional y Fidelización Ltda.,
por medio de licitación pública, ID N° 2490-6-LP10, el "Desarrollo de software y base
de datos integral Filemaker Pro para la gestión de la dirección de desarrollo
comunitario de la Municipalidad de Providencia", siendo su tarificación la indicada en
el cuadro adjunto, de acuerdo a los servicios entregados:
23. CONTRALORÍA GENERAL DE LA REPÚBLICA
DIVISIÓN DE MUNICIPALIDADES
SUBDIVISIÓN DE AUDITORÍA E INSPECCIÓN
ÁREA AUDITORÍA 1
-19-
Valor
Servicio Detalle
UF con IVA
- Adquisición de Servidor 159,00
N° 1 - Puesta en Marcha del
Sistema 6,60 (Mensual)
- Adquisición de Licencias 1 150,00
N° 2 Server
- 50 Licencias Filemarker 450,00
Implementación, Desarrollo y
N° 3 4.912,00
Capacitación
N° 4 Mantención 112,00 (Mensual)
El contrato tiene una vigencia de 36 meses,
renovable por única vez hasta por un máximo de 12 meses respecto al servicio N° 4,
sobre mantenimiento, si ninguna de las partes manifiesta a la otra su intención de
ponerle fin mediante carta a lo menos con 60 días de anticipación a la fecha de
término de contrato.
El plazo de duración del servicio se cuenta
desde la fecha de entrega en terreno, suscrita por la empresa y la inspección técnica
del servicio, siendo el plazo de entrega del servicio N° 1 de 40 días corridos; del
servicio N° 2, de 20 días corridos y; del servicio N° 3, clasificado por departamentos
en meses.
La empresa hizo entrega de las boletas de
garantías a nombre de la Municipalidad de Providencia, diferenciando cada una de
ellas de acuerdo al servicio a implantar y en porcentajes equivalentes en el caso de
los servicios N°s. 1, 2 y 3, de 5% del monto del contrato en ese segmento, ampliando
su duración en 60 días por sobre la vigencia del mismo. Por otra parte, para el servicio
N° 4, se estableció un monto del 5% del valor de dos mensualidades promedio,
ampliando la vigencia hasta el término del contrato, más 60 días.
El detalle de las boletas por cada uno de los
servicios es el siguiente:
- Boleta de garantía N° 0077325, del Banco
Santander, por un monto de 7,95.- UF, con vencimiento al 31 de julio de 2010, por el
servicio N° 1, sobre "Adquisición del servidor y puesta en marcha del sistema".
- Boleta de garantía N° 0077326, del Banco
Santander, por un monto de 3,96.- UF, con vencimiento al 30 de junio de 2013, por el
servicio N° 1, sobre "Mantención de Hardware".
- Boleta de garantía N° 0077327, del Banco
Santander, por un monto de 22,50.- UF, con vencimiento al 31 de julio de 2010, por el
servicio N° 2, sobre "Adquisición de Licencias".
- Boleta de garantía N° 0077328, del Banco
Santander, por un monto de 101,00.- UF, con vencimiento al 31 de julio de 2011, por
el servicio N° 3, sobre "Implementación, Desarrollo y Capacitación".
- Boleta de garantía N° 0077329, del Banco
Santander, por un monto de 5,86.- UF, con vencimiento al 30 de julio de 2013, por el
servicio N° 4, sobre "Mantención de Hardware".
24. CONTRALORÍA GENERAL DE LA REPÚBLICA
DIVISIÓN DE MUNICIPALIDADES
SUBDIVISIÓN DE AUDITORÍA E INSPECCIÓN
ÁREA AUDITORÍA 1
- 20 -
Durante el período en estudio el municipio ha
desembolsado la suma de $ 38.859.626.-, el detalle se señala en anexo N° 6.3.
En relación al contrato, no se consideran
cláusulas sobre operaciones orientadas a:
• Confidencialidad de la información municipal.
• Controles para asegurar la protección de la información, su respaldo y
administración contra software malicioso y third party software.
• Restricciones de copiado y divulgación de información municipal.
• Plan de contingencias para accesos indebidos, siniestros físicos y lógicos.
• Posibilidad de auditar módulos del sistema administrativo municipal y los datos.
• Devolución o destrucción de la información y bienes, amparado por las
regulaciones legales y término de la relación contractual.
• Asesoría técnica a proporcionar por los sistemas administrativos.
• Especificaciones de los detalles técnicos por servicios entregados.
El alcalde en su respuesta señala que, en
relación a los controles para asegurar la protección de la información, respaldo y
administración contra software malicioso de información, se encuentran descritos en
las bases técnicas, en donde se indican aspectos generales.
Por otra parte, sobre la confidencialidad de la
información Municipal, el edil indica que se describe en las bases administrativas.
Conforme a lo manifestado, conjuntamente
con la documentación de respaldo suministrada, corresponde levantar las
observaciones indicadas.
Sobre las restantes consideraciones, la
autoridad municipal expone que serán evaluadas en las futuras licitaciones, por lo que
procede mantener las observaciones a su respecto.
4.- Orion 2000 S.A.
Mediante decreto alcaldicio EX N° 2791, de
28 de diciembre de 2009, se adjudicó a la empresa mencionada, mediante licitación
pública ID N° 2490-45-LE08, el "Servicio de correo electrónico para la Municipalidad
de Providencia", siendo su tarificación la indicada en el cuadro adjunto, de acuerdo a
los servicios.
Servicio de correo electrónico mensual.
Valor mensual
Servicio Detalle
UF con IVA
Hosting para servidores web - 810 cuentas, compatibilidad
clientes pop, webmail, 115,43
calendario, tareas, eventos y
movilidad.
- Soporte. 36,00
25. CONTRALORÍA GENERAL DE LA REPÚBLICA
DIVISIÓN DE MUNICIPALIDADES
SUBDIVISIÓN DE AUDITORÍA E INSPECCIÓN
ÁREA AUDITORÍA 1
- 21 -
Servicios de Habilitación.
Valor
Servicio Detalle
UF sin IVA
Hosting de servicio de correo - Migración de correo, puesta 590,00
por única vez. en marcha, producción y
migración funcional.
El contrato tiene una vigencia de 4 años,
período que podría renovarse dos veces por un máximo de un año cada uno, si
ninguna de las partes manifiesta a la otra su intención de ponerle fin mediante carta a
lo menos con 90 días de anticipación a la fecha de término de contrato.
Asimismo, el contrato contempla que, en el
evento de que el monto acumulado de las multas supere el 25% del valor del contrato,
el municipio podrá poner término al contrato y hacer efectivas las garantías
correspondientes.
La empresa hizo entrega de una boleta de
garantía a nombre de la Municipalidad de Providencia, por cumplimiento del servicio
contratado, equivalente a dos mensualidades por concepto de las cuentas de correo
electrónico por 302,86 UF, N° 355566-4, del Banco de Chile, con vencimiento al 5 de
enero de 2011. Sin embargo, se detectó la inexistencia de renovación de dicha
garantía, incumpliendo el contrato en su cláusula N° 15, según la cual, la empresa
contratista deberá entregar a la firma del contrato una garantía que resguarde el
periodo de vigencia del contrato más dos meses adicionales al término del mismo; sin
que se haya aclarado por qué se aceptó una garantía parcial respecto del tiempo de
cobertura.
Sobre lo observado, la autoridad comunal en
su respuesta adjunta la boleta de garantía N° 359799-1, del Banco de Chile, por
302,86 UF, con vencimiento al 5 de enero de 2012.
Sobre el particular, si bien esa entidad
comunal renovó la garantía vencida, la actual no cubre la vigencia total del contrato,
por lo que no permite levantar lo observado.
Para el período bajo examen, esa entidad
informó que desembolsó la suma $ 54.117.270.-, pudiéndose acreditar $ 50.885.755.-,
de acuerdo a los antecedentes suministrados por los servicios contratados, según
comprobantes de pago, cuyo detalle se señalan en anexo N° 6.4.
Al respecto, el alcalde informa que la
diferencia se produce en el cambio de año, cuando las últimas mensualidades se
cargan a otra cuenta correspondiente a "Obligaciones Pendientes Años anteriores",
situación que explica la diferencia, conforme lo cual, se entiende salvada la situación
indicada.
En relación al contrato en comento, no se
consideran cláusulas sobre operaciones orientadas a:
• Plan de contingencia en caso de desastres y/o pérdidas de las comunicaciones.
• Fechas de facturación de los servicios.
• Asesoría técnica a proporcionar.
26. CONTRALORÍA GENERAL DE LA REPÚBLICA
DIVISIÓN DE MUNICIPALIDADES
SUBDIVISIÓN DE AUDITORÍA E INSPECCIÓN
ÁREA AUDITORÍA 1
- 22 -
• Confidencialidad de la información municipal.
• Controles para asegurar la protección de la información, su respaldo y
administración contra software malicioso y third party software.
• Restricciones de copiado y divulgación de información municipal.
• Devolución o destrucción de la información y bienes, amparado por las
regulaciones legales y término de la relación contractual.
• Especificaciones de los detalles técnicos por servicios entregados.
Sobre lo anterior, la autoridad municipal
señala que, respecto a los controles para asegurar la protección de la información,
respaldo, administración contra software malicioso de información, plan de
contingencia en caso de desastres y/o pérdidas de las comunicaciones, asesoría
técnica a proporcionar y especificaciones de los detalles técnicos por servicios
entregados, ello se encuentra descrito en las bases técnicas, aspectos generales.
Por otra parte, sobre la confidencialidad de la
información municipal y fechas de facturación de los servicios, el alcalde indica que
ellas se describen en las bases administrativas.
En atención a lo señalado y a la
documentación proporcionada, corresponde levantar las observaciones indicadas.
Sobre las restantes consideraciones, la
autoridad municipal manifiesta que serán evaluadas en las futuras licitaciones, por lo
que procede mantener la observación en esta parte.
5.- Suministra S.A.
Mediante decreto alcaldicio EX N° 348, de 16
de febrero de 2009, se adjudicó a la empresa Suministra S.A., por medio de licitación
pública, ID N° 2490-11035-LP08, el contrato denominado "Renovación tecnológica de
computadores, servicio de mesa de ayuda y respaldo de información de usuarios para
la Municipalidad de Providencia", siendo su tarificación la indicada en los cuadros
adjuntos, en relación a la adquisición de equipos computacionales y el servicio de
mesa de ayuda.
La adquisición de equipos computacionales
se pactó por un período de 36 meses, indicándose que, por cada año, se adquirirán
los computadores de acuerdo a lo señalado en la columna "detalle por año" del cuadro
siguiente:
Valor unitario
Servicio Detalle por año
en US$ (IVA incluido)
Adquisición de computador Atención de público y
Lenovo administrativos, 1.250
200 equipos por año.
Adquisición de computador Arquitectos y diseños, 60
1.990
Lenovo equipos por año.
Adquisición de notebook 10 equipos por año.
1.624
Lenovo
La contratación del servicio de mesa de
ayuda es por un período de 36 meses con valores tarificados en forma mensual.
27. CONTRALORÍA GENERAL DE LA REPÚBLICA
DIVISIÓN DE MUNICIPALIDADES
SUBDIVISIÓN DE AUDITORÍA E INSPECCIÓN
ÁREA AUDITORÍA 1
- 23 -
Servicio Valor
Detalle
Mensual (IVA incluido)
Técnicos en terreno. Atención telefónica, ingresos y
atención de incidentes,
5.661.481
soporte de hardware, software
y otros.
Software de mesa de ayuda. Generación y gestión de
tickets, manejo de inventario,
base de datos de 1.160.652
conocimiento, control remoto
de usuarios y otros.
La vigencia del contrato podrá renovarse dos
veces, hasta por un máximo de 12 meses cada una, si ninguna de las partes
manifiesta a la otra su intención de ponerle fin mediante carta a lo menos con 60 días
de anticipación a la fecha de término de contrato. Asimismo, el valor se reajustará
semestralmente, de acuerdo a la variación acumulada del IPC que determine el
Instituto Nacional de Estadística, INE, usando como base el mes anterior al de la firma
de contrato.
En cuanto al plazo del suministro del servicio,
éste se inició a contar desde la notificación del decreto de adjudicación, el que quedó
estipulado en el libro de servicios, siendo suscrito entre la empresa contratista y el
inspector técnico de servicio municipal.
La empresa, según contrato deberá hacer
entrega de dos garantías a nombre de la Municipalidad de Providencia por un monto
equivalente a $ 5.000.000.-, en relación al servicio adquisición de equipamiento
computacional y dos mensualidades correspondientes al valor total mensual del
servicio de mesa de ayuda, la que se reajustará anualmente de acuerdo a la variación
con una vigencia igual a la del contrato más 60 días, documentos que no fueron
puestos a disposición de esta Entidad Fiscalizadora.
En su respuesta, la autoridad adjunta las
boletas de garantía N°s 79.925, por $ 13.885.332.-, y 79.924, por $ 5.000.000.-,
ambas del Banco BBVA, todas con vencimiento al 30 de abril de 2012.
Examinados los nuevos antecedentes
proporcionados por ese municipio, se levanta la observación planteada inicialmente.
Para el período bajo examen, esa entidad
informó que desembolsó la suma $ 314.644.474.-, pudiéndose acreditar
$ 242.565.944.-, de acuerdo a los antecedentes suministrados por ese municipio. El
detalle de los decretos de pago se indica en anexo N° 6.5.
Sobre lo anterior, el alcalde señala que la
diferencia informada se produce por el cambio de año, cuando las últimas
mensualidades se cargan a otra cuenta correspondiente a "Obligaciones Pendientes
Años anteriores", situación que explica la diferencia.
Dado que ese municipio adjuntó los
antecedentes que acreditan lo informado, se levanta la observación enunciada.
En relación al contrato, no se consideran
cláusulas sobre operaciones orientadas a:
28. CONTRALORÍA GENERAL DE LA REPÚBLICA
DIVISIÓN DE MUNICIPALIDADES
SUBDIVISIÓN DE AUDITORÍA E INSPECCIÓN
ÁREA AUDITORÍA 1
- 24 -
• Controles para asegurar la protección de la información, su respaldo y
administración contra software malicioso y third party software.
• Restricciones de copiado y divulgación de información municipal.
• Plan de contingencias para accesos indebidos, siniestros físicos y lógicos.
• Devolución o destrucción de la información y bienes, amparado por las
regulaciones legales y término de la relación contractual.
• Especificaciones de los detalles técnicos por servicios entregados.
• Disposiciones para informar, notificar e investigar los incidentes y las
violaciones a la seguridad.
Respecto a las cláusulas por contrato, el
alcalde indica que aquellas relacionadas con los controles para asegurar la protección
de la información, respaldo, administración contra software malicioso de información y
especificaciones de los detalles técnicos por servicios entregados, se encuentran
descritas en el anexo N° 7, de las bases técnicas, en donde se indican aspectos
generales. Por lo tanto, corresponde levantar las observaciones indicadas.
Sobre las restantes consideraciones, la
autoridad comunal manifiesta que serán evaluadas en las futuras licitaciones, por lo
que procede mantenerlas.
6.- Sistemas Modulares de Computación Ltda.
Mediante decreto alcaldicio EX. N° 824, de 19
de abril de 2010, se adjudicó a la empresa Sistemas Modulares de Computación
Ltda., por medio de licitación pública, ID N° 2460-17-LE10, la prestación de los
servicios de los "Sistemas computacionales para la dirección de administración y
finanzas de la Municipalidad de Providencia con un profesional de apoyo
permanente", siendo su tarificación la indicada en el cuadro adjunto.
Valor
Modalidad Módulos
mensual UF con IVA
Finanzas 54,74
Administración 8,33
Bienestar 11,90
Operación de Sistemas
Recursos Humanos 24,99
Rentas 24.99
Aseo y Ornato 1,19
Capacitación Todos 59,50
Total 160,65
La vigencia del contrato se encuentra definida
por un plazo de 4 años, renovable por períodos de un año, con un máximo de dos
renovaciones, si ninguna de las partes manifiesta a la otra su intención de ponerle
término mediante carta certificada enviada a lo menos 150 días antes de la fecha de
término del plazo convenido o de la prórroga que se encuentre vigente. El plazo de
duración del servicio se cuenta desde la fecha de entrega de terreno, suscrita por la
empresa, la unidad supervisora y la dirección de administración y finanzas.
29. CONTRALORÍA GENERAL DE LA REPÚBLICA
DIVISIÓN DE MUNICIPALIDADES
SUBDIVISIÓN DE AUDITORÍA E INSPECCIÓN
ÁREA AUDITORÍA 1
- 25 -
Para el fiel cumplimiento del servicio se hizo
entrega de una boleta de garantía N° 3404838, del Banco Estado, por un monto de
371,28.- UF, con vencimiento al 1 de octubre de 2014.
Adicionalmente, a fin de garantizar
indemnizaciones a consecuencia de accidentes del trabajo que sufran dependientes
de la empresa contratista, se hizo entrega de una segunda boleta de garantía
N° 3404837, del Banco Estado, por un monto de 119,00 UF, con vencimiento al 1 de
octubre de 2015.
Por otra parte, el municipio no proporcionó los
comprobantes de egresos que acreditaran los desembolsos efectuados durante el
período en revisión.
El alcalde en su respuesta señala que, durante
el período bajo examen, esa entidad comunal no efectuó desembolsos por los
servicios contratados.
Atendido lo señalado, y considerando los
antecedentes de respaldo que acreditan lo manifestado, corresponde levantar lo
observado.
En relación al contrato, no se consideran
cláusulas sobre operaciones orientadas a:
• Confidencialidad de la información municipal.
• Controles para asegurar la protección de la información, su respaldo y
administración contra software malicioso y third party software.
• Restricciones de copiado y divulgación de información municipal.
• Plan de contingencias para accesos indebidos, siniestros físicos y lógicos.
• Posibilidad de auditar módulos del sistema administrativo municipal y los datos.
• Devolución o destrucción de la información y bienes, amparado por las
regulaciones legales y término de la relación contractual.
• Asesoría técnica a proporcionar por los sistemas administrativos.
• Especificaciones de los detalles técnicos por servicios entregados.
Sobre lo anterior, el alcalde en su respuesta
señala que, respecto a las observaciones relativas a los controles para asegurar la
protección de la información, respaldo, administración contra software malicioso de
información, restricciones de copiado, divulgación de información municipal y
especificaciones de los detalles técnicos por servicios entregados para este contrato,
se encuentran descritas en las bases técnicas, en donde se indican aspectos
generales.
Por otra parte, sobre la confidencialidad de la
información municipal, el edil indica que éstas se describen en las bases
administrativas.
Considerando lo señalado y a los
antecedentes remitidos por el municipio, corresponde levantar las observaciones
indicadas precedentemente.
Sobre las restantes consideraciones, la
autoridad municipal expone que serán evaluadas en las futuras licitaciones, por lo que
procede mantenerlas.
30. CONTRALORÍA GENERAL DE LA REPÚBLICA
DIVISIÓN DE MUNICIPALIDADES
SUBDIVISIÓN DE AUDITORÍA E INSPECCIÓN
ÁREA AUDITORÍA 1
- 26 -
IV.- CONTROLES GENERALES ASOCIADOS AL ENTORNO TI
1.- Controles generales de tecnologías de información.
a) La auditoría practicada comprobó que
los controles asociados a las tecnologías de información no cumplen a cabalidad con
el resguardo de información, debido a que el perfilamiento en los accesos posee
diferentes asignaciones de permisos, a pesar de estar éste estructurado y asignado
por el administrador de los sistemas municipales, generando un constante incremento
en los tipos de cuentas que acceden a los sistemas administrativos y, a su vez,
pudiendo permitir el acceso de personas no autorizadas a los atributos de lectura,
grabación, emisión, impresión y otros, respecto de procesos informatizados que
involucran datos sensibles que administra esa entidad edilicia.
Sobre la materia, el alcalde informa que la
definición de los perfiles de acceso no es asignada ni estructurada por el
administrador de sistemas, por lo que cada unidad dueña de éste informa de los
permisos requeridos y de las bajas, las cuales son realizadas por los respectivos
encargados del área de sistemas.
Dado que la autoridad municipal no adjunta
documentación que acredite la formalización del procedimiento descrito, corresponde
mantener la observación, ya que el proceso de perfilamiento de accesos no se
encuentra regulado íntegramente.
b) Se comprobó que no existen
procedimientos de encriptación de la información a nivel de respaldos municipales.
En la respuesta se indica que la encriptación
de los respaldos para las estaciones de trabajo, se realiza a través del software
AutoBackup, el cual es encriptado mínimo por 128 bit, siendo éstos subidos a un
almacén de datos por medio de un enlace dedicado.
Al tenor de lo expuesto por esa autoridad y
los antecedentes que se acompañan, es posible acreditar la existencia del proceso
descrito, por lo que se levanta la observación planteada.
c) A nivel municipal, existe un
procedimiento de retención de la información respaldada por cada servidor municipal
con una periodicidad definida de acuerdo a las operaciones, sin embargo, éste no se
encuentra formalizado a través de un decreto alcaldicio.
El alcalde en su respuesta señala que, esa
entidad cuenta con un instructivo de respaldo de la información denominado P-ES-
023, formalizado por decreto Ex. N° 2.010, de 27 de octubre de 2010.
En atención a la documentación
proporcionada en esta oportunidad, corresponde levantar lo observado.
d) En relación al mantenimiento
preventivo, se acreditó que este servicio se encuentra asignado a personal interno del
departamento mediante roles de función, sin embargo, a pesar de encontrarse
documentado para el hardware, servidores de respaldo, sala de servidores, rack y
equipos de comunicaciones, no se encuentra formalizado, Asimismo, la empresa
Global Crossing Chile S.A., define por medio de un manual de operaciones las
31. CONTRALORÍA GENERAL DE LA REPÚBLICA
DIVISIÓN DE MUNICIPALIDADES
SUBDIVISIÓN DE AUDITORÍA E INSPECCIÓN
ÁREA AUDITORÍA 1
- 27 -
mantenciones a sus servicios y condiciones mínimas de operación a nivel de
datacenter municipal para la interacción con sus servidores, políticas que no se
encontraban operativas durante el período en revisión.
Por otra parte, el servicio de soporte se
encuentra externalizado a una empresa para atender al personal municipal en relación
a materias de carácter informático y de comunicaciones, por medio de un sistema
informático de ticket consola, a fin de asignar un número de caso, fecha de apertura,
tipo de incidente, identificación del recurrente, estado y duración.
Sobre lo señalado en las letras c) y d), en lo
que dicen relación con la formalización de los manuales de mantenimiento preventivo,
cabe precisar que el artículo 3° de la ley N° 19.880, que establece Bases de los
Procedimientos Administrativos que rigen los Actos de los Órganos de la
Administración del Estado, establece que se entiende por acto administrativo las
decisiones formales que emitan dichos órganos, en los cuales se contienen
declaraciones de voluntad, realizadas en el ejercicio de una potestad pública y que
éstos tomarán la forma de decretos supremos y de resoluciones. Ello resulta
concordante con el artículo 12 de la ley N° 18.695, Orgánica Constitucional de
Municipalidades, en orden a que las resoluciones que adopten estas últimas se
denominan decretos cuando versen sobre casos particulares.
En este sentido, es oportuno destacar que,
según lo ha reconocido la jurisprudencia administrativa -contenida en los dictámenes
N°s. 31.870, de 2010 y 10.449, de 2011, entre otros- en armonía con el principio de
escrituración que rige a los actos de la Administración del Estado, consagrado en el
artículo 5° de la citada ley N° 19.880, las decisiones que adopten las municipalidades
deben materializarse en un documento escrito y aprobarse mediante decreto
alcaldicio, por lo que la expresión formal de la voluntad de la entidad edilicia, sólo
puede perfeccionarse con la expedición del respectivo acto administrativo, siendo éste
el que produce el efecto de obligar al municipio conforme a la ley.
En su respuesta, el alcalde indica que el
mantenimiento de los computadores personales lo realiza la empresa Suministra S.A.,
a las redes y equipos de comunicaciones la empresa Newtec S.A., y a los servidores
municipales por medio de personal municipal. Asimismo, los servicios de hosting, por
encontrarse en modalidad de arriendo, cuentan con las mantenciones propias a la
infraestructura común del Datacenter.
Si bien los argumentos planteados por la
autoridad comunal resultan pertinentes, la respuesta no aporta antecedentes que
acrediten la formalización de los procesos de mantenimiento y revisión de la
plataforma informática, por lo que procede mantener la observación.
e) El secretario comunal de planificación
señaló, mediante oficio N° 1.447 de 4 de febrero de 2011, que las políticas de
adquisición de licencias de software se definen de acuerdo a la línea de servicio
dentro del municipio, es decir, si corresponde a servidores, aplicaciones de oficina,
sistemas de gestión o herramientas de desarrollo. Por ende, la adquisición de
licencias para servidores se puede realizar a través de la compra por medio del portal
Mercado Público o uso de licencias tipo opensource, asimismo, para los servidores en
hosting, el contrato de servicio debe proveer las licencias válidas para su operación.
Por otra parte, para las adquisiciones de
equipamiento computacional se incluyen licencias de sistema operativo y aplicaciones
32. CONTRALORÍA GENERAL DE LA REPÚBLICA
DIVISIÓN DE MUNICIPALIDADES
SUBDIVISIÓN DE AUDITORÍA E INSPECCIÓN
ÁREA AUDITORÍA 1
- 28 -
de oficina como la suite Microsoft Office, en procesos de renovación anual o a
solicitud de directores municipales. De la misma forma, en los casos que exista un
software de uso libre se procede a instalar, configurar y capacitar.
Referente a las licencias de sistemas de
software de uso específico, son adquiridas a requerimiento del director de la unidad,
justificando la necesidad de uso y realizando la compra por medio del portal Mercado
Público.
Por otra parte, en cuanto a las herramientas
de desarrollo, el departamento de computación e informática debe adquirir licencias
de ser necesario que éste lleve a cabo el desarrollo de aplicaciones para el municipio.
No obstante, existe la posibilidad de que las empresas deban proveer por contrato las
licencias de software de desarrollo utilizadas para la implantación de los sistemas
requeridos a solicitud de alguna dirección municipal.
En lo referente a las licencias de software, el
alcalde señala que el servicio de hosting actualmente contratado, provee en su costo
mensual las licencias de servidor, sin embargo, las de los nuevos equipos están
incluidas en la renovación de los años 2009, 2010 y 2011. Por otra parte, respecto a
las licencias de Ofimática, éstas se adquieren año a año.
Considerando que ese municipio no informa
la adopción de medidas tendientes a regularizar el licenciamiento del software
indicado, ni tampoco remite los antecedentes que avalen acciones a realizar, se
mantiene la observación formulada inicialmente.
f) En cuanto a la vulnerabilidad de las
redes municipales, se dispone de los siguientes elementos para salvaguardarlas:
• Firewall Fortinet que incluye anti-spam, filtro de contenido, detección de
intrusos IDS, IPS, aplicación de control, prevención de pérdida de datos,
optimización de red WAN, VPN, actualización automática y alerta de eventos
críticos vía email.
• Sistema de reporte, análisis e ingreso a la red en tiempo real, Fortianalizer
800B.
• Consola de administración Kaspersky del servidor de antivirus.
g) De acuerdo a las validaciones
efectuadas se corroboró que el procedimiento utilizado para el control de stock
consiste en externalizar los servicios tecnológicos, incorporando en las bases de
licitación el suministro de los servicios, insumos y operaciones por parte de la
empresa proveedora.
Para insumos diarios se dispone de un stock
mínimo, de acuerdo al análisis de la demanda histórica de consumo de las unidades
municipales.
h) En relación a la normativa de
seguridad de sistema de control de acceso y certificación de instalaciones de la sala
de servidores, se detalla a continuación la informada por medio de los oficios N°
1.447, ya citado y N° 1.828, de 8 de marzo de 2011, corroborada en la fiscalización
realizada en terreno.