Vous êtes sur la page 1sur 11

Objetivo

El objetivo del examen consisti en revisar y evaluar aspectos relacionados con las
polticas, normas, prcticas y procedimientos de control relativos a los sistemas basados
en las tecnologas de informacin y comunicaciones (TIC), incluidas aquellas actividades
de tipo manual o no automatizadas, que se desarrollan en el entorno de tales sistemas.
























Metodologa
El trabajo se efectu conforme a las normas y procedimientos de control aceptados por
este Organismo Fiscalizador e incluy las pruebas de validacin respectivas, sin perjuicio
de utilizar otros medios tcnicos estimados necesarios en las circunstancias.

Alcance
La revision abarc el perodo comprendido
entre enero y diciembre de 2009, circunscribindose a las siguientes reas:

Controles generales de las tecnologas de la informacin (TI).
Controles de seguridad fsica.
Controles de procedimientos de respaldo.
Controles de recuperacin de desastres.
Controles especficos asociados a las aplicaciones de procesos significativos.

Sistemas administrativos municipales.

Permisos de circulacin.
Patentes comerciales.
Derechos de aseo.
Contabilidad gubernamental.
Tesorera municipal.
Sistema de otorgamiento de licencias de conducir.
Contratos vigentes.

CAS-Chile S.A.
Servicios computacionales de rea administrativa.
Telefnica Empresas Chile S.A.
Servicios de enlaces de red y conexin a Internet.
Computacin integral S.A.
Suministro de equipos computacionales y otros insumos.
Celestrn representaciones comerciales internacionales Ltda.
Adquisicin de dispositivos interactivos porttiles.
Cumplimiento de los decretos supremos Ns 77, 81 Y 83, de 2004; y, Ns 93 y
100, de 2006, todos del Ministerio Secretara General de la Presidencia.

En el contexto de los objetivos de la auditora, se evaluaron los temas relacionados con
tecnologas de informacin en rgimen operativo y que tienen relacin directa o indirecta
con transacciones automatizadas de los sistemas administrativos municipales.
En tal sentido, se efectu un anlisis de los procedimientos municipales especficos y de
la aplicacin de controles, con la finalidad de verificar que la seguridad implantada en los
procesos brinde a las transacciones de los sistemas un resguardo operacional apropiado,
as como que las transacciones hayan sido debidamente autorizadas, validadas y
procesadas, de forma correcta y oportuna.
La informacin utilizada fue proporcionada por el administrador municipal de Estacin
Central y fue puesta a disposicin de esta Contralora General, con fecha 07 de enero de
2010.
Cabe precisar que con carcter confidencial, mediante oficio N 17.693, de 6 de abril de
2010, fueron puestas en conocimiento del Alcalde las observaciones comprobadas al
trmino de la visita, con la finalidad que formulara los alcances y precisiones que a su
juicio procedieran, lo que se concret mediante oficio ordinario N 1.000107, de 3 de
mayo de 2010.
El anlisis de las observaciones formuladas en el citado pre informe, en conjunto con los
antecedentes aportados por la autoridad edilicia en su respuesta, determinaron lo
siguiente:

1.- AMBIENTE TI ACTUAL DEL SERVICIO.
1.- Procesos significativos asociados a TI.
El municipio presenta los siguientes procesos significativos:
a) Pago de permiso de circulacin y emisin de certificado.
b) Pago y emisin de patente comercial.
c) Pago de derechos de aseo.
d) Decretos de pago y remuneraciones.
e) Transacciones de ingresos.
f) Emisin de licencia de conducir.
2.- Estructura organizacional.
El departamento de sistemas, computacin e informtica de la Municipalidad de Estacin
Central se encuentra en un nivel jerrquico medio dentro de la estructura organizacional,
dependiendo directamente de la administracin municipal, segn se demuestra en anexo
N 1, situacin que determina la imposibilidad de una acabada y profunda evaluacin para
la toma de decisiones, que implique mejorar los procesos municipales, debido a la
inexistencia de calificacin profesional acorde al rea por parte de la jefatura.

a) El personal de dicho departamento opera prestando servicios de soporte de
hardware y redes, encontrndose actualmente conformado por un funcionario que
se desempea como jefe del departamento, seis tcnicos de soporte y una
secretaria. El detalle se indica a continuacin:



Nombre Cargo Calidad
Jurdica
Calificacin
tcnica
profesional
Dependencia
jerrquica

Jos Gatica
Vsquez

Tcnico de
soporte en
redes y
comunicaciones

Cdigo del
Trabajo

Tcnico en
redes y
comunicaciones


Administrador
Municipal
Ivn
Ahumada
Osses
Tcnico en
soporte
Planta Soporte en
computacin

Administrador
Municipal

Elizabeth
Canio Soto

Secretaria Planta Secretaria Administrador
Municipal

Diego
Fandez
Santelices
Tcnico en
soporto en
redes

Contrata Tcnico en
administracin
en redes
computacionales
Administrador
Municipal

lvaro
Ramrez
Arrue
Tcnico de
Soporte
Contrata Soporte en
computacin
Administrador
Municipal

Elvis Meza
Cabrera
Tcnico de
Soporte
Contrata Ingeniero de
ejecucin en
informtica
Administrador
Municipal

Patricio Tcnico de Codigo del Programador en Departamento
Rubio
Fuentes
Soporte Trabajo computacion de educacion



Respecto de lo anterior, cabe observar que el artculo 30 de la ley N 18.883, dispone - en
lo que interesa - que quedarn sujetas a las normas del Cdigo del Trabajo, las
actividades que se efecten en forma transitoria en municipalidades que cuenten con
balnearios u otros sectores tursticos o de recreacin, as como el personal que se
desempee en servicios traspasados desde organismos o entidades del sector pblico y
que administre directamente la municipalidad, condiciones ninguna de las cuales se
satisface respecto de los funcionarios Jos Gatica Vsquez, tcnico de soportes en redes
y comunicaciones, y Patricio Rubio Fuentes, tcnico de soporte, los cuales de acuerdo a
los antecedentes proporcionados por esa entidad comunal, se encuentran regidos por las
disposiciones del Cdigo del Trabajo.
En su respuesta, el edil indica que estima exagerada la exigencia de que la jefatura de la
cual depende la unidad de informtica deba tener una calificacin profesional
especializada en dicha materia, en la medida que se encuentra suficientemente apoyado
por personal especializado, lo que lo habilitara para una correcta toma de decisiones.
Por otra parte, seala que para determinar la dependencia del departamento de
informtica se tuvo en consideracin la naturaleza de las funciones de la administracin
municipal, conforme con lo previsto en el artculo
30 de la ley N 18.695, Orgnica Constitucional de Municipalidades.
Agrega que, efectivamente, el personal que labora en el departamento de sistema,
computacin e informtica se encuentra regido por las disposiciones del Cdigo del
Trabajo, no obstante, stos se encuentran contratados para el departamento de
educacin municipal, y su presencia en el departamento de informtica obedece a la
necesidad de realizar el trabajo de informtica respecto del funcionamiento de ese
departamento, as como de los establecimientos educacionales dependientes del rea.
Al respecto, debe precisarse que este.
Organismo no ha representado la falta de calificacin profesional en el rea de que se
trata por parte del Administrador Municipal, toda vez que su cargo no lo requiere, ni que la
unidad de informtica dependa de ste, sino la ausencia de calificacin profesional en
dicho departamento, toda vez que en el mismo slo existen funcionarios con estudios
tcnicos. Luego, sobre la existencia de personal regido por el Cdigo del Trabajo, debe
reiterarse la observacin, toda vez que no corresponde que personal contratado para el
Departamento de Educacin realice, en la prctica, funciones propias del personal
municipal lo que parece reconocido por el propio municipio, desde el momento que el
departamento de que se trata depende de la administracin municipal, lo que
contraviene el artculo 3 de la ley N 18.883 (aplica criterio contenido en
dictmenes N 5.518 Y 49.915 de 2000; 25.132 de 2007; y, 43.026 de 2008)
b) Por otra parte, no existe una segregacin informtica por reas, debido a la falta
de especializacin del personal, lo cual determina la imposibilidad de generar
polticas y procedimientos informticos acerca del mejor uso y administracin de
los recursos informticos.
En su respuesta, la autoridad comunal manifiesta que la especializacin del
personal en el rea se adecua a las posibilidades presupuestarias del municipio y
a la estructura de la planta profesional. Por otra parte, seala que se requiere de
profesionales calificados para satisfacer las funciones municipales pero ello no es
posible, debido a que la planta y el nivel de remuneraciones municipal no lo
permiten.
Asimismo, indica que no ha sido necesario segregar el departamento de
informtica por reas, dado que la principal labor del departamento de sistemas es
entregar soporte tcnico de hardware e instalacin de software.
Los argumentos planteados por la autoridad comunal slo confirman lo observado,
por lo que corresponde mantener la observacin.
c) El reducido grado de especializacin del municipio para integrar a sus procesos
tecnologas de informacin, ha significado que no existan reas de seguridad de la
informacin, instalaciones e ingeniera de software.
La autoridad comunal seala que el sistema implementado por la municipalidad
para los procesos tecnolgicos de informacin ha determinado el grado de
integracin de stos y la estructura del rea de informtica.
Analizada la respuesta de la autoridad, corresponde mantener la observacin
formulada, por cuanto a nivel de estructura organizacional no se advierte la
existencia de las reas referidas con anterioridad.
d) Las funciones del departamento de sistemas, computacin e informtica estn
definidas en el reglamento interno de esa entidad, sancionado por decreto
alcaldicio N 154, de 3 de noviembre de 2000, donde se establece la estructura,
organizacin y funciones, tanto a nivel general como especfico, el cual no fue
suministrado por el municipio, siendo modificado en julio de 2009, de acuerdo a lo
informado por el administrador municipal, mediante correo electrnico de 10 de
febrero de 2010.
En su respuesta, el edil, en sntesis, informa que el reglamento se encuentra
publicado en la pgina web del municipio, en conformidad con la Ley de
Transparencia y Acceso a la Informacin Pblica. Sin perjuicio de lo sealado, el
decreto alcaldicio que sancion el referido reglamento no fue suministrado por esa
entidad, ni se encuentra publicado en la pgina web del municipio, tampoco se
proporcion el que haba aprobado su modificacin, en julio de 2009, por lo que
corresponde mantener lo observado.
e) El municipio no ha realizado evaluaciones de calificacin tcnica al personal del
departamento de sistemas, computacin e informtica, de acuerdo a lo informado por el
encargado del precitado departamento.
En su respuesta, la autoridad indica que, de acuerdo al rgimen estatutario del personal
municipal, ste se encuentra sometido al sistema de calificaciones establecido en la ley
N 18.883. Al respecto, cabe precisar que la observacin formulada est orientada a la
calificacin tcnica profesional del personal, y no a la evaluacin de desempeo
funcionario establecido en el cuerpo legal citado, por lo que corresponde mantener lo
observado.
3.- Diagrama de red.
La operacin de las redes y procedimientos para la gestin de equipos remotos,
incluyendo los equipos en reas de usuarios, tiene como responsables al jefe del
departamento de sistemas, computacin e informtica y al encargado de sistemas, con
dependencia de la administracin municipal y la empresa CAS Chile S.A.,
respectivamente.
La Municipalidad de Estacin Central, actualmente presenta deficiencias relacionadas
con:
a) Procedimientos y servicios orientados a resguardar la confidencialidad e integridad de
los datos municipales, por cuanto no ha implantado medidas de seguridad como sistemas
de prevencin de intrusos y servidor de filtros de correos, lo que conlleva la exposicin de
los datos.
Sobre el particular, el edil informa que el resguardo y confiabilidad de la informacin de la
municipalidad frente a ataques externos de cualquier ndole la desarrolla el dispositivo
Firewall, que cuenta con avanzadas herramientas para prevenir, detener, y alertar este
tipo de eventos, asimismo, la administracin de este dispositivo lo realiza la empresa
Orin S.A.
Los argumentos esgrimidos por la autoridad no resultan suficientes, ya que no informa las
medidas de seguridad aplicadas al servidor de correos y Web, debiendo agregarse que no
se proporcion el contrato que regula el servicio con la empresa citada, por lo que
corresponde mantener la observacin.
b) Adicionalmente, el municipio cuenta con una red informtica estructurada por
unidad. Sin embargo, cuenta con puntos de red no certificados y sin informes de
integridad de datos. A continuacin se presenta el detalle:



Unidad/
Edificio
Direccin Empresa
Ejecutora
Certificada Informe
Consistorial Alameda 3920 Telefonia
Empresa Chile
S.A.
No No
Convenio
S.1.1.
Alameda 4202 Red existente No No
Social Las Azucenas 316 Ralco Si No
Trnsito Ecuador 4336 Ralco Si No
Unidad/
Edificio
Direccin Empresa
ejecutora
Certificada Informe
Aseo Los Gladiolos 4805 Ralco Si No
Educacin CoronelSouper4844 Funcionarios
internos
No No
Operaciones El Lingue 380 Funcionarios
internos
No No
Comunitario Nocedal Funcionarios
internos
No No
COSAM Padre Vicente
Irarrzabal1313
Funcionarios
internos
No No

El diagrama del actual modelo de red del municipio se detalla en Anexo N 2.
Al respecto, el municipio reconoce la objecin formulada, comprometindose a regularizar
la situacin contratando una empresa especializada en el tema, para que realice una
auditora de las redes del municipio.
La autoridad no adjunta antecedentes que acrediten las medidas adoptadas, por lo que
corresponde mantener la observacin.
4.- Proyectos vigentes.
Actualmente el municipio cuenta con los siguientes proyectos vigentes:
a) Sistemas.
A nivel municipal, y en conjunto con la empresa CAS-Chile S.A., existe el proyecto del
sistema de pago por Internet, estimndose que su operacin se iniciar durante el ao
2010. El sistema consta de las siguientes funciones:
Consulta deudores munimtico.
Consulta deudores.
Consulta patentes comerciales.
Pago de seguro obligatorio.
Pago derechos de aseo.
Pago Juzgado de Polica Local.
Traslado de vehculos.
Pago de permisos de circulacin.
Respecto al sistema de control de documentos, suministrado por empresa CAS-Chile
S.A., est operativo y se han realizado capacitaciones a los funcionarios. Sin embargo, no
se encuentra implementado al 100%, por lo cual se est en proceso de revisin de las
funcionalidades en el departamento de obras del municipio.
Sobre lo anterior, la autoridad alcaldicia no da respuesta, por lo que se mantiene la
observacin formulada.
CAS-Chile S.A. inform que el sistema de asistencia social se encuentra operando, en
fase de explotacin.
b) Infraestructura tecnolgica.
Enlace de datos y telefona.
A continuacin se presentan los enlaces activos, los anchos de banda y reas de
proceso:



11.- SOBRE CONTROL INTERNO, PROCESOS TI Y EL RIESGO DE FRAUDE.
1.- Control interno.
a) En cuanto al personal, la dotacin de funcionarios es suficiente para desempear
adecuadamente las tareas. Sin embargo, el municipio no cuenta con un ingeniero
informtico, que defina los lineamientos a seguir e implemente polticas de uso de los
recursos informticos. En su respuesta, el edil reconoce lo observado, agregando que se
estn adoptando las medidas conducentes para solucionar esta carencia, en la medida
que las disponibilidades del presupuesto y la estructura de la planta lo permitan
La autoridad no adjunta antecedentes que acrediten medidas concretas al respecto, por lo
que corresponde mantener la observacin.
b) En relacin con la toma de decisiones respecto de las polticas de sistemas e inversin
de equipamiento, sta se lleva a cabo por personal no capacitado en informtica.
Sobre el particular, la autoridad informa que cualquier toma de decisin se adopta con la
asesora del personal experto del departamento de sistemas, computacin e informtica,
los que emiten un informe tcnico sobre el asunto sometido a opinin.
Analizada la respuesta de la autoridad, corresponde mantener la observacin formulada,
toda vez que no se adjuntan antecedentes de respaldo, tales como informes tcnicos, que
acrediten la asesora en el proceso de adquisiciones de bienes y/o servicios del rea.
c) Por otra parte, dentro del departamento de sistemas, computacin e informtica no se
manejan matrices de control informtico, que consideren el anlisis de acceso fsico de
instalaciones y lgico de los sistemas.
En su respuesta, la autoridad comunal seala que se estudiar e implementarn matrices
de control informtico. Sin embargo, no adjunta antecedentes que acrediten las medidas
adoptadas, por lo que corresponde mantener la observacin.
d) No se practican revisiones programadas y auditoras con un enfoque a las TI, lo que
provoca la ausencia de informes sobre el estado de la plataforma de hardware y software,
revelando la falta de planificacin que actualmente mantiene ese departamento municipal
en esta rea de operacin.
A modo de ejemplo, no existen polticas de rotacin de equipos, de acuerdo a su
potencialidad y carga de procesos, asimismo, no se realiza una evaluacin relacionada
con la criticidad de stos, con el fin de asegurar su funcionamiento continuo.
Sobre el particular, el edil seala que el soporte tcnico en terreno que desarrolla el
departamento de sistemas, permite evacuar informes del estado del hardware, ya sea a
solicitud de las autoridades o para sugerir recambio o reasignacin de dispositivos.
Respecto del estado del software, se ha limitado a utilizar la suite Office ms comn, por
lo que su estado se mantiene en el tiempo.
El planteamiento de esa autoridad comunal en su respuesta no resulta suficiente para
solucionar lo observado, por cuanto no informa la realizacin de auditoras o
levantamiento de informes de infraestructura informtica, entre otras medidas correctivas.
En consecuencia, la observacin se mantiene.
2.- Riesgos asociados a TI.
Segn los datos levantados, se consideraron los siguientes riesgos asociados a los
procesos TI municipales:
a) Obtencin y/o renovacin de permiso de circulacin sin ingreso y/o acreditacin fsica y
online de datos sobre propietario, placa patente nica, seguro obligatorio, revisin tcnica
y multas impagas.
b) Obtencin y/o renovacin de patente comercial sin ingreso y/o acreditacin de datos de
contribuyente, propiedad, sucursales y datos del Servicio de
Impuestos Internos.
c) Clculo de valores de derechos de aseo de contribuyentes afectos.
d) Duplicidad de pago de derechos de aseo por pago de contribuyentes a travs del
sistema de patentes comerciales.
e) Emisin de decretos de pago sin registrar datos y/o sin comprobantes.
f) Decretos de pago imputados a cuentas presupuestarias que no corresponden.
g) Emisin de cheque individual sin consultar datos en sistema de contabilidad
gubernamental.
h) Recepcin de pagos con clculo de intereses y multas fuera del perodo.
i) Captura y edicin de fotografa digital para emisin de licencia de conducir.
j) Obtencin o renovacin de licencia de conducir sin ingreso y/o acreditacin de datos
sobre solicitante, escuela de conduccin, licencia anterior, restricciones mdicas y
sentencias en juzgados.
En cuanto a este punto, esa autoridad seala que se ha instruido al departamento de
sistemas para que adopte las medidas pertinentes, a fin de disminuir los riesgos
sealados a nivel de operaciones y requerir a la empresa CAS Chile S.A. las correcciones
pertinentes.
En atencin a lo expresado por el edil en su respuesta, cabe hacer presente que no todos
los anlisis efectuados en el cuerpo de este informe, derivan necesariamente en
observaciones, sino que, como en este caso, se trat de una exposicin de los posibles
riesgos asociados a la seguridad informtica en las aplicaciones.