informe final municipalidad de las condes · en cumplimiento del plan anual de fiscalización para...

Informe FinalMunicipalidad de

Las Condes

CONTRALORíA GENERAL DE LA REPÚBLICA

Fecha 14 de marzo de 2011N°Informe: 79/2010


DIVISiÓN DE MUNICIPALIDADESSUBDIVISiÓN DE AUDITORíA E INSPECCiÓN

ÁREA AUDITORíA 1

DMSAI

16.037/10243.479/10247.247/10

1.201/10

REMITE INFORME FINAL QUE INDICAPMETREF.

SANTIAGO,

Adjunto, remito a Ud., copia de Informe

Final N° 79, de 2010, debidamente aprobado, sobre auditoría al macroproceso de

Tecnología de la Información, efectuada en ese municipio.

Por Ordon dol Cont lor GeneralPRISC1LA JARJ FUENTES

Abog~tloSlIO/aft blvlalón dé Municipalidades

AL SEÑORALCALDE DE LAMUNICIPALIDAD DE LAS CONDESPRESENTEI


ODIVISIÓN DE MUNICIPALIDADESSUBDIVISiÓN DE AUDITORíA E INSPECCiÓN

ÁREA DE AUDITORíA 1

PMETREF.

DMSAI

16.037/10243.479/10247.247/10

1.201/10

REMITE INFORME FINAL QUE INDICA

SANTIAGO, 1 4. t\~fi 1 1 * O15 ~ 49

Adjunto, sírvase encontrar copia del

Informe Final N° 79, de 2010, de esta Contraloría General, con el fin de que, en la

primera sesión que celebre el concejo municipal, desde la fecha de su recepción,

se sirva ponerlo en conocimiento de ese órgano colegiado entregándole copia del

mismo.

Al respecto, Ud. deberá acreditar ante esta

Contraloría General, en su calidad de secretario del concejo y ministro de fe, el

cumplimiento de este trámite dentro del plazo de diez días de efectuada esa

sesión.

AL SEÑOR (------------------SECRETARIO MUNICIPAL DE LAS CONDESPRESENTE


DIVISiÓN DE MUNICIPALIDADESSUBDIVISiÓN DE AUDITORíA E INSPECCiÓN

ÁREA AUDITORíA 1

DMSAI

16.037/10243.479/10247.247/10

1.201/10

REMITE INFORME FINAL QUE INDICAPMETREF.

SANTIAGO,

Adjunto, remito a Ud., copia de Informe

Final N° 79, de 2010, debidamente aprobado, sobre auditoría al macroproceso de

Tecnología de la Información, efectuada en ese municipio.

Por Orden de Conlralor GenlilralPRlSCILA ARA FUENTES

.bogadoSubjefe . Ión de Municipalidades

AL SEÑORDIRECTOR DE CONTROLMUNICIPALIDAD DE LAS CONDESPRESENTEI

CONTRALORíA GENERAL DE LA REPÚBLICADIVISiÓN DE MUNICIPALIDADES

SUBDIVISiÓN DE AUDITORíA E INSPECCiÓNÁREA AUDITORíA 1

16.037/10243.479/10247.247/10

1.201/10

INFORME FINAL N° 79, DE 2010, SOBREAUDITORíA DE SISTEMASINFORMÁTICOS EN LA MUNICIPALIDADDE LAS CONDES.DMSAI N°

SANTIAGO, ,~MMt 201'

En cumplimiento del plan anual defiscalización para el año 2010 Y de acuerdo con las facultades establecidas en la leyN° 10.336, Orgánica de esta Institución, esta Contraloría General se constituyó en laMunicipalidad de Las Condes, para efectuar una auditoría de sistemas informáticos.

Objetivo

El objetivo del examen consistió en revisar yevaluar aspectos relacionados con las políticas, normas, prácticas y procedimientosde control relativos a los sistemas basados en las tecnologías de información ycomunicaciones (TIC), incluidas aquellas actividades de tipo manual o noautomatizadas, que se desarrollan en el entorno de tales sistemas.

Metodología

El trabajo se efectuó conforme a las normas yprocedimientos de control aceptados por este Organismo Fiscalizador e incluyó laspruebas de validación respectivas, sin perjuicio de utilizar otros medios técnicosestimados necesarios en las circunstancias.

Alcance

La revisten abarcó el período comprendidoentre enero y junio de 2010, circunscribiéndose a las siguientes áreas:

a) Controles generales de las tecnologías de la información (TI).b) Controles de seguridad física.e) Controles de procedimientos de respaldo.d) Controles de recuperación de desastres.e) Controles específicos asociados a las aplicaciones de procesos significativos.

A LA SEÑORASUBJEFE DE LA DIVISiÓN DEMUNICIPALIDADESPRESENTEJPT/BLC



-2-f) Sistemas administrativos municipales

Permisos de circulación.Tesorería municipal.Patentes municipales.

g) Contratos vigentes.

- Adexus S.A.:• Servicio de centros de impresión multifuncionales y

fotocopiado de planos.• Asesoría y Capacitación Technotronic Ltda.• Servicio de instalación de switch centrales.

- Bell Technologies S.A.Servicio de arriendo de central telefónica y otros servicios para elsistema de telefonía.

- DirectTV Chile Televisión Ltda.Servicio de televisión satelital en el edificio municipal.

- Elías Juri Clavería.Servicio de acceso, información, atención, diseño de páginas web yservicios virtuales de Internet.

- E-Sign S.A.Servicio de emisión de certificados electrónicos para permisos decirculación.

- GTD Teleductos S.A.Servicio de instalación de acceso Frame Relay digital de 128 Kbpsequipado con elemento terminal de comunicación y router interfazusuario RJ-45.

- Ingeniería y procesos Electrónicos Contables Ltda. (Proexsi Ltda).Servicio de sistema computacional integral bajo la modalidad "Inhouse".

- Legal Publishing Chile Ltda.Servicio de suscripción a un servicio de consulta vía online.

- Servicio de Registro Civil e Identificación.Convenio de conectividad y prestación de servicios a la Municipalidadde Las Condes.

- Sociedad de Inversiones Unga S.A.Servicio de recaudación y mantención de sistema computacional deinventarios de equipos y bienes.

- Tecnodisk Servicio de Computación Ltda.Servicio de adquisición de computadores personales.

h) Cumplimiento de los decretos supremos N°s 77, 81 Y 83, de 2004; y, N°s 93 Y100, de 2006, del Ministerio Secretaría General de la Presidencia.

En el contexto de los objetivos de auditoría,se evaluaron los temas relacionados con tecnologías de información en régimenoperativo y que tienen relación directa o indirecta con transacciones automatizadas delos sistemas administrativos municipales.

En tal sentido, se efectuó un análisis de losprocedimientos municipales específicos y de la aplicación de controles, con lafinalidad de verificar que la seguridad implantada en los procesos brinde a lastransacciones de los sistemas un resguardo operacional apropiado, así como que



- 3 -

hayan sido debidamente autorizadas, validadas y procesadas, de forma correcta yoportuna.

La información utilizada fue proporcionadapor el director de control de la Municipalidad de Las Condes y puesta a disposición deesta Contraloría General con fecha 21 de septiembre de 2010.

Cabe precisar que, con carácter confidencial,mediante oficio N° 67.719, de 12 de noviembre de 2010, fueron puestas enconocimiento del alcalde las observaciones comprobadas al término de la visita, con lafinalidad que formulara los alcances y precisiones que a su juicio procedieran, lo quese concretó mediante oficio ordinario alcaldicio N° 1/1393, de 28 de noviembre de2010.

1.- AMBIENTE TI ACTUAL DEL SERVICIO.

1.- Procesos significativos asociados a TI.

El municipio presenta los siguientes procesossignificativos:

a) Pago de permiso de circulación y emisión de certificado.b) Pago y emisión de patente comercial.e) Decretos de pago y remuneraciones.d) Transacciones de ingresos.

2.- Estructura organizacional.

\

El departamento de computación einformática de la Municipalidad de Las Condes se encuentra en un nivel jerárquicomedio dentro de la estructura organizacional, dependiendo directamente de laadministración municipal, situación que determina la imposibilidad de una acabada yprofunda evaluación para la toma de decisiones, que implique mejorar los procesosmunicipales debido, además, a la inexistencia de calificación profesional acorde alárea por parte de la jefatura, lo cual se grafica en el organigrama, anexo N° 1.

El departamento ya señalado operaprestando servicios de soporte de hardware y redes, encontrándose conformado porcinco profesionales, uno de los cuales se desempeña como jefe de dicha dependenciay cuatro como subalternos, más una secretaria, cuyo detalle se indica en el cuadrosiguiente.



-4-

CalidadCalificación

DependenciaNombre Cargo técnicajurídica profesional jerárquica

Álvaro Profesional- Ingeniero AdministradorFuentes Jefe del ContrataGomien departamento Comercial municipal

Marina Ingeniero en AdministradorJiménez Profesional PlantaSepúlveda Informática municipal

Juan Peña Profesional Planta Ingeniero civil AdministradorPeña industrial municipal

Marcelo Profesional Planta Ingeniero en AdministradorPonce Tirado 1nformática municipal

Alejandro Ingeniero en AdministradorSuárez Profesional PlantaAstudillo Informática municipal

Johana Secretaria Contrata Secretaria AdministradorRojas Rubio municipal

No se han realizado evaluaciones decalificación técnica al personal que se desempeña en la dependencia ya citada.

En su respuesta, la autoridad comunal, ensíntesis, corrobora lo planteado respecto a la dependencia jerárquica deldepartamento de computación e informática, manifestando la intención de dar mayorrelevancia a la gestión, por cuanto el administrador municipal es quién concentra lasfunciones de coordinación.

Asimismo, respecto a los funcionarios quelaboran en el citado departamento, indica que éstos cuentan con la calificación parallevar a cabo el desarrollo e implementación de proyectos en las áreas decomputación, informática y telefonía.

Al respecto, cabe señalar que eladministrador municipal es de profesión Ingeniero Agrónomo, formación que no seencuentra directamente relacionada con las labores efectuadas por el departamentode computación e informática a nivel municipal, dependencia que se encuentra bajosu dependencia. Por otra parte, al ser un departamento especializado, debieradepender directamente de la autoridad comunal, con el objeto de entregar mayorautonomía a los procesos de toma de decisiones y operaciones, por lo anterior, semantiene lo observado.

En lo referido a la ausencia de evaluacionesde calificación técnica profesional, la autoridad expone que éstas no son necesarias,ya que los títulos y la experiencia de los profesionales del área, son suficientes paraasegurar las operaciones de la actual plataforma de hardware y software, además, seefectúan evaluaciones semestrales del desempeño de los funcionarios. Sin embargo,se observa la carencia de evaluaciones especializadas periódicas respecto de lascompetencias técnicas del personal de dicha área, por lo cual procede mantener loobservado.



- 5 -

Cabe agregar que el título profesional sóloacredita estudios, por parte del personal, pero no certifica que ellos realicen susfunciones de acuerdo a los objetivos del departamento.

3.- Diagrama de red.

La operación de las redes y procedimientospara la gestión de equipos remotos, incluyendo los equipos en áreas de usuarios,tiene como responsable al jefe del departamento de computación e informática, condependencia de la administración municipal, y la empresa Proexsi Ltda.,respectivamente.

De acuerdo a los antecedentesproporcionados por el jefe del departamento de computación e informática, laMunicipalidad de Las Condes cuenta actualmente con una red informáticaestructurada por unidad, además de puntos de red certificados.

Por otra parte, la entidad presentadeficiencias relacionadas con los procedimientos y servicios orientados a resguardarla integridad de los datos municipales. Lo anterior, debido a que el municipio, aunquecuenta con procedimientos destinados a dar continuidad a los servicios, no posee unplan de recuperación de desastres formal ante cualquier eventualidad, que agrupeequipos de contingencia, procedimientos a realizar, plan alternativo, evaluación deáreas críticas, difusión y prueba del plan formal a nivel municipal.

Mediante memorándum N° 574, de 21 deseptiembre de 2010, el jefe del departamento de computación e informática informólos procedimientos a operar en casos de contingencia, a saber:

Servidor central de procesos se encuentra configurado en modalidad hotspare.

Respaldo diario en medios magnéticos del software de las aplicacionesmunicipales.

Respaldo diario de la auditoría de cada una de las bases de datos del municipioen medios magnéticos.

UPS y un grupo electrógeno que sustenta a la red computacional y el equipocentral en caso de un corte de energía eléctrica.

Monitoreo y administración del servidor central durante las 24 horas del día

Los diagramas del modelo general de la reddel municipio y el datacenter se presentan en anexo N° 2.

Adicionalmente se encuentran los siguientesservidores activos, ubicados en la dirección de tránsito y transporte público, Avda.Presidente Riesco N° 5.296, se detalla en cuadro adjunto:



- 6 -

Nombre Cantidad CPU RAM Disco Durolibra 400

PROEXSI Servidor MCP 1 Intel Xeon CPU 8GB 680GBE5440-2.83GBUNISYSES3220l

PROEXSI Servidor Aplicaciones 1 Intel Xeon CPU 12 GB 680GBX5450-3.00GHzHp ProliantDl380 G5

PROEXSI Servidor Web 1 Intel Xeon CPU 3,25 GB 280 GBE5430-2.66GHzHp ProliantDl380 G5

PROEXSI Servidor Cartografía 1 Intel Xeon CPU 3,25 GB 280 GBE5430-2.66GHzDell Dimensión

OFPA Sal y Cubos Olap. 1 5150 1GB 80GBIntel Pentium 4CPU-3.40GHzlenovo

HUELLA Producción. 1 Intel Pentium 1GB 80GBDual CPUE2160-1.8GHz

El alcalde en su respuesta, señala que elmunicipio cuenta con un plan de recuperación de desastres formal, el que estáestablecido en las bases de licitación del servicio, en la oferta del oferente adjudicadoy materializado con la aplicación de los procedimientos definidos a través de un"Remote Database Backup", RDB, el cual consiste en :

• Tener replicada una base de datos DMS-II, desde un Host Primario modeloLibra 400 ubicado en Avda. Presidente Riesco N° 246, hacia un HostSecundario modelo Libra 590 ubicado en Moneda N° 1.040).

• la transferencia y actualización de datos entre ambos Host se realiza online, lacual es realizada por una línea privada de datos.

De acuerdo a lo anterior, correspondelevantar la observación formulada, toda vez que el municipio cuenta conprocedimientos establecidos en caso de contingencias y plan de recuperación dedesastres informáticos.

4.- Proyectos establecidos implementados.

Actualmente el municipio cuenta con lossiguientes proyectos vigentes:



-7-a) Sistemas online.

El jefe de departamento de computación einformática, mediante memorándum N° 618, de 5 de octubre de 2010, informó sobrelos sistemas online y el uso de firma electrónica avanzada, en los siguientes términos:

~ Renovación de certificado SSL 128 bits con la empresa E-SIGN S.A.,por un período de 2 años para sitio web transaccionalwww.lascondesonline.cl.

~ Aplicación de firma electrónica avanzada con dispositivocriptográfico, E-Token adquirido a la empresa E-CERTCHILE, enproceso de Declaración de Capital 2010, para el departamento depatentes municipales.

~ Aplicación de firma electrónica avanzada dentro del proceso de ventade los permisos de circulación por Internet del municipio, contratadoa la empresa E-SIGN S.A., a objeto que el contribuyente puedaobtener en forma automática el permiso de circulación desde su casau oficina, sin concurrir al municipio.

b) Infraestructura tecnológica.

• Redes

Se cuenta con una red basada en un par deswitch central 3Com modelo 4.800, que realiza las tareas de conmutación a niveles 2y 3 del modelo OSI. Estos equipos, así como la central telefónica IP, servidores ydispositivos de red, están alojados en un datacenter municipal, el que posee aireacondicionado, alimentación estabilizada por UPS y respaldo de energía congeneradores.

Asimismo, en estos switchs L3 estándefinidas vlans 802.1Q para datos y vlans 802.1 Q para telefonía, de tal forma queambos tráficos se mantienen separados. Las vlans están asociadas a interfaces IPcon direccionamiento privado en base a RFC1918 y el direccionamiento de losclientes es fijo.

Además, los servicios que se ejecutan sobrela red son los de datos y adicionalmente los de telefonía IP, para los cuales está eltráfico con "Diffserv Code Point" (DSCP). Los servicios de datos son básicamenteInternet y aquellos que tienen relación con los sistemas informáticos propios delmunicipio, los que residen en un equipo central Libra 400 de marca Unisys.

• Telefonía IP.

Durante el año 2008, se llamó a licitaciónpública para contratar los servicios de arriendo de central telefónica y otros serviciospara el sistema de telefonía de la Municipalidad de Las Condes, ID 2560-11014-LP08,adjudicada a la empresa Sell Technologies S.A. A la fecha se dispone de 705teléfonos IP en funcionamiento.

La referida central IP y el número telefónico9507000 soportan el sistema de telefonía de todas las unidades municipalesinterconectadas en red, y distribuidas en distintos puntos de la comuna.

'liJIL'



- 8 -

• Enlace de comunicaciones:

Para las dependencias menores el municipiodispone de servicios ADSL contratados a la empresa GTD Manquehue S.A., oTelefónica Empresas Chile S.A., para acceso a Internet en las oficinas municipalesque se indican:

~ Infocentro del Centro Comunitario Diaguitas, Diaguitas N° 911.~ Infocentro Centro Comunitário Rotonda Atenas, Avda. Colón N° 7.385.~ Infocentro, Circulo de Adultos Mayores El Canelo, Curaco N° 1.886.~ Centro Comunitario Padre Alberto Hurtado.~ Centro de atención integral al niño y su familia.~ Casa Colón.~ Casa de la Discapacidad.~ Casa Orientación Familiar, Camino el Alba SIN.~ Oficina Canil, Avda. Fleming N° 9.809.~ Bodega Municipal, Andrés Bello N° 2.610.~ Internet inalámbrico para y edificio Municipal, Avda. Apoquindo N° 3.400.~ Internet Inalámbrico para y edificio Municipal, Avda. Apoquindo N° 3.300.~ Oficina convenio Sil, Los Militares.~ Parque Tenis El Alba.~ Parque Araucano.

Por otra parte, se mencionan los servrciosproporcionados por la empresa GTD Teleductos S.A.; en relación a los servicios deenlaces de comunicación.

- Provisión de líneas de comunicación a través de enlaces de fibras ópticasdedicadas, que interconectan los distintos inmuebles municipales.

- Se cuenta con tres enlaces de fibra óptica para Internet, los cuales permitenotorgar acceso a Internet a los funcionarios municipales, distribuidos por la redLAN en distintas dependencias municipales; publicar www.lascondes.c1 en laweb; disponer servidores de correo electrónico y publicarwww.lascondesonline.c1 en la web.

El detalle de los enlaces de comunicacionesde la Municipalidad de Las Condes se detalla en anexo N° 3.

c) Mantenimiento:

Mediante memorándum N° 1.725, de 27 deseptiembre de 2010, emitido por el jefe del departamento de administración, ésteinformó sobre las medidas de mantenimiento del equipamiento de la sala deservidores, cuyo detalle es el siguiente:

Respecto al equipo de aire acondicionado de la salade servidores, se realizaron las mantenciones detalladas en cuadro que sigue:



- 9 -

Dependencia municipal Empresa Certificado Fecha

Edificio consistorial Interna Climatización & Certificados 15-09-2010Multiservicios S.A.

Edificio dirección de Sistemas Térmicos Certificado de 15-08-2010Tránsito Ltda. mantención

preventivaEdificio Centro Cívico Master Clima S.A. Declaración jurada 07-09-2009

En relación a la mantención de los sistemas deextinción y detección de incendios, ello se detalla en el cuadro siguiente:

Dependencia Empresa Certificado FechaMunicipal

Edificio consistorial Ovalle y Compañía Certificado N° 632 11-11-2003Ltda.

Edificio consistorial Ovalle y Compañía Certificado mantención 15-09-2010Ltda. preventiva

Edificio centro Polex Chile S.A. Declaración jurada 07-09-2009cívicoEdificios Comercial Espinoza Certificado técnico 15-09-2010municipales Polanco Ltda.

El detalle de las mantenciones de lainstalación eléctrica se describe a continuación.

Dependencia Municipal Empresa Certificado Fecha

Edificio consistorial Empresa ETIC Declaración jurada 10-12-2003S.A. notarial.

Edificio centro cívico SEC Superintendencia de 04-09-2009Electricidad yCombustible TE1

11.- SOBRE CONTROL INTERNO, PROCESOS TI Y EL RIESGO DE FRAUDE.

1.- Control interno.

En relación con la toma de decisionesrespecto de las políticas de sistemas e inversión de equipamiento, ésta se lleva acabo por personal no capacitado en informática.

Por otra parte, dentro del departamento decomputación e informática no se manejan matrices de control, que consideren elanálisis de acceso físico a instalaciones y lógico de los sistemas.

No se han practicado revisiones programadasy auditorías internas con un enfoque a las TI, lo que provoca la ausencia de informessobre el estado de la plataforma de hardware y software, revelando la falta deplanificación que actualmente mantiene ese departamento en esta área de operación.

A modo de ejemplo, se puede citar que noexisten políticas de rotación de equipos de acuerdo a su potencialidad y carga de

i

,r;¡)~leJ

al



- 10 -

procesos informáticos, asmusmo, no se realiza una evaluación relacionada con lacriticidad de éstos, con el fin de asegurar su funcionamiento continuo.

En relación con los párrafos precedentes, eljefe del departamento de computación e informática informó que se había realizadouna auditoría al actual funcionamiento del servidor central Libra 400, por la empresaUnisys S.A., determinando que su capacidad no es suficiente para atender lademanda en momentos peak, que el encolamiento de tareas se presenta por sobre elmáximo aceptable, que la memoria asignada a la base de datos resulta insuficiente yque en los momentos peak de procesamiento no hay reserva técnica paraemergencias.

Mediante decreto alcaldicio sección 1aN° 1.778, de 11 de mayo de 2005, se aprobó el reglamento de organización interna defuncionamiento de la Municipalidad de Las Condes, modificado por decreto sección1a N° 2.683, de 12 de julio de 2006, que regula el funcionamiento de cada una de lasunidades involucradas en la gestión municipal.

El reglamento señalado, en su título 1, seccióncuarta, indica las funciones del departamento de computación e informática,relacionadas con el estudio, evaluación y proposición de nuevas tecnologías,proyectos informáticos y desarrollo, a fin de optimizar la gestión administrativa delmunicipio y los servicios informáticos, dichas funciones se encuentran detalladas enanexo N° 4.

Respecto de las políticas de sistemas einversión de equipamiento, el alcalde en su respuesta señala que el fundamento delos proyectos informáticos, así como de los riesgos y factibilidades técnicas paracontratar nuevos servicios en tecnologías de información, es elaborado por losprofesionales que se desempeñan en el departamento de computación e informática,agregando que se cuenta con la asesoría de la empresa Solnet S.A., la que prestaayuda en el mejoramiento continuo de los sistemas y migración de la plataformatecnológ ica.

Respecto de lo expresado en el párrafoprecedente, corresponde mantener la observación formulada sobre la materia, dadoque el profesional a cargo del departamento de computación e informática no cuentacon la calificación técnica necesaria, dado su título de ingeniero comercial, profesiónno relacionada específicamente con las labores propias del encargado de lossistemas de información del municipio. Cabe señalar, que el departamento seencuentra conformado, además, por cuatro profesionales del área de sistemas,quienes en su conjunto elaboran las tareas de dicho departamento, sin embargo, lasdecisiones y responsabilidades pertinentes recaen en el encargado señaladoanteriormente.

En cuanto a la inexistencia de matrices decontrol, la autoridad, en su respuesta expone que el departamento señalado cuentacon una matriz de riesgos, elaborada con información estadística histórica del áreainformática, ajustada a valorización de la infraestructura de TI actual del municipio, porlo que procede levantar la observación.

Adicionalmente, en relación a la falta derevisiones programadas y auditorías con un enfoque a las TI, el alcalde informa quese han efectuado las siguientes fiscalizaciones:



- 11 -

• Revisión funcionamiento del servidor central Libra 400, realizado por laempresa Unisys S.A.

• Estudio de utilización de los sistemas computacionales que apoyan la gestiónde las direcciones municipales, realizado por DICTUC.

• Estudio de los sistemas de información, para la generación de indicadores detoma de decisiones, realizado por la empresa Solnet S.A.

Analizada la respuesta del alcalde,corresponde levantar la observación formulada, excepto lo referido a la ausencia derevisiones programadas, toda vez que éstas no han sido efectuadas. Cabe señalarque estas revisiones corresponden a chequeos realizados de acuerdo a unaplanificación de medidas preventivas en forma periódica, acciones que no se adviertehayan sido efectuadas por el municipio. En efecto, la autoridad indica que sedesarrolló una auditoría por la empresa Unisys S.A., la cual tuvo como objeto revisarel funcionamiento del servidor central Libra 400, sin embargo, dicha revisión no tienerelación con lo observado, respecto a las revisiones programadas de la plataforma desoftware y hardware.

2.- Riesgos asociados a TI.

Según los datos levantados, se consideraronlos siguientes riesgos asociados a los procesos de TI municipales:

a) Obtención y/o renovación de permiso de circulación sin ingreso y/oacreditación física y online de datos sobre propietario, placa patente única,seguro obligatorio, revisión técnica y multas impagas.

b) Obtención y/o renovación de patente municipal sin ingreso y/o acreditaciónde datos de contribuyente, propiedad, sucursales y datos del Servicio deImpuestos Internos.

e) Emisión de decretos de pago sin registrar datos y/o sin comprobantes.

d) Decretos de pago imputados a cuentas presupuestarias que nocorresponden.

e) Emisión de cheque individual sin consultar datos en sistema de contabilidadgubernamental.

f) Recepción de pagos con cálculo de intereses y multas fuera del período.

111.- REVISiÓN DE CONTRATOS VIGENTES ASOCIADOS A TI.

Los contratos suscritos por la Municipalidadde Las Condes en el ámbito de TI son operados por las empresas Adexus S.A.,Asesoría y Capacitación Technotronic Ltda., Bell Technologies S.A., DirectTV ChileTelevisión Ltda., Elías Juri Clavería, E-Sign S.A., GTD Teleductos S.A., Ingeniería yProcesos Electrónicos Contables S.A., Legal Publishing Chile Ltda., Servicio deRegistro Civil e Identificación, Sociedad de Inversiones Unga S.A. y TecnodiskServicio de Computación Ltda.



- 12 -

Tales contratos, en el período en examen,están normados técnicamente y en funcionamiento, realizándose análisis y pruebasde validación de integridad de datos a registros de procesos críticos, evaluación dedisponibilidad, tiempos de respuesta y reportes de salida.

En cuanto a los aspectos administrativos, esnecesario señalar lo siguiente:

1.- ADEXUS S.A.

Mediante decreto alcaldicio sección 1aN° 2.410, de 12 de mayo de 2009, se adjudicó a la empresa ADEXUS S.A., previalicitación pública, ID N° 2560-18-LP09, la prestación del "Servicio de centros deimpresión multifuncionales y fotocopiado de planos para las unidades de laMunicipalidad de Las Condes", y sus modificaciones, que se indican en cuadroadjunto.

N°decreto

alcaldicioServicio

Valormensual

ás IVAFecha

Servicio original2.410 12-05-2009 144,822

Incorpora 5 nuevas impresorasmultifuncionales marca Samsung,modelo 6545N, estableciéndose un valorunitario mensual es de 1,53 UF más IVA,lo anterior rige desde el 1 de marzo de2010.

951 18-02-2010 7,650

Traspasa la supervisión del servicio aldepartamento de administración,dependiente de la dirección deadministración y finanzas.

1.252 19-03-2010 o

Incorpora urna impresora multifuncionalmarca Samsung, modelo 6545N.1.441 01-04-2010 1,530

Total 154,002

La vigencia del contrato es a contar de lafecha de puesta en funcionamiento del servicio en su totalidad, por un período de 36meses.

El costo fijo mensual asciende a 154,002 UFmás IVA, más un costo variable mensual de 0,052466 UF, que se detalla en cuadrosiguiente:

Servicio Costo unitario UF más IVAImpresión en blanco y negro 0,00017Impresión a color 0,00158Metro lineal de fotocopiado de planos 0,052466



- 13 -

Para el fiel cumplimiento del servicio se hizoentrega de una boleta de garantía N° 1144632, del Banco Internacional, por un montode $ 23.000.000.-, con vencimiento al 5 de octubre de 2011.

Durante el período en estudio el municipio noha realizado desembolsos por el contrato en referencia.

El contrato no considera cláusulas sobreoperaciones orientadas a:

• Asesoría técnica a proporcionar.• Planes de contingencia en caso de fallas en equipamiento.• Especificaciones de los detalles técnicos por servicios entregados.

2.- Asesorías y Capacitación Tecnotronic Ltda.

Mediante decreto alcaldicio sección 1aN° 1.878, de 15 de abril de 2010, se contrató vía trato directo, ID N° 2345-1584-SE10,a la empresa Asesorías y Capacitación Tecnotronic Ltda., para la prestación delservicio de instalación de switches centrales de respaldo en la sala de computaciónubicada en Avda. Presidente Riesco N° 5.296, Y sala de telefonía, ubicada en piso 8°del edificio municipal ubicado en Avda. Apoquindo N° 3.400, con una vigencia de 90días a partir de la fecha de notificación del decreto alcaldicio. El valor total del servicioasciende a 87,79 UF IVA incluido.

El decreto alcaldicio invoca la causal de tratodirecto contenida en el N° 7, letras f) y g), del artículo 10 del decreto 250, de 2004, delMinisterio de Hacienda, esto es, que según la magnitud e importancia que implica lacontratación se haga indispensable recurrir a un proveedor determinado en razón dela confianza y seguridad que se derivan de su experiencia comprobada en la provisiónde los bienes o servicios requeridos, y siempre que se estime fundadamente que noexisten otros proveedores que otorguen esa seguridad y confianza, como asimismo,cuando se trate de la reposición o complementación de equipamiento o serviciosaccesorios, que deben necesariamente ser compatibles con los modelos, sistemas oinfraestructura previamente adquirida por la respectiva entidad, respectivamente,siendo publicado en el portal mercadopúblico.

Para el fiel cumplimiento del servicio, laempresa debía hacer entrega de una boleta de garantía o vale vista a nombre de lamunicipalidad, por un monto equivalente al 10% del valor total del contrato, con unavigencia igual a la del contrato más 30 días, documento que no fue proporcionado porel municipio durante al auditoría.

Sobre lo anterior, el alcalde en su respuesta,no adjunta la boleta de garantía respectiva, por lo que se mantiene la observación.

Durante el período en estudio el municipio noha realizado desembolsos por el servicio contratado.

En relación al contrato, no se considerancláusulas sobre operaciones orientadas a:

• Fechas de facturación de los servicios.• Especificaciones de valores y detalles técnicos por servicios entregados.• Multas por fallas en el servicio.



- 14-

• Asesoría técnica a proporcionar.• Plan de contingencia por siniestros físicos.

3.- Bell Technologies S.A.

Mediante decreto alcaldicio sección 1aN° 4.967, de 21 de noviembre de 2008, se adjudicó a la empresa mencionada,mediante licitación pública ID N° 2560-11014-LP08, el servicio de "Arriendo de centraltelefónica y otros servicios para el sistema de telefonía de la Municipalidad de LasCondes", con una vigencia por 48 meses, período que podría renovarse por única vezhasta por un máximo de 12 meses.

La prestación adjudicada ha incorporadosucesivas modificaciones, pagando la Municipalidad de Las Condes un valor mensualascendente a 234,42279 UTM, IVA incluido, cuyo detalle se indica a continuación:

ValorN° decreto Fecha Servicio mensualalcaldicio UTMIVA

incluido

4.967 21-11-2008 Servicio original 230,94121

Supervisión del..

servrcio,corresponderá al departamento de

1.164 12-03-2010 administración, dependiente de la Odirección de administración yfinanzas.Incorpora 40 equipos telefónicosmarca Avaya, modelo 1608 tipo Bpor un valor de 0,05326 UTM más

2.332 20-05-2010 IVA; y 10 equipos telefónicos 3,48158maraca Avaya modelo 9620 tipo Apor un valor de 0,07953 UTM másIVA.

Total 234,42279

Para el fiel cumplimiento del contrato, laempresa citada hizo entrega de las boletas de garantías N° 371860-2, por 700 UF, YN° 371861-0, por 300 UF, por responsabilidad civil por daños a terceros, ambosdocumentos del Banco de Chile, con vencimiento al 21 de enero de 2013.

Durante el período en estudio el municipio hadesembolsado la suma de $ 8.445.289.-, el detalle se señala en anexo N° 5.1.

En relación al contrato en comento, no seconsideran cláusulas sobre operaciones orientadas a:

• Plan de contingencia en caso de desastres y/o pérdidas de las comunicaciones.• Fechas de facturación de los servicios.• Especificaciones de valores y detalles técnicos por servicios entregados.• Asesoría técnica a proporcionar.



-15 -

4.- DirectTV Chile Televisión Ltda.

Mediante decreto alcaldicio sección 1aN° 862, de 23 de febrero de 2005, fue formalizado el contrato entre esa entidadmunicipal y la empresa Sky Chile Televisión Directa al Hogar Limitada y Compañía enComandita por Acciones, hoy DirectTV Chile Televisión Ltda., para la prestación delservicio de televisión satelital en el edificio municipal, estableciéndose una vigencia deun año, pudiendo renovarse automáticamente por períodos iguales de 6 meses.

Sobre el particular, cabe señalar que, elservicio fue contratado vía trato directo, no aduciendo una causal legal oreglamentaria para recurrir a tal modalidad excepcional de contratación.

Además, el decreto alcaldicio ya indicado, nofue publicado en portal www.mercadopublico.c1. de acuerdo a las verificacionesefectuadas. Consultado al respecto al jefe de computación e informática, éste señalómediante correo electrónico de 10 de noviembre de 2010, que a la fecha del citadodocumento, que corresponde al 23 de enero de 2005, no era requisito de la Ley deTransparencia realizar dicha publicación.

Sobre lo anterior, resulta del caso precisarque la obligación de que se trata no encuentra su origen en el cuerpo legal señaladopor el aludido funcionario, sino en los artículos 18,19 Y 20 de la ley N° 19.886, deBases sobre Contratos Administrativos de Suministro y Prestación de Servicios, y sureglamento, contenido en decreto N° 250 de 2004, del Ministerio de Hacienda, queexigen la concurrencia de una causal legal para la realización de contrataciones víatrato directo, y que ello se apruebe mediante resolución fundada, que debe publicarseen el portal de compras públicas, según los artículos 8° de la ley y 10°, 49, 50 Y 57,letra d) de su reglamento.

En todo caso, si la explicación del aludidofuncionario se refiriera a la entrada en vigencia plena del sistema de información de laley de compras públicas, debe precisarse que ello se produjo el 1° de enero de 2005,conforme los decretos N°s 1.179, de 2003, y 638, de 2004, ambos del Ministerio deHacienda, a través de los cuales se estableció el calendario de incorporación gradualde las municipalidades al sistema de información, de modo tal que, al momento desuscribirse el contrato impugnado -23 de febrero de 2005- la Municipalidad de LasCondes se encontraba en la obligación de dictar una resolución fundada y publicarlaen el portal.

Respecto del fiel cumplimiento del contrato,no se encuentra estipulada la entrega de algún documento de resguardo.

En su respuesta, el edil señala que seprocederá, durante el año 2011, a efectuar una licitación del servicio de TV cable, paraefectos de regularizar la falta de razones fundadas para la contratación directa delservicio.

Sobre la falta de estipulación de garantías enel contrato precedentemente señalado, el edil no se pronuncia.

Al respecto, se levanta la observación, en elentendido que el municipio efectivamente licitará los servicios de que se trata durante

~ 2011, lo que será verificado en futuras fiscalizaciones.



- 16 -

El contrato ha sufrido sucesivasmodificaciones, cuyo detalle se indica a continuación, debiendo pagar la Municipalidadde Las Condes un valor mensual ascendente a $ 180.500.-.

ValorN° decreto Fecha Servicio mensual $alcaldicio IVA

incluido

862 23-02-2005 Contrato original. 76.000

Establecer que la empresa con la que se2.540 27-06-2006 suscribió el contrato es DirectTV Chile O

Televisión Ltda.

Incorpora servicio de televisión satelital a

4.967 26-12-2007 los departamentos de seguridad ciudadana 73.000y emergencia, y en el nuevo edificio decentro comunitario Padre Hurtado.

Incorpora el servicio de televisión satelital al964 18-02-2010 departamento de deportes eventos y 31.500

recreación.Total 180.500

Durante el período en revisten esa entidadcomunal desembolsó la suma de $ 39.050.-, por los servicios prestados, de acuerdo alos antecedentes puestos a disposición por esa corporación en el transcurso de lavisita. Ver anexo N° 5.2.

En relación al contrato y sus modificacionesposteriores, no se consideran cláusulas sobre operaciones orientadas a:

• Fecha de facturación de los servicios.• Especificaciones de valores y detalles técnicos por servicios entregados.• Multas por fallas.• Asesoría técnica a proporcionar.

5.- Elías Juri Clavería

Con fecha 8 de abril de 1997, esa entidadcomunal celebró con don Elías Juri Clavería un contrato para la entrega de serviciosde acceso, información, atención, diseño de páginas Web y servicios virtuales deInternet, acto formalizado por decreto alcaldicio sección 1a N° 753, de 14 de abril de1997, con una duración de 2 años contados desde la fecha de inicio, siendo renovadotácita y automáticamente por períodos iguales y sucesivos de dos años, y cuyo pagomensual asciende a $ 950.000.- más IVA.

Posteriormente, con fecha 1 de octubre de2003, el contrato fue modificado y ampliado en lo que respecta a otorgar al municipioel servicio de asistencia periodística, a través de un profesional del área, para eldiseño de una página Web, y de un administrador de correos electrónicos corporativosy administración de base de datos, lo que fue aprobado por decreto alcaldicio sección



- 17 -

1a N° 2.787, de 13 de octubre de 2003, fijándose un honorario mensual de$ 2.027.653.-.

Para el fiel cumplimiento del contrato, donElías Juri Clavería debía hacer entrega de una boleta de garantía o vale vista por unmonto de 130 UF, con una vigencia igual al plazo que reste de la prórrogaactualmente vigente del contrato, más 30 días.

La supervisión del contrato corresponde aldepartamento de informática, unidad que tiene a cargo la supervisión técnica yadministrativa en lo que dice relación con la visación de los pagos a efectuar alcontratista.

Con fecha 1 de febrero de 2010, laMunicipalidad de Las Condes modificó el contrato en referencia, estableciéndose queel valor mensual de los servicios contratados asciende a $ 2.511.731.-, más IVA, actoque fue formalizado por decreto alcaldicio sección 1a N° 1.337, de 25 de marzo de2010.

Para garantizar el fiel y oportunocumplimiento del contrato, el señor Juri Clavería hizo entrega de una boleta degarantía bancaria N° 060017-7, del Banco de Chile, por 140 UF, a nombre de lamunicipalidad, con fecha de vencimiento el 21 de mayo de 2012.

En el período bajo examen, esa entidad hadesembolsado la suma $ 17.481.673.-, por los servicios recibidos, ver anexo N° 5.3.

En relación al contrato y sus modificaciones,no se consideran cláusulas sobre operaciones orientadas a:

• Plan de contingencia para accesos indebidos y lógicos.• Cumplimiento de normativa gubernamental respecto a publicación, uso y

administración de la información municipal.• Disposiciones para informar, notificar e investigar los incidentes y las

violaciones a la seguridad a través del sitio Web.• Especificaciones de valores y detalles técnicos por servicios entregados.• Asesoría técnica a proporcionar.• Confidencialidad de la información municipal.

6.- E-Sign S.A.

Mediante decreto alcaldicio sección 1aN° 2.408, de 26 de mayo de 2010, esa entidad comunal contrató a la empresa citada,la adquisición de software de firma electrónica y el servicio denominado "Emisión decertificados electrónicos para permisos de circulación de la Municipalidad de LasCondes", con vigencia hasta el 31 de diciembre de 2010.

El servicio fue adquirido mediante tratodirecto, invocando el artículo 10 N° 7 letra g), del decreto 250 de 2004 del Ministeriode Hacienda, en el cual autoriza dicha modalidad "Cuando se trate de la reposición ocomplementación de equipamiento o servicios accesorios, que deben necesariamenteser compatibles con los modelos, sistemas o infraestructura previamente adquirida porla respectiva entidad", asimismo, se dictó la respectiva resolución fundada, la cual fuepublicada en el portal www.mercadopúblico.cl. mediante orden de compra



-18 -

.li)L

N° 2345-1584-SE10. Sobre el particular, no se determinaron observaciones queformular en la materia examinada.

La prestación señalada comprendeconfiguración de implementación e integración de plataforma, así como la firmaelectrónica de documentos correspondientes al tramo 501-1.000 mensual. Acontinuación, se indica los costos de servicios y adicionales:

Servicio ValorIncorporación de software de firma 165 UF más IVA por una solaelectrónica vez.Servicio de firma electrónica correspondiente 15,71 UF más IVA.al tramo 501-1.000Costo por superar las 1.000 unidades 0,0157 UF más IVA por cada

firma electrónica adicional.

Para el fiel cumplimiento de la ejecución delos servicios, la empresa hizo entrega de la boleta de garantía N° 272897, del BancoSecurity por $ 813.468.-, con vencimiento al 28 de febrero de 2011, sin embargo,dicho documento no dice relación con lo establecido en el decreto alcaldicio ya citado,toda vez que el valor de la boleta de garantía debiera ser el equivalente en UF, y novalorizada en pesos, como ocurre en la especie.

La autoridad edilicia en su respuesta noadjunta antecedentes que permitan salvar lo observado respecto de la garantíaseñalada anteriormente, por lo que procede mantener dicha objeción.

Durante el período en estudio el municipio noha realizado desembolsos por estos servicios.

En relación con el contrato analizado, no seconsideran cláusulas sobre operaciones orientadas a:

• Especificaciones de los detalles técnicos por servicios entregados.• Asesoría técnica a proporcionar.• Fecha de inicio del contrato.• Multas por fallas en el servicio entregado.• Plan de contingencias para siniestros físicos y lógicos.

7.- GTD Teleductos S.A.

a) Servicio de instalación de acceso Frame Relay digital a 128 Kbps

Con fecha 14 de febrero de 1996, esa entidadedilicia suscribió con la empresa Teleductos S.A., hoy GTD Teleductos S.A., uncontrato por el servicio de instalación de acceso Frame Relay digital a 128 Kbps,equipado con elemento terminal de comunicación y router interfaz usuario RJ-45 enAvda. Presidente Riesco N° 5.296, con los siguientes puntos: "Isidora GoyenecheaN° 3.372, Avda. Apoquindo N° 3.384, Avda. Apoquindo N° 3.300, Avda. ApoquindoN° 3.401 Y Callao N° 2.928".

Dicho contrato fue sancionado mediantedecreto alcaldicio sección 1a N° 502, de 8 de marzo de 1996, con una duración de 3años a contar de la fecha de suscripción, pudiendo ser renovado por períodos igualesy sucesivos de un año.



- 19 -

El valor inicial a pagar por los servrcroscontratados ascendía a 70 UF más IVA por la instalación, monto que se pagó por unasola vez, y 48,5 UF más IVA mensual por el arriendo y mantención de las cinco líneas.

Durante el período en estudio, esa entidadcomunal ha desembolsado la suma de $ 57.562.750.-, ver anexo N° 5.4.

Para el fiel cumplimiento del contrato y laejecución de los servicios, la empresa hizo entrega la boleta de garantía N° 256126,del Banco Security, por 14,28 UF, con vencimiento al 30 de septiembre 2010,documento renovado por boleta de garantía N° 280610, de 30 de septiembre de 2010,del mismo banco, por 14,28 UF, con vencimiento al 30 de noviembre de 2011.

El contrato citado ha sido modificado endiversas oportunidades, incorporándose nuevos servicios y modificándose el valormensual a pagar. En efecto, el valor a pagar por los servicios contratados por laMunicipalidad de Las Condes asciende a 365,63 UF más IVA. Ver anexo N° 6.1.

b) Servicio de traslado, instalación y puesta en marcha del enlace de fibraóptica para redes de computación en dependencias municipales

Mediante decreto alcaldicio sección1a N° 3.198, de 9 de julio de 2008, se contrató con la empresa ya citada, vía tratodirecto, el servicio de traslado, instalación y puesta en marcha del enlace de fibraóptica para redes de computación en dependencias municipales, según se indica:

Ubicación actual Ubicación traslado

Conexión Origen Conexión de destino Conexión Origen Conexión dedestino

Avda. Cristóbal Avda. Alexander Avda. Cristóbal Avda. PadreColón N° 9.331 Fleming Colón N° 9.331 Hurtado N° 1.155N° 9.601

La duración del servicio tuvo una vigencia de15 días, contados desde la notificación del decreto alcaldicio y un valor total de 11,9UF IVA incluido, no encontrándose éste vigente a la fecha.

La Municipalidad de Las Condes no puso adisposición de esta Contraloría General la boleta de garantía por fiel cumplimiento delservicio.

En su respuesta, la autoridad comunal noadjunta los antecedentes relacionados con la boleta de garantía, por lo que procedemantener la observación.

En relación a los contratos referidos no seconsideró cláusulas sobre operaciones orientadas a:

• Planes de contingencia en caso de desastres físicos.• Multas por fallas en el servicio entregado.• Asesoría técnica a proporcionar.• Fecha de facturación del servicio.• Especificaciones de los detalles técnicos por servicios entregados.• Disposiciones para informar, notificar e investigar los incidentes y las

violaciones a la seguridad.



- 20-

8.- Ingeniería y Procesos Electrónicos Contables S.A.

a) Desarrollo de sistemas administrativos

Mediante decreto alcaldicio sección1a N° 1.467, de 23 de octubre de 1987, se adjudicó a la empresa Proexsi Ltda. lapropuesta pública denominada sistema computacional integral bajo la modalidad "Inhouse service", para el desarrollo de los sistemas que se indican, con un valormensual de 842 UF IVA incluido, más 5.627 UF, IVA incluido, por el período derenovación de permisos de circulación, y con vigencia de 3 años, renovable porperíodos sucesivos de 2 años.

El contrato en análisis está compuesto de dosetapas, la primera comprende remuneraciones personal municipal, personal PEM,personal POJH, registro comunal permisos de circulación, licencias de conducir,patentes comerciales, control de bienes, adquisiciones y control de bodega; y,contabilidad gubernamental (contabilidad de caja, contabilidad central y contabilidadpresupuestaria). La segunda etapa comprende contabilidad gubernamental(conciliación bancaria, análisis contable, análisis de gestión y análisis de gastos),banco de datos sociales, banco de datos propiedades comunales y organizacionescomunitarias.

La prestación de los servicios se encuentrarespaldada mediante boleta de garantía N° 18737 de Banco Santander Chile, por1.296,1242 UF, con vencimiento el 29 de junio de 2011.

La prestación adjudicada ha incorporadosucesivas modificaciones, las que se detallan en anexo N° 6.2, siendo las últimas lassiguientes:

• Con fecha 29 de mayo de 2007, mediante decreto alcaldicio sección1a N° 2.548, se estableció los valores unitarios mensuales a cobrar por losservicios contratados, los que serían los siguientes:

Servicio computacional UF mensual más IVARemuneraciones 54,25Reqistro comunal permisos de circulación 173,84Licencias de conducir 56,58Patentes municipales 10,50Control de bienes 14,00Adquisición y control de bodegas 23,33Contabilidad gubernamental 104,41Banco de datos propiedades comunales 28,58Oficina de partes 52,19Juzgados de policía local 20,00Administración red departamento de licencias de conducir 60,00Administración red departamento de Juzgados de PolicíaLocal 80,00Partes empadronados departamento de seguridad ciudadana 45,00Administración red departamento de patentes municipales ytesorería 50,00Administración red del departamento de seguridad ciudadana 70,00



- 21 -

Administración de dirección de obras municipales 65,00Administración de sistemas de egresos, recursos humanos yremuneraciones 70,00Administración de sistemas de desarrollo comunitario 70,00Sistemas computacionales por Internet y sistema social 41,50

Total 1.089,18

• Mediante decreto alcaldicio sección 1a N° 3.049, de 27 de junio de 2008, seagregan los servicios siguientes:

Servicio computacional Valor UFExtensión horaria por la operación, administración y 1,25 más IVA pormantención de los sistemas computacionales. horaAdministración de sistema computacional para permisos decirculación durante los días no hábiles de marzo y primera 89 más IVA por elsemana de abril. período.Mantención y administración de cartografía digital. 80 más IVA por mes.

• Con fecha 17 de febrero de 2010, mediante decreto alcaldicio sección 1aN° 947, fue incorporado el servicio de desarrollo de sistema computacional dela primera etapa de permisos de circulación online, por un valor de 119 UF, IVAincluido, con una duración de 30 días hábiles a contar de la fecha de firma deldecreto respectivo.

Para el fiel cumplimiento del servicio, laempresa hizo entrega de la boleta de garantía N° 183961, del Banco Santander Chile,por 11,9 UF, con vencimiento el 30 de septiembre de 2010.

• Mediante decreto alcaldicio sección 1a N° 1.119, de 8 de marzo de 2010, seincorporó la mantención y adecuación del sistema de patentes comercialespara emitir certificados de inversiones, solicitud de rebaja y certificado dedistribución de capital propio vía Internet, cuyo valor ascendió a 471,24 UF IVAincluido, con una vigencia desde la fecha de suscripción hasta el 15 de abril de2010.

Para el fiel cumplimiento del servicio laempresa hizo entrega de la boleta de garantía N° 15626, del Banco Santander Chile,por un monto de 118 UF, con vencimiento el20 de junio de 2010.

La Municipalidad de Las Condes paga por losservicios contratados un valor mensual ascendente a 1.169,18 UF más IVA, más loscostos variables por servicio de extensión horaria de las operaciones, cuyo detalle seindica a continuación:

Valor mensual:Concepto UF mensual más IVA

Servicio computacional decreto alcaldicio sección 1a N° 2.548 1.089,18Mantención y administración de cartografía digital. 80,00

Total 1.169,18



- 22-

Valor variableConcepto UF mensual más IVA por hora

Extensión horaria por la operación, administración ymantención de los sistemas computacionales 1,25

Total 1,25

b) Adquisición o arriendo de equipo central y otros servicios o arriendo de Datacentercon equipo central y otros servicios para la Municipalidad de Las Condes

Mediante decreto alcaldicio sección 1aN° 3.967, de 3 de septiembre de 2008, se adjudicó la propuesta pública, ID N° 2560-16-LP08, a la empresa Ingeniería y Procesos Contables Ltda., por el serviciodenominado "Adquisición o arriendo de equipo central y otros servicios o arriendo deDatacenter con equipo central y otros servicios para la Municipalidad de Las Condes",con un plazo de vigencia de 48 meses contados desde la notificación del decretoalcaldicio, sin embargo, se indica que previo acuerdo del concejo municipal podrárenovarse por única vez hasta por un período de 12 meses.

El valor de los servicios asciende a la sumamensual equivalente en pesos a 276,71679 UTM, más IVA.

Mediante boleta de garantía N° 10780, delBanco Santander Chile, por 600 UF Y con vencimiento el 30 de noviembre de 2010, serespalda el fiel cumplimiento del servicio. Sin embargo, el contrato indica que dichaboleta tendrá una vigencia por la totalidad del acuerdo, más 60 días, lo que deberíavencer en noviembre de 2012.

Sobre el particular, la autoridad no sepronuncia, por lo que se mantiene la observación.

Durante el período en estudio, el municipio hadesembolsado por los servicios señalados en las letras a) y b), la suma de$ 334.456.920.-, ver anexo N° 5.5.

En relación a los servicios contratados y susposteriores modificaciones, no se consideran cláusulas sobre operaciones orientadasa:

• Controles para asegurar la protección contra software malicioso.• Procedimientos para determinar si ha ocurrido algún compromiso en los datos

municipales.• Plan de contingencia para accesos indebidos, siniestros físicos y lógicos.• Restricciones de copiado y divulgación de información municipal.• Confidencialidad de la información municipal.• Devolución o destrucción de la información y bienes, amparado por las

regulaciones legales y término de la relación contractual.• Posibilidad de auditar módulos del sistema administrativo municipal y los datos.

En relación a la ausencia de las cláusulasdetalladas anteriormente, el alcalde en su respuesta indica algunas accionesrealizadas por el municipio en éste ámbito, tales como uso de antivirus en servidores,firewa11 y equipo Proxy para control de contenido web, almacenamiento detransacciones en línea en dos pares de discos, migración de datos auditorías amódulos, sin embargo, no señala si se procederá a incluir tales exigencias en lasbases de futuras licitaciones de los servicios.



- 23 -

9.- Legal Publishing Chile Ltda.

Mediante decreto alcaldicio sección1a N° 2058, de 28 de mayo de 2004, se aprobó el contrato celebrado con la empresaLexisNexis Chile Ltda., hoy Legal Publishing Chile Ltda., para el otorgamiento delservicio denominado "Suscripción a un servicio de consulta vía online para el productoFull Legal", con una duración de 6 meses desde el 1 de julio de 2004, renovable porperíodos sucesivos de 1 año. El valor mensual asciende a $ 237.851.-, IVA incluido.

En relación al servrcio mencionadoanteriormente, este fue contratado mediante trato directo, no aduciéndose causal legalo reglamentaria alguna, por lo mismo, no existe una resolución fundada debidamentepublicada en el sistema de información de compras públicas, infringiendo los artículos8° de la ley N° 19.886 Y 10°, 49, 50 Y 57, letra d) de su reglamento.

La autoridad comunal en su respuesta indicaque se está evaluando si existen otras empresas en el mercado que presten losmismos servicios, con el fin de realizar una licitación durante el año 2011.

Tomando en consideración que la respuestasólo alude a una eventualidad, no resuelta, procede mantener la observación. En todocaso, cabe anotar que, de no haber otros oferentes, bien puede celebrarse un nuevotrato directo, pero cumpliendo a cabalidad los requisitos legales y reglamentarios.

Para el fiel cumplimiento del contrato y laejecución de los servicios, la empresa citada hizo entrega de la boleta de garantíaN° 0194658, del Banco Santander Chile, por $ 142.711.-, con vencimiento al 29 dediciembre de 2011.

Durante el período en estudio y, de acuerdo alos antecedentes puestos a disposición, el municipio no ha realizado desembolsos porel contrato.

En relación con este contrato, no seconsideran cláusulas sobre operaciones orientadas a:

• Asesoría técnica a proporcionar.• Multas por fallas en el servicio entregado.• Fechas de facturación de los servicios.

10.- Servicio de Registro Civil e Identificación.

Mediante decreto alcaldicio sección 1aN° 1.929, de 4 de julio de 2000, se aprobó el convenio denominado "Conectividad yprestación de servicios entre el Servicio de Registro Civil e Identificación e IlustreMunicipalidad de Las Condes", el cual fue celebrado con fecha 11 de febrero de 2000.

Los servicios contratados corresponden aconexión a la red corporativa llamada Red SRCel, la cual se realiza a través de unared pública Frame Relay de la empresa Teleductos S.A., sin embargo, se podráadoptar otro mecanismo de conectividad en el futuro.

Asimismo, se estableció que por los serviciosrecibidos, se pagará por una sola vez una cuota de 20 UF más IVA para conectar un

.~1



- 24-

máximo de 3 unidades, y por cada unidad adicional la suma de 3 UF más IVA, másuna cuota mensual de 5 UF más IVA por cada puesto de trabajo.

El convenio tiene una duración indefinidasalvo que alguna de las partes exprese lo contrario con 90 días de anticipación.

Durante el período en estudio el municipio hadesembolsado pagos por el mencionado servicio por la suma de $ 1.497.897.-, veranexo N° 5.6.

11.- Sociedad de Inversiones Unga S.A.

Mediante decreto alcaldicio sección 1a N° 209de 13 de enero de 2010, ID N2345-207-SE10°, se autoriza la contratación directa dela empresa Sociedad de Inversiones Unga S.A., para prestar el servicio de"Recaudación y mantención de sistema computacional de inventario de equipos ybienes", instalado en departamento de administración, por un valor mensual de 8 UFmás IVA, y con una duración hasta el 30 de noviembre de 2012, no especificando lafecha de inicio.

El servicio fue adquirido mediante tratodirecto, invocando el artículo 10 N° 7, letra e), del decreto 250, de 2004, del Ministeriode Hacienda, esto es, cuando la contratación de que se trate sólo pueda realizarsecon los proveedores que sean titulares de los respectivos derechos de propiedadintelectual, industrial, licencias, patentes y otros, antecedentes que se consideransuficientes para la adquisición directa, asimismo, es del caso señalar que se dictóresolución fundada, la cual fue publicada en el portal www.mercadopúblico.cl.nodeterminándose observaciones que formular en la materia examinada.

El presente contrato se encuentra respaldadopor la boleta de garantía N° 145249, del Banco de Crédito e Inversiones, por 19,04UF, con fecha de vencimiento al 31 de diciembre de 2012.

Por el contrato, el municipio ha efectuadopagos por la suma $ 1.101.477.- durante el período revisado, ver anexo N° 5.7.

En relación a lo anterior, no se considerancláusulas sobre operaciones orientadas a:

• Especificaciones de los detalles técnicos del servicio.• Fecha de inicio del contrato.• Asesoría técnica a proporcionar.• Multas por fallas en el servicio entregado.• Controles para asegurar la protección de la información, su respaldo y

administración contra software malicioso.• Plan de contingencias para acceso indebido, siniestros físicos y lógicos.

12.- Tecnodisk Servicio de Computación Limitada.

Mediante decreto alcaldicio sección 1aN° 4.532, de 16 de noviembre de 2009, se adjudicó a la empresa Tecnodisk Serviciode Computación limitada, la licitación pública N° 2560-53-LP09, para la "Adquisiciónde computadores personales para la Municipalidad de Las Condes", por un montototal de $ 99.560.042.- IVA incluido, por la adquisición de 141 computadores



- 25-

personales con licencia de Microsoft Office 2007, con una vigencia desde el 17 denoviembre de 2009 hasta el31 de diciembre de 2010.

Para el fiel cumplimiento del contrato y laejecución de los servicios, la empresa hizo entrega la boleta de garantía N° 0356740,del Banco de Crédito e Inversiones, por $ 5.000.000.-, con vencimiento al 31 dediciembre de 2010.

Posteriormente, mediante decretos alcaldiciossección 1a N°s 189, de 12 de enero, y 4.028, de 13 de octubre, ambos de 2010, semodificó el acuerdo, según detalle que se indica a continuación:

Decreto Fecha Monto Cantidad Licencia Officealcaldicio $ de equipos 2007

N°

189 12.01.10 42.365.97520 -V40

...¡

4028 13.10.10 16.421.640 30 X

Durante el período en estudio el municipio noha realizado desembolsos en relación con el contrato mencionado.

En el contrato no se consideran cláusulassobre operaciones orientadas a:

• Plan de contingencia en caso de desastres físicos.• Asesoría técnica a proporcionar post-venta.• Especificaciones técnicas de los bienes entregados.

En relación con los contratos con lasempresas señaladas precedentemente, deben efectuarse los siguientes alcances:

a) Debido al alto nivel de especificaciónde las bases administrativas y técnicas desarrolladas por el municipio para adquirirservicios informáticos, la cantidad de oferentes se reduce ostensiblemente,prolongando el suministro de los servicios por parte de las mismas empresasproveedoras.

b) Respecto de los contratos celebradoscon fecha anterior a la entrada en vigencia de la ley N° 19.886, con la empresaIngeniería y Procesos Electrónicos Contables, año 1987; GTD Teleductos S.A, año1996, y Elías Juri Clavería, año 1997, cabe indicar que, si bien el artículo tercerotransitorio de la ley N° 19.886, de Bases sobre Contratos Administrativos deSuministro y Prestación de Servicios, señala que los contratos administrativos que seregulan en dicha ley y cuyas bases hayan sido aprobadas antes de la entrada envigencia de la misma, se regularán por la normativa legal vigente a la fecha deaprobación de las correspondientes bases, lo que determina que tales contratosquedan excluidos de la regulación establecida en dicho cuerpo legal, debe tenersepresente que el inciso primero del artículo 9° de la ley N° 18.575, OrgánicaConstitucional de Bases Generales de la Administración del Estado, previene que "Loscontratos administrativos se celebrarán previa propuesta pública, en conformidad a laley", agregando su inciso segundo que "El procedimiento concursal se regirá por losprincipios de libre concurrencia de los oferentes al llamado administrativo y deigualdad ante las bases que rigen el contrato".



- 26-

Conforme lo anterior, la jurisprudenciaadministrativa ha concluido que las cláusulas contractuales de renovación automáticapugnan con el principio de transparencia, en cuanto por su intermedio la autoridadadministrativa omite o evita la exposición de acuerdos reales o tácitos con sucontraparte particular, en orden a mantener un status qua fijado con anterioridad, demodo tal que la administración se encuentra impedida de prolongar sus contratacionesmediante continuas prórrogas, en tanto ello vulnera el principio de probidadadministrativa, por la vía del principio de transparencia (aplica criterio contenido endictamen N° 46.746, de 2009 y 7.661 de 2010).

e) Respecto de las prestaciones deservicios posteriores a la vigencia de la citada ley N° 19.886, el municipio haestablecido renovaciones sucesivas de los servicios y/o insumas contratados con lasempresas señaladas en cuadro adjunto:

Empresa Servicio con prórroga

Bell Technologies S.A. -VDirectTV Chile Televisión Ltda. -V

Legal Publishing Chile Ltda. ...¡

Sobre el particular, cabe señalar que lajurisprudencia de este Organismo de Control ha manifestado que la práctica deacordar continuas prórrogas de contratos, cuya vigencia se extiende, enconsecuencia, indefinidamente, no parece conciliable con el artículo 9 del DFL. N° 1-19.653, de 2000, del Ministerio Secretaría General de la Presidencia, que fija el textorefundido, coordinado y sistematizado de la ley N° 18.575, Orgánica Constitucional deBases Generales de la Administración del Estado, ni con el sistema de licitaciónpública establecido en la ley N° 19.886, cuya finalidad es asegurar la libreconcurrencia de una pluralidad de proponentes, con el objeto de seleccionar la ofertamás conveniente al interés del servicio licitante (aplica criterio contenido endictámenes N°s 48.524, de 2006, 19.712, de 2007, entre otros).

Asimismo, debe tenerse presente al respectolo establecido en el artículo 12 del reglamento de la ley N° 19.886.

d) Solicitados los contratos celebradosentre esa entidad comunal y las empresas ADEXUS S.A.; Asesorías y CapacitaciónTecnotronic Ltda., Bell Technologies S.A., E-Sign S.A., Ingeniería y ProcesosElectrónicos Ltda., Sociedad de Inversiones Unga S.A. y Technodisk Servicios deComputación Ltda., por los servicios prestados, el jefe del departamento decomputación e informática, mediante correo electrónico, de 26 de octubre de 2010,informó que las prestaciones otorgadas por las empresas citadas precedentemente nose encuentran formalizadas mediante un contrato, toda vez que están regulados através del decreto alcaldicio respectivo y la notificación a la empresa proveedora.

e) En relación al presupuesto municipaldel área informática, se observa que el presupuesto correspondiente al 2010, registraun aumento de un 5,34% en comparación al presupuesto del año 2009, y se haejecutado, al 25 de octubre de 2010, un total de $ 738.422.434.-, lo que equivale al51,05%, ver anexo N° 7.

En su respuesta, la autoridad no se pronunciarespecto a lo señalado en la letra a), por lo que procede mantener la observación.

o~

~



- 27 -

Adicionalmente, cabe señalar que la alta especificidad impuesta por el municipio enlos requerimientos de las licitaciones, conlleva a que se prorrogue en forma sucesivalos servicios de un mismo proveedor, en desmedro de otros existentes en el mercado,que prestan el mismo servicio.

Respecto a lo informado en las letras b), y e),el alcalde indica que se incluirán cláusulas especiales que permitan regular aquelloscontratos que contravienen lo dispuesto en la ley N° 19.886, sin embargo, dichasmedidas no han sido ejecutadas a la fecha, por lo que se mantienen lasobservaciones.

Seguidamente, en cuanto a la letra d), seinvoca por parte de la autoridad edilicia, el artículo N° 1.438 del Código Civil, el cualseñala que un "Contrato o convención es un acto por el cual una parte se obliga paracon otra a dar, hacer o no hacer alguna cosa. Cada parte puede ser una o muchaspersonas, en consecuencia, es contrato, cualquier acuerdo de voluntades, que nazcadel concurso real de las voluntades de dos o más personas y que tenga por objetoque las partes se obliguen para con otra a dar, hacer o no hacer alguna cosa. Loanterior, independientemente de la materialización jurídica de ella, la cual no esexigida como requisito para la existencia de un contrato."

Sobre lo anterior, cabe señalar, que alsuperar el valor del servicio recibido, la suma de 100 UF, éste debe ser formalizado através de un contrato de prestación de servicios (aplica criterio contenido en dictamenN° 15.554, de 2010).

Evaluados los antecedentes, procedemantener las observaciones, toda vez que no se enuncian medidas al respecto, y losantecedentes aportados no permiten subsanar lo objetado.

Respecto a la ausencia de cláusulas en loscontratos, sobre asesoría técnica a proporcionar, planes de contingencia antes fallasen el equipamiento, especificación de los detalles técnicos y fechas de facturación delos servicios, la autoridad comunal, en su respuesta, señala que éstas se encuentranincorporadas en las respectivas bases administrativas y técnicas, las cuales formanparte integral del contrato. Evaluados los nuevos antecedentes proporcionados,procede levantar las observaciones formuladas respecto de los contratos N°s 1; 3; Y12, por cuanto los antecedentes fueron suministrados. Sin embargo, se debemantener las observaciones de los contratos N° s. 2; 4; 5; 6; 7; 9; Y 11, debido a queno se adjuntan los antecedentes respectivos.

IV.-CONTROLES GENERALES ASOCIADOS AL ENTORNO TI.

1.- Controles generales de tecnologías de información.

a) La auditoría practicada comprobó quelos controles asociados a las tecnologías de información no cumplen a cabalidad conel resguardo de información, debido a que el perfilamiento en los accesos poseediferentes asignaciones de permisos, a pesar de estar éste estructurado y asignadopor el administrador de los sistemas municipales, generando un constante incrementoen los tipos de cuentas que acceden a los sistemas administrativos y, a su vez,pudiendo permitir el acceso de personas no autorizadas a los atributos de lectura,



- 28 -

grabación, errusron, impresión y otros, respecto de procesos informatizados queinvolucran datos sensibles que administra esa entidad edilicia.

b) Se comprobó que no existenprocedimientos de encriptación de la información.

c) A nivel municipal, no existe unprocedimiento formal de eliminación de la información respaldada, sin embargo, éstase realiza anualmente.

d) En relación al mantenimientopreventivo, se acreditó que este servicio se encuentra externalizado por parte delmunicipio.

e) El jefe del departamento decomputación e informática señaló, mediante memorando N° 574 de 21 de septiembrede 2010, que las políticas de adquisición de software consisten en adquirir equipos demarca 18M, Lenovo, HP, Oell, Compaq entre otros, con el sistema operativopreinstalado con sus respectivas licencias de Windows sin plazo de expiración,asimismo, para cada equipo se adquieren las licencias de Microsoft Office y AntivirusMcAffe , y en relación a licencias de software opensource, se indica que estas no sonutilizadas.

f) En cuanto a la vulnerabilidad de lasredes municipales, se dispone de los siguientes elementos para salvaguardarlas:

• Firewall con control de contenido marca Sonicwall modelo NSA 3500.• Tres Firewall Cisco 515.• Software de analizador de red Sniffer Portable LAN.• Software de administración de redes 3 COM Intelligent Management Center.

g) De acuerdo a las validacionesefectuadas se corroboró que el procedimiento utilizado para el control de stock mínimoconsiste en externalizar los servicios tecnológicos, incorporando en las bases delicitación "la solución llave en mano", es decir, el suministro total de los servicios,insumos y operaciones por parte de la empresa.

Para insumos menores se dispone de un stockmínimo, de acuerdo al análisis de la demanda histórica de consumo de las unidadesmunicipales, entre los que se cuentan OVO, CO, mouse y otros insumos informáticos.

h) En relación a la normativa deseguridad y certificación de instalaciones de sistemas de control de acceso a la salade servidores, se indican a continuación aquellas informadas mediante memorándumN° 574, de 21 de septiembre de 2010:

• En sala servidores de Avda. Apoquindo N° 3.400, se dispone de protocolo decontrol de acceso mediante tarjeta magnética y llaves de seguridad.

• En sala de equipos del edificio centro cívico, se dispone de llaves con copia enguardia central y copia en departamento de computación e informática.

• En sala de equipos de seguridad ciudadana y emergencia se dispone de llavescon copia en guardia central y copia en departamento anteriormente señalado.

• En la oficina de Proexsi Ltda., ubicada en calle Moneda N° 1.040, se encuentraequipo central de respaldo, que dispone de protocolo de control de accesomediante tarjeta magnética y operador 7x24.



- 29-

• En sala de servidores de dirección de tránsito se dispone de llaves, una a cargodel jefe de la unidad de Proexsi Ltda.; y una copia en el departamento decomputación e informática.

• Para acceder a la sala de servidores es necesario dar aviso previo a laencargada de la empresa Proexsi Ltda., la cual presta servicios en lasinstalaciones del departamento de tránsito. Asimismo, en el caso de realizaralguna mantención, ésta debe estar previamente coordinada con Proexsi Ltda.

i) Los procedimientos para el proceso deasignación, modificación y eliminación de perfiles de accesos y atributos para el usode sistemas administrativos por parte del personal municipal consisten,principalmente, en crear perfiles de usuarios por grupos a los cuales pertenece unfuncionario; además, si procede, un funcionario puede pertenecer a más de un perfildentro de un sistema o varios sistemas.

La administración de perfiles de usuariosforma parte de la administración de sistemas contratada a la empresa Proexsi Ltda.;de acuerdo a solicitudes específicas de los funcionarios responsables yadministradores de sistemas.

j) Existe un registro de incidentes depérdidas de datos, en formato planilla, donde cada mes hay un registro de lassuspensiones y las caídas del servicio.

En su respuesta la autoridad municipal indica,respecto de la letra a), que los perfiles son creados de acuerdo a las funciones decada empleado, asimismo, cada sistema posee un módulo de administración deusuarios, y que se generará una normativa que regule los protocolos de acceso ypermisos de los sistemas computacionales y de las bases de datos respectivos. Alrespecto, y en el entendido que se implementará la medida anunciada, se levanta laobservación, sin perjuicio de las validaciones que se practiquen en futurasfiscalizaciones de este Organismo de Control.

En relación a la letra b), informó que,efectivamente, no existe un procedimiento de encriptación de los datos municipales,dado que no se considera necesario, debido al uso del equipo Unisys Libra 590, porcuanto la tecnología usada incorpora medidas de seguridad. Conforme lo anterior, selevanta la observación.

Adicionalmente, en lo que respecta a la letrae), corrobora la inexistencia de un procedimiento formal de eliminación de información,manteniendo el municipio un respaldo histórico de 5 años, de acuerdo al servicioprestado por Proexsi Ltda. Al respecto, y no habiendo aportado antecedentes queacrediten medidas correctivas para regularizar dicha situación, procede mantener loobservado.

1.1.- Inventario de equipamiento informático.

Se practicó una revisten del inventario deactivos informáticos, tecnológicos y de telecomunicaciones, proporcionado por el jefede departamento de computación e informática mediante correo electrónico de 7 deoctubre de 2010, aplicándose el sistema de muestreo aleatorio que, recurriendo aparámetros del 95% de confianza, 3% de precisión y una tasa de error del 3%,determinó una muestra de 109 equipos, lo que representa un 12,02%, de un total de907 equipos, el detalle se indica en anexo N° 8.

(iJIllL



- 30-

Efectuadas verificaciones en terreno, se pudoconstatar las siguientes situaciones:

a) 4 equipos computacionales poseen unprocesador distinto al mencionado en los inscritos en planilla auxiliar de activosinformáticos, lo que equivale al 3,67%, ver anexo N° 9.1.

b) 6 equipos computacionales tienen unacapacidad de disco duro distinta a la registrada en el inventario, lo que equivale al5,5 %, ver anexo N° 9.2

e) 8 equipos computacionales tienenmemoria RAM diferente a la declarada en los registros del inventario, lo que equivaleal 7,34% del total de la muestra, ver anexo N° 9.3.

d) Se detectaron 3 equiposcomputacionales con versión de office distinto al registrado, lo que equivale al 2,75%,ver anexo N° 9.4.

e) Se determinó un total de 6 equiposque no pudieron ser revisados, lo que equivale al 5,5% del total de la muestra, lasrazones se encuentran detalladas en anexo N° 9.5.

f) Se detectaron 2 equiposcomputacionales con usuario no individualizado, debido a que el actual funcionario seencuentra ocupando un equipo asignado a otra persona, ver anexo N° 9.6.

g) Se determinó un total de 6 equiposcon marca de computador distinta a la de los registros, lo que equivale al 6,42%, veranexo N° 9.7.

h) Ninguno de los equipos revisadoscontaba con sellos de seguridad, lo que equivale al 100%.

La autoridad edilicia en su respuesta informasobre la cantidad real de computadores, notebook y servidores de propiedadmunicipal instalados y funcionando en distintas direcciones municipales, la queasciende a la cantidad de 798 equipos.

Cabe señalar que la cantidad informada en larespuesta municipal difiere de la informada según los registros proporcionadosdurante la auditoría desarrollada, por la cantidad de 907 equipos, situación que no fueaclarada.

Por otra parte, señala el Alcalde que seinstalaron 200 candados de seguridad, procedimiento que se continuará realizando.

En relación a lo observado en las letras a), b),e), d), e), f), y g), la autoridad no se pronuncia, por lo tanto, éstas se mantienen.

En conformidad a lo señalado y a la medidade mejoramiento adoptada, corresponde levantar la observación especificada de laletra h), no así para las letras restantes del numeral 1.1, por no adjuntardocumentación de respaldo que den cuenta de su corrección, por consiguiente ellasse mantienen.

t



- 31 -

1.2.- Carencia de licencias.

El murucipro cumple parcialmente con ellicenciamiento de la plataforma de software de operaciones "Sistemas operativoscomo Windows 2000, Windows XP, Windows Vista, Windows 7, Mac Os X, WindowsServer 2000, Windows Server 2003", aplicaciones de oficina "Microsoft Offi ce",software de base de datos "SQl Server", software de seguridad "Antivirus" y otros,"Autocad y Arcview en dirección de obras".

De un total de 907 equipos computacionalesa nivel municipal que requieren licencia, 885 son estaciones de trabajo, 11 notebook y11 servidores de respaldo, seguridad y operaciones. lo anterior, fue informadomediante correo electrónico de 19 de octubre de 2010, por el jefe del departamento decomputación e informática.

En lo que respecta a licencias de aplicacionesde Microsoft Office que se encuentran en funcionamiento, se informa que del total decomputadores de escritorio y notebook, que equivalen a 896 equipos, el 100% poseelicencia vigente.

los 907 equipos de propiedad del municipio,que incluyen equipos estacionarios, notebook y servidores, poseen en su totalidadlicencias de sistema operativo vigente.

De un total de 20 equipos que utilizan elprograma Autocad, ubicados en la dirección de obras municipales y 2 que utilizanArcview, la totalidad de ellos poseen sus licencias al día, lo que representa el 100%.

Adicionalmente, se verificó que los 3 equiposque cuenta con la aplicación de base de datos SQl Server poseen licenciaregularizada.

Se suma a lo anterior, que la totalidad de losequipos se encuentran licenciados con antivirus McAffe.

En resumen, de los 907 equipos activos en laplataforma, los softwares instalados por equipo y las licencias que se encuentrancertificadas, se detallan en anexo N° 10, se utiliza el formato de descripción XlN, en elcual se indica mediante la X el tipo de software usado y con la N la cantidad deequipos con licencia.

Sin embargo, en la revisión efectuada a losdecretos de pagos relacionados con la compra de licencias se acreditó que existen236 equipos de un total de 896 entre estaciones de trabajo y notebook, con licencia deMicrosoft Office, lo que equivale a un 26,34%; adicionalmente en relación a laslicencias de Autocad, se acreditó que del total de 20 equipos que poseen dichosistema, 6 poseen licencia vigente; finalmente, de los 907 equipos que posee elmunicipio, 200 poseen licencias de antivirus McAfee, lo que equivale a un 22,05%, locual de detalla a continuación.



- 32-

Licencias Microsoft Office.

Proveedor N° Fecha Licencia N° Informado DiferenciaFact Adquirida Municipio

Comercializador 10868 25-11- Microsoft 20 No Noa 2 2008 Office disponible disponible

Integral Ltda.Tecknodisk 2028 21-01- Microsoft 60 No NoServicio de 2010 Office disponible disponible

ComputaciónLtda

Aminorte S.A. 13912 17-06- Microsoft 14 No No2010 Office disponible disponible

Comercializador 18353 15-04- Microsoft 1 No Noa Notebook 2010 Office disponible disponible

CenterTecnodisk 1898 20-11- Microsoft 141 No NoServicio de 2009 Office disponible disponible

ComputaciónLtda

Total 236Licencias Autocad.


Aminorte S.A. 10351 9-12- Autocad 2 No disponible No2008 disponible

Computer Desing 10582 24-11- Autocad 4 No disponible NoChile S.A. 2009 disponible

Total 6 20 14

Licencias Antivirus y Arcview.


Miranda Selle 101099 17-06- Antivirus 200 907 707Computación 2010

ESRI Chile S.A. 2277 04-12- Arcview 2 2 O2009

Cabe precisar, sobre los cuadrosprecedentes, que el jefe del departamento de computación e informática informó queel inventario del equipamiento informático no se encuentra desagregado porproveedor, por lo que sólo se cuenta con el número total de equipos municipales, porlo que la diferencia indicada en éstos se determinó contrastando lo registrado en elinventario y lo acreditado a través de las facturas de compra de licencias.

r,A continuación se muestra detalle de vigencia

e licencias por tipo de software y proveedor:



- 33-

Software Tipo de software Proveedor VigenciaLicencia

Office Para uso Impresión Uno Comercializad oraProfesional administrativo lnteoral Ltda. IlimitadoAutocad LT2009 Dibujo Aminorte S.A. IlimitadoPhotoShop Diseño Item Ltda. IlimitadoFirma Diciembreelectrónica Certificación E-Sino S.A. 2010MacAfee Antivirus Compuser Ltda. Junio 2012

Para usoOffice 2007 administrativo Aminorte S.A. Ilimitado

Para uso Tecknodisk Servicio deOffice 2007 administrativo Computación Ltda. IlimitadoAutocad LT2010 Dibujo CDC Computer Desion S.A. IlimitadoArcgis, ArcView Cartografía ESRI Chile S.A. Ilimitado

Tecknodisk Servicio dePara uso Computación

Office 2007 administrativo Ltda. IlimitadoPara uso

Office MAC administrativo Notebook Center Ltda. IlimitadoPara uso Tecknodisk Servicio de

Office 2007 administrativo Computación Ltda. Ilimitado

Mediante memorándum N° 671, de 28 deoctubre de 2010, el jefe del departamento de computación e informática informó sobreun error en la entrega de la información relativa a la cantidad de licencias depropiedad del municipio, aportándose antecedentes sobre las licencias adquiridasdesde el año 2001 al 2010, y cuyo desglose del licenciamiento municipal quedóconformado de la siguiente manera:

• 468 licencias de Microsoft Office.• 33 licencias de Autocad.• 1.154 licencias de Antivirus.• 46 licencias de Winsows XPNista.• 32 licencias de otro software.

Sin embargo, de acuerdo a la plataforma deequipos computacionales informados por la entidad, la cual asciende a un total de 798equipos, continúa existiendo falta de licenciamiento en la plataforma informática, por loque se mantiene la observación.

2.- Seguridad física.

Para efectos de validar la seguridad física seefectuó una visita a la sala de servidores municipales, lo que permitió comprobar losiguiente:

a) En las habitaciones anexas a la sala de servidores, en áreas de circulación delpersonal se encuentran partes, piezas y equipamiento computacional, pudiendoprovocar accidentes y/o problemas de operación, ver anexo N° 11.

b) Existe equipamiento computacional embalado y otros bienes municipales enhabitación contigua al Datacenter, sin embargo, no se cuenta con inventario



- 34-

pormenorizado y, además, se desconoce el contenido de las cajas, ver anexoN° 11.

e) Al interior de la sala de servidores no se utilizan abrazaderas de cables de red yeléctrico, con la finalidad de minimizar el tendido en el piso y organizar lasconexiones por equipos, ya que algunas cruzan la sala en diagonal y seencuentran fijadas con cinta adhesiva.

d) A nivel general, la dependencia no cuenta con aseo programado en las áreascomunes y para su equipamiento.

e) Se aprecia que los racks de comunicaciones no son cerrados y, por lo tanto, nocuentan con puerta ni chapa de seguridad, con la finalidad de evitarmanipulación de los cables de conexión. Asimismo, el rack de servidores seencuentra con la puerta abierta y sin llave de seguridad para su cierre.

f) Se detectó la existencia de un tablero eléctrico y de UPS, los cuales no cuentancon chapa de seguridad, vulnerando la seguridad y determinando riesgos enrelación a las operaciones relacionadas con el suministro de energía eléctrica.

g) Los enchufes normales, tipo hacha, trifásicos para la UPS y monofásicos, seencuentran administrados por interruptores automáticos independientes,segregando la instalación eléctrica por áreas.

h) La puerta de la sala de servidores presenta una chapa de seguridad que seencuentra operativa, sin embargo ésta no es utilizada, manteniéndose abierta.

A lo anterior se suma la inexistencia de unsistema automático de control de acceso, que registre los ingresos a la sala deservidores.

i) La iluminación existente al interior de la sala de servidores es deficiente, seaprecia la existencia de tubos fluorescentes defectuosos.

j) Se observa la ausencia de canaletas Legrand en algunas áreas, que tienen porfinalidad cubrir el cableado de datos y comunicaciones. Además, se encuentranpartes y piezas en desuso, ver anexo N° 11.

k) El cableado de los servidores y periféricos se encuentra distribuido y nombradode acuerdo a las normas vigentes.

1) Algunos servidores no se encuentran etiquetados con nombre y función.

m) A nivel de seguridad, la sala de servidores no cuenta con circuito cerrado detelevisión, que permita administrar una o más cámaras externas con la finalidadde realizar grabaciones del movimiento diario en áreas críticas, como son salade servidores y contiguas. De acuerdo a lo anterior, existe la posibilidad de quese vulneren las instalaciones.

n) La sala de servidores se encuentra cerrada perimetralmente por muros sólidosy una mampara de vidrio en estructuras de aluminio, la cual no poseepropiedades de aislación calórica, lo cual vulnera la seguridad y las condicionesde temperatura ambiental.

o) No se cuenta con sensores de humo y humedad para minimizar riesgos deincendio y deterioro en el equipamiento.



- 35-

p) Al interior de la sala de servidores existe un extintor móvil vigente convencimiento de su carga en agosto de 2011 y certificado por la empresaComercial Segindex Ltda; el cual se encuentra sin una posición fija yseñalización. Asimismo, existe un segundo extintor, el cual se localiza en elpiso de la sala de informática, sin encontrarse con fijación mural, el cual seencuentra vigente y certificado a la misma fecha del citado previamente. Lafalta de señalética y correcta localización impide un fácil acceso a ellos en casode requerirse su uso.

q) Se aprecia la existencia de interruptores automáticos adosados al muro, sinaislación entre los materiales, el cual se encuentra revestido de una placa demadera, vulnerando la seguridad y pudiendo provocar incendio.

r) Las instalaciones de comunicaciones no se encuentran certificadas.

s) Se aprecian dos unidades de aire acondicionado que mantienen los equiposoperando en el rango de los 19 a 20 grados Celsius, sin embargo, sulocalización no permite que el aire que se emite pueda ser propagadouniformemente a todas las unidades por la amplitud de la sala. Asimismo, enlos muros sólidos de la sala de servidores se encuentran cables eléctricos queproveen electricidad a las unidades de aire acondicionado, no habiéndoserealizado la alimentación de los equipos por medio de un cable sellado.

t) No se aprecia la utilización de señalética de apoyo a la seguridad.

u) No se efectúa un registro del personal en tránsito ni del que presta serviciosexternos, como tampoco de las actividades realizadas al interior de la sala deservidores. Solamente existe una bitácora de respaldo en papel, consignandolabores diarias y pendientes por parte del operador.

v) Existen muebles murales del tipo gabinete para almacenar discos y cintas derespaldo, con las llaves puestas, lo que vulnera la seguridad. Asimismo, losrespaldos no se encuentran etiquetados, especificando al menos el contenido,la fecha, el encargado que lo realizó y las pruebas de levantamiento y/ochequeo de integridad.

w) En la dependencia anexa a la sala de servidores donde se encuentra el grupoelectrógeno diesel, existen dos puertas metálicas para acceder desde elexterior, lo cual reviste riesgos de acceso, puesto que no existe circuito cerradode televisión (CCTV) que permita regular la seguridad.

En relación a las observaciones efectuadasen las letras a), y b), d), 1), Y v), la autoridad edilicia en su respuesta indica que dichassituaciones se encuentran corregidas, lo cual fue corroborado mediante revisiónefectuada en terreno.

Respecto a la letra e), la autoridad señalaque, por razones técnicas, se decidió utilizar racks de comunicaciones en formaabierta. Sin embargo, las validaciones efectuadas se determinó que ellos se

'- mantienen sin seguridad de acceso, lo cual posibilita la vulneración de lascomunicaciones, a su turno, los servidores de datos son resguardados con llave.

En cuanto a la letra u), informa que laempresa Proexsi Ltda., dispone de una bitácora diaria para el registro de personal que



- 36-

ingresa en forma física al Oatacenter, la cual se encuentra publicada en la intranetmunicipal.

Por otra parte, informa que se tomarán lasmedidas tendientes a regularizar lo relativo a la no utilización de sistema automáticode control de acceso; ausencia de canaletas, puntos de red; falta de circuito cerradode televisión en dependencias del departamento de computación e informática;inexistencia de sensores y humedad, entre otras.

De acuerdo a los antecedentes aportados ylas revisiones efectuadas en la sala de servidores, se levantan las observacionescontenidas en la letras a), b), d), 1), u), y v), y se mantienen las contenidas en lasletras e); e); f); h); i); j); m); n); o); p); q); r); s); t); y w), por cuanto no se han tomadolas medidas para corregir dichas falencias.

3.- Procedimientos de respaldo.

Efectuada una revisión a la sala de servidoresdel municipio, con el fin de validar los respaldos de información, se pudo comprobar losiguiente:

a) Observaciones a procedimientos de respaldo:

• No existe un responsable único de los respaldos.

• Los dispositivos de respaldo no se prueban regularmente, para asegurarque puedan ser de utilidad en una emergencia.

• Existen diferencias entre los procedimientos de respaldo y las accionesseñaladas dentro del plan de recuperación de desastres.

En su respuesta, el alcalde señala, respecto ala inexistencia de un responsable para los respaldos que, para la realización de éstos,la empresa Proexsi Ltda., tiene contratado un encargado del área mainframe delOatacenter y dos operadores, antecedentes que permiten levantar la observación.

Adicionalmente, sobre la falta de pruebas dedispositivos de respaldo, se indica que existe un procedimiento para chequearregularmente la integridad de los medios magnéticos y su contenido, por lo queprocede levantar la observación.

Sobre las diferencias entre los procedimientosde respaldo y el plan de contingencias, la autoridad corrobora la observación,agregando que dichos procedimientos en forma independiente no presentaninconsistencias ya que pueden ser usados en forma separada sin presentarinconvenientes, sin embargo, analizados en su conjunto, siguen persistiendo lasdiferencias. Por otra parte, se indica que se ha dispuesto regularizar mediante decretoalcaldicio el plan de contingencia, lo cual no ha sido realizado, por lo tanto, semantiene la observación en este tercer aspecto.

b) Procedimientos de respaldos internos.

• Unidad SOLT A: Se respaldan Bases de datos y discos.

El respaldo se realiza diariamente de lunes asábado, en unidades SOLT en dos copias, es de tipo incremental y utiliza el



- 37 -

criterio de Abuelo-Padre-Hijo, agregando archivos a la cinta anterior, hasta queesta complete su capacidad. Por otra parte, las cintas se rotan y son enviadasdiariamente a la casa matriz por seguridad.

En relación al respaldo LCTRASP, éste serealiza en SOLT en dos copias, de lunes a viernes, y se respaldan los cambiosy actualizaciones de los ejecutables de los sistemas.

Con respecto a la base de datos SQL, esterespaldo es diario y automático, de lunes a domingo, las cuales quedan en lasSOLT, dos copias, en el respaldo semanal, mensual y anual.

• Respaldos Windows

Unidad B SOLT: Se respaldan 2 copias de lasparticiones de Windows en servidor central Libra 400.

1. Unidad grabador OVO interno servidor de cartografía. Se respaldaservidor de cartografía en 2 copias

2. Unidad grabador OVO interno servidor Web de producción: En estese traspasan respaldos de la Huella, base2 y SQL, los cuales serealizan en medio de almacenamiento OVO en 2 copias.

• Respaldo Bases, Discos y Servidores Externos.

Este respaldo se realiza con una organizacióndiaria, semanal, mensual y anual, donde su distribución es la siguiente:

En relación a las bases datos OMSII, serealiza el respaldo con dmutility a disco, encontrándose las bases online; unavez que estén todas ellas copiadas, se traspasan a cinta magnética. Estocorresponde al respaldo total de la partición MCP del servidor central LIBRA400. Cada día viernes se utilizan dos SOLT para realizar las dos copias queindican las normas de la empresa.

Los discos se respaldan incluyendo el "discode sistema". Para realizar el respaldo se utilizan las mismas 2 SOLT descritas yse incluyen los discos de respaldo de las bases. Asimismo, para estosrespaldos se utiliza el criterio de Abuelo-Padre-Hijo, con 6 SOLT (un par porsemana), con lo que se cumple con los procedimientos de respaldo.

En cuanto a los servidores externos, éstos serespaldan paralelamente al Mainframe y se utilizan 25 OVO-RW con el criterioAbuelo-Padre-Hijo.

• Resguardo físico de respaldos

Los respaldos se realizan en dos copias, lascuales se distribuyen en dos ubicaciones físicas distintas, una de ellas en Avda.Presidente Riesco N° 5.296 Y la otra en calle Moneda N° 1.040, casa matriz dela empresa Proexsi Ltda.

c) Procedimientos de respaldos externos.



- 38-

Mediante memorándum de 30 de septiembrede 2010, emitido por el sub-gerente de datacenter de la empresa Proexsi Ltda.,se indica que los procesos de respaldo que son ejecutados sobre las bases dedatos municipales, corresponden a tareas realizadas bajo procedimientoscertificados ISO 9001 :2008 y que se desarrollan de la siguiente manera:

• Respaldo incremental con periodicidad diaria en formato de renovación dedispositivo de almacenamiento cada tres días.

• Respaldo histórico mensual con almacenamiento de 12 meses móvil.

• Respaldo histórico anual con almacenamiento de 5 años.

los procesos de respaldos se efectúan endispositivos de cintas SDTl, y formato DVD, en dos copias, de las cuales unaes almacenada en la misma sala de operación donde se encuentra laplataforma central municipal y otra en las oficinas centrales de la empresaProexsi Ltda ..

4.- Plan de recuperación de desastres.

Mediante memorándum N° 574, de 21 deseptiembre de 2010, emitido por el jefe del departamento de computación einformática, se informa que el plan de contingencia de los sistemas del serviciocomprende las siguientes operaciones:

a) Se posee una UPS y un grupo electrógeno que sustenta a la red computacionaly el servidor central Libra 400 en caso de un corte de energía eléctrica.

b) El servidor central Libra 400, está configurado en modalidad hotspare, estosignifica que en el momento de falla de un disco, automáticamente el disco enhotspare cumple la función del que tuvo la anomalía.

e) Diariamente se respalda en medios magnéticos el software de las aplicacionesmunicipales, de modo que, ante cualquier pérdida de información de lossistemas a nivel de aplicación, esta puede ser recuperada de inmediato através de este respaldo.

d) Diariamente se respaldan las transacciones SQl de cada una de las bases dedatos del municipio en medios magnéticos, lo que implica que ante cualquierpérdida de información a nivel de base de datos, ella puede ser recuperada através de estos respaldos. En forma adicional, toda la información en los discosdel servidor central Libra 400 es respaldada semanalmente en cintasmagnéticas SDl T.

e) la empresa proveedora de los sistemas municipales Proexsi Ltda. mantiene unmonitoreo y administración del servidor central durante 24 horas al día. Entrelas 07:45 horas y las 22:00 horas existen turnos rotativos de dos operadores enforma presencial y después de las 22:00 horas se monitorea en forma remota.

Por otra parte, para mantener la continuidadoperacional de los servicios informáticos para la comunidad, se cuenta congrupos electrógenos y UPS en las dependencias que se indican:

-Edificio Municipal, Centro Cívico, Seguridad Ciudadana y Emergencia.



- 39-

-Dirección de Desarrollo Comunitario.

Sin embargo, no se cuenta con un plan decontingencia formalizado mediante decreto alcaldicio y que conste de fase preventiva,fase reactiva y fase de mitigación.

Sobre el particular, el alcalde en su respuestaseñala que se han impartido las instrucciones para que dicho plan sea formalizado através de un decreto alcaldicio.

No obstante, dada la ausencia dedocumentación que respalde la medida expuesta, corresponde mantener lo objetadoinicialmente.

V.- EJECUCiÓN DE RECORRIDOS DE CONTROLES GENERALES ASOCIADOS ATI.

1.- Sistemas administrativos municipales, incluidos servicios online.

1.1.- Funciones.

Las funciones que realizan los sistemasadministrativos municipales en relación con los procesos significativos analizados sonlos siguientes:

a) Sistema contabilidad gubernamental.

• Ingreso de cuentas contables, programas y centro de costos.• Ingreso de tablas para el funcionamiento del sistema (meses,

áreas, tipo de comprobantes contables, tipo de documentos, tablacentro costos, programas, parámetros y proveedores).

• Ingreso de presupuesto inicial y modificaciones presupuestarias.• Ingreso de obligaciones (contratos, orden de compra,

adjudicaciones y factibilidades).• Ingreso de devengados por proveedor (facturas).• Confección de órdenes de pago.• Ingreso y contabilización de documentos contables, rendiciones de

cuentas.

b) Sistema tesorería municipal.

-Boletas de garantía.

• Mantención de garantías.• Consulta documento en garantía.• Ingreso de contratos.

-Egresos.

• Emisión de cheques de distintas cuentas corrientes.• Emisión de listados de información, como cuenta corriente de

proveedor.• Generación de listado de conciliaciones bancarias y retenciones de

impuesto.



- 40 -

• Contabilización de movimientos contables.

-Ingresos.

• Apertura y cierre de cajas.• Anulación de ingresos.• Cuadraturas de cajas.• Contabilización de ingresos.• Conciliación de ingresos.• Pagos a través de Internet.• Emisión informes varios.• Consulta de recaudación por cajas.

e) Sistema patentes comerciales.

• Consulta de patentes.• Listar patentes CIPA, según tipo.• Administrar solicitud de patente.• Mantención del maestro de patentes.• Cálculo de patentes.• Anulación de patentes y/o giros.

d) Sistema permisos de circulación.

• Generación de giro para pago de permisos de circulación.• Generación de duplicado de permisos de circulación.• Emisión de giros de fondos a terceros• Bloqueo por sistema de placas patentes.• Consultas de pagos años anteriores, de registro de multas, de

incorporaciones y de traslados.• Generación de giros de sellos.• Mantención de traslado.• Asignación de código de S.1.1.• Anulación de giros mal emitidos.

1.2.- Tipos de usuarios.

De acuerdo con la información entregada, lascuentas de usuario utilizadas para interactuar con todos los sistemas se conformanpor perfiles y atributos, que se subdividen de la forma que sigue:

Aplicaciones Perfiles Atributos

Permiso de circulación Habilitar

Visible

Patentes comerciales Administrador (A) IngresarSupervisor (B) Listar

Tesorería municipal Usuario (C) ModificarUsuario Básico (D) Eliminar

Contabilidad gubernamentalImprimir

Consultar



- 41 -

La creación de los usuarios se realiza através de la cuenta administrador, entregando privilegios a través de atributosasignados que definen el tipo de cuenta. El mantenedor opera mediante nombre yclave habilitada para obtener el tipo de acceso.

Por otra parte, los permisos se entregan alusuario, independientemente por cada sistema, siendo el administrador el encargadode conceder el acceso. El procedimiento indicado se realiza en términos informales,no quedando establecida la autorización de creación de cuenta ni la baja de la mismacuando el funcionario deja de prestar servicios al municipio.

1.3.- Evaluación de la integridad de la información.

La Municipalidad de Las Condes cuenta con3 bases de datos para los sistemas evaluados, las que alojan 48 tablas de registros,evaluándose las que tienen directa relación con los procesos significativos asociadosa TI y que administran datos críticos.

En el caso particular de control de accesológico, se evaluó la cantidad de personal activo, pasivo, y su relación contractual conel municipio, validando la integridad de datos relevantes, con el fin de comparar lainformación procesada con las cuentas de usuario activas para un funcionario y lospermisos otorgados para dicha cuenta.

Del análisis practicado se advirtió lainexistencia de llave primaria para el campo tabla_código de la tabla de la base dedatos del sistema tesorería municipal. La misma situación se refleja en la tabla"solicitud de patentes" con el campo solpa_rut_a. Ver anexo N° 12.1.1.

En su respuesta, la autoridad comunal señalaque se puso en marcha un procedimiento formal para la creación y baja de cuentas, elque será formalizado mediante el decreto alcaldicio correspondiente.

Adicionalmente, indicó que la llave primariapara el campo tabla_codigo, está compuesta por dos campos, los que corresponden atabla_tipo y tabla_codigo. En el caso de la tabla "solicitud de patentes" la llaveprimaria está conformada por solpa_tipo_solic, salpa_ano y solpa_num_solic.

La respuesta del municipio no adjuntadocumentos de respaldo que acrediten las mejoras planteadas, por lo tanto, semantiene lo observado, a excepción de lo referido a la inexistencia de llaves primarias.

1.3.1.- Control de datos numéricos.

El sistema de tesorería municipal presentafalla en el control de pagos en línea, debido a que existen duplicaciones de pagos.Asimismo, no existe un validador de pago en línea que informe al contribuyenteacerca del éxito o error de la operación. Además, en caso de encontrarse pagado elmonto pendiente, el sistema no posee un módulo que administre restricciones paraevitar dobles pagos por un mismo concepto.

Por otra parte, las transacciones efectuadaspor Internet se reflejan en el sistema, sin embargo, al no ser informada la ejecucióndel pago, ello permite al contribuyente la realización de un segundo pago, el cual seregistra en el banco y, dependiendo de la hora, es informado al municipio en el mismo

f



- 42-

día de la transacción, en caso contrario ello sucede al día siguiente, dificultando laimputación del monto pagado.

En relación a las diferencias, a nivel municipalla empresa Proexsi Ltda., realiza un cruce de datos manual, a fin de ingresar lastransacciones no registradas de manera automática en el sistema.

Sobre lo anterior, la autoridad municipal en surespuesta expone que se efectuó una revisión de los procedimientos utilizados por losdistintos medios de pago y se actualizó el sistema utilizado debido a cambios en laplataforma de los bancos, asimismo, se incorporó un programa background, querevisa y regulariza los pagos diarios que tuvieron problemas, por lo cual, a la fecha,las fallas no se han vuelto a producir, lo anterior fue corroborado mediante chequeo delos sistemas enunciados, por lo que se levantan las observaciones.

1.3.2.- Control de validación en el ingreso de datos.

El análisis realizado permitió advertir que, enel módulo de patentes municipales, al ingresar las direcciones de los contribuyentes,no se realiza validación respecto de si esta pertenece a la comuna. Por lo anterior, anivel de base de datos, es posible que ella contenga direcciones que no correspondana la comuna de Las Condes, pudiendo comprometer los procesos de cobranza querealiza el municipio.

En su respuesta, el alcalde señala, ensíntesis, que esa entidad comunal cuenta con un maestro de calles, a través del cualse chequea que la calle digitada pertenezca a la comuna. Asimismo, en el caso de lasfactibilidades técnicas del uso de suelo, previo al otorgamiento de las patentesmunicipales, ellas son revisadas por la dirección de obras.

La validación efectuada corroboró que no seha implantado un control automático a nivel de módulo de patentes municipales,siendo éste de carácter manual. Asimismo, solicitados los respaldos de las medidassubsidiarias de aquél, señaladas en el párrafo precedente, éstos no fueronproporcionados, por lo que procede mantener la observación.

1.3.3.- Verificación del modelo de datos.

Con fecha 14 de septiembre de 2010 sesolicitó a la autoridad municipal la entrega de documentación relativa al diseño lógicode la base de datos que soporta los sistemas municipales implantados por la empresaProexsi Ltda. En forma posterior, la comisión fiscalizadora se reunió con el gerente deplataforma de servicios de la empresa ya señalada, el cual entregó documentaciónrelativa a diccionarios de datos de las bases en estudio. Las bases de datos y losdiagramas de flujos de información fueron recepcionados con fecha 21 de septiembrede 2010, según memorándum N° 574, del jefe del departamento de computación einformática, ver anexo N° 13.

Al obtenerse acceso parcial al diseño lógico,se realizó un proceso de análisis de las tablas que mantienen los sistemas en la basede datos, entregadas por la empresa Proexsi Ltda. Del análisis se advierte que en elmodelo de datos existe riesgo de inconsistencias, cuentas sin validación de unicidad yrepetidas, así como ausencia de datos en las tablas para ciertos elementoscontenidos en la base de datos.



- 43 -

En su respuesta, la autoridad comunalinforma que se efectuó una solicitud a la empresa proveedora Proexsi Ltda., para laregularización de la entrega parcial del diseño lógico, sin embargo, esa entidadcomunal no aportó documentación de respaldo de la medida adoptada, por lo quecorresponde mantener lo observado inicialmente.

1.3.4.- Control de integridad.

El sistema de patentes municipales seconstituye por varios campos de datos, dentro del cual se incluye solpa_rut_a, querepresenta números de RUT no consistentes con el diseño lógico definido, puesto queen el análisis efectuado a la base de datos se verificó que existen registros con elcampo del valor numérico en blanco, ver anexo N° 12.1.2.

Por otra parte, al realizar el cálculo de lapatente municipal, el sistema pide validar la operación mediante el reingreso deusuario y clave. La validación en el reingreso debiera ser asociada a una cuenta denivel superior como el super-usuario, debido a que se realizan cambios críticos paraposteriores cálculos.

El alcalde en su respuesta informa que elcampo solpa_rut, es alfanumérico, incluyendo guión y digito verificador, agregandoque, en relación al cálculo de la patente municipal, se evaluará su aplicación.

Asimismo, en lo referente a las validacionesen el cálculo de las patentes comerciales, la respuesta indica que se revisará suaplicación para mejorar la seguridad del sistema. Sin embargo, dicha medida no hasido implementada, por lo que procede mantener lo observado.

1.3.5.- Control de reglas de negocio.

Respecto de la aplicación de contabilidadgubernamental, en el maestro presupuestario, al realizar la descarga de convenios depatentes municipales se producen anomalías en la asociación del año, noreferenciando años anteriores.

Por otra parte, en el módulo de patentescomerciales, al realizar una consulta de patente por nombre, el sistema no sóloentrega registros del campo consultado sino también por número de RUT, fecha,dirección, entre otros.

Las aplicaciones en uso no presentan laposibilidad de realizar cambios de contraseña de ingreso para la cuenta de usuario. Elúnico procedimiento de tipo informal existente es solicitar la nueva contraseña aladministrador para que éste la digite y active.

En su respuesta, la autoridad informa quecomo procedimiento para regularizar las situaciones observadas, se han adoptado lassiguientes medidas:

a) Las cuentas de convenio se cambian a comienzos de cada año, y las cuentasdel año pasan a cuentas de años anteriores.

b) La consulta está diseñada para que utilice el parámetro ingresado, rut, nombre,fecha, dirección, etc, como dato inicial de la búsqueda y no como dato exacto.



- 44-

Sobre lo anterior, y en atención a que lasmedidas fueron implementadas, según las verificaciones efectuadas, correspondelevantar las observaciones planteadas.

1.3.6.- Pruebas de caja negra.

la auditoría practicada permitió advertir losiguiente:

Examinado en forma aleatoria uno de losmódulos en estudio, se advirtió que en la pantalla pagos, correspondiente a permisosde circulación, se presentó una anomalía respecto de la impresión del valor de lasegunda cuota pagada por el contribuyente, debido a que el monto no corresponde ala pagada.

En todo caso, para el resto de los módulosadministrativos municipales, las pruebas realizadas no arrojaron deficiencias respectoa sus operaciones.

El alcalde en su respuesta informa que lassituaciones observadas no pudieron ser replicadas, sin embargo, se procederá a unconstante monitoreo para corregir los errores cuando sea pertinente.

Por lo anterior, se mantiene la observación,por cuanto no se indican medidas tendientes a regularizar lo objetado.

1.3.7.- Pruebas de razonabilidad de cifras calculadas históricamente.

Durante el examen se efectuó unaverificación aleatoria de los sistemas administrativos, no presentándose diferencias enlas muestras respecto a los cálculos de valores.

1.3.8.- Control de gestión de log de errores.

El sistema administrativo municipal no cuentacon registro de transacciones en cada módulo proporcionado por la empresa ProexsiLtda., con el fin de reportar las acciones realizadas por los usuarios poseedores decuentas vigentes con privilegios. Adicionalmente, no existen consultas a los sistemaspara sustentar auditorías internas de seguimiento de operaciones anómalas.

la autoridad comunal señala en su respuestaque la plataforma de sistemas cuenta con un servicio de listados de información deauditoría, proporcionado a través de consulta SQl sobre la base de datos, y elseguimiento efectuado de las operaciones registradas. Asimismo, la bitácora detallalas transacciones por rut y hora de ejecución.

Sobre el particular, esa entidad comunal nohizo entrega de documentación de respaldo que acredite lo expuestoprecedentemente, por lo que corresponde mantener lo observado inicialmente.

1.3.9.-Análisis de sistemas administrativos municipales.

Se desarrolló una evaluación para cadamódulo, advirtiendo que se producen problemas puntuales de procesamiento, ingresoy validación de datos. Al respecto, se desprende el siguiente detalle de falencias:



- 45-

a) Tesorería municipal.

• La estructura de las claves no se encuentra definida a nivel lógicomediante restricciones de sistema ni existe normativa deadministración.El sistema permite el ingreso de claves no alfanuméricas.No existe, a nivel de módulo de control de acceso, una política derotación de clave asociada a un período de tiempo.No existe bloqueo automático del sistema después de un períodode inactividad.Los registros de operaciones no cuentan con el campo hora, sólose respalda cuando se realiza un impresión del documento.Las claves de acceso de las cajas son de conocimiento públicoentre los usuarios de la unidad.No cuenta con giros específicos para multas de TAG.No existe opción de extracción masiva de permisos de circulacióny cargo de patentes municipales del año anterior.El sistema no cuenta con identificación de modalidad de pago deltributo.A nivel de reportes, no existe emisión de certificados de deuda.En relación al sitio de pagos online, no se presenta la opción derescatar comprobantes de pago de impuestos.

••

•

•

•

••

•

••

La autoridad municipal, en su respuesta,indica que, para las falencias detectadas en el módulo de tesorería, se tomarán lasmedidas correspondientes, a fin de regularizar la falta de rotación de claves asociadaa un período de tiempo, bloqueo automático del sistema por períodos de inactividad yemisión de certificados de deuda, disponiéndose de un procedimiento de asignaciónde claves manejado entre el municipio y el contratista.

Por otro lado, manifiesta que seimplementará un procedimiento de cambio de claves semestral, bloqueo de accesodespués de 15 días, campo de registro horario en sus lag, administración de clavespor parte de la jefa de ingresos, manejo de sistema computacional para registrar yprocesar las multas TAG, extracción masiva de permisos de circulación de períodosanteriores a través de pedidos específicos, creación de un identificador de atributo, yvisualización de comprobante de pago para la impresión del usuario.

Por lo anterior, corresponde levantar lasobservaciones planteadas, en el entendido que se cumplirán las medidas que seinforman, cuya efectividad será comprobada en una próxima fiscalización.

b) Patentes municipales.

• Los campos para el ingreso de las direcciones son reducidos.• El sistema no realiza validación de las direcciones de los

contribuyentes para verificar que correspondan a la comuna deLas Condes.

• Los recálculos del reajuste de la cuota a ser pagada en enero noson determinados por el sistema.

• El sistema no permite filtrar las patentes municipales por giro de laactividad.

• No se cuenta con reporte de patentes por RUT o dirección en elmódulo informes.

• No se cuenta con reportes de gestión parametrizables.



- 46-

• El sistema no contiene plantillas de resoluciones dedesenrolamiento y descargo por usuario.

• Las patentes emitidas por sistemas no almacenan la resoluciónde otorgamiento.

• En el sistema se pueden realizar cambios manuales en los datos,no existiendo validaciones posteriores.

• Las consultas no incorporan la modalidad de consulta masiva depatente por fecha.

• No se encuentra disponible el informe de mora por pantalla paraprevisualización, sino solamente a nivel de impresión.

• En relación a la nómina de patentes con mora, al realizarselección de rango de fecha, no se genera exportación a Excel.

• En mantención declaración de capital, al consultar comuna nopermite búsqueda indexada alfabéticamente.

• Respecto de las patentes municipales vía online, en el pago através de Internet no se detallan los conceptos que se estánpagando, sólo aparece el total pagado, sin consignar reajustes,multas y derechos de aseo dentro de la cuota.

En relación con lo observado sobre elreducido tamaño del campo para el ingreso de direcciones en módulo de patentesmunicipales, la autoridad municipal en su respuesta señala que dicho espacio seconsidera suficiente. Sin embargo, al efectuarse el ingreso de calles con nombres delongitud significativa, se pudo comprobar que éste debe ser abreviado para suingreso, por lo que no existe una homologación en la denominación de las calles,motivo por el cual, procede mantener lo observado.

Sobre la ausencia de validaciones de lasdirecciones de los contribuyentes en el sistema de patentes municipales, el edil señalaque se cuenta con un maestro de calles para verificación de las direcciones, en casode búsqueda, por lo que corresponde levantar la observación, toda vez que seacreditó la existencia de una herramienta para efectuar las validacionescorrespondientes.

En cuanto a la inexistencia de recálculos delos reajustes, de acuerdo a las validaciones efectuadas se pudo comprobar que dichoproceso es realizado automáticamente por el sistema de patentes municipales, enbase al factor de corrección monetaria asignado previamente, por lo que procedelevantar lo observado.

Por otra parte, sobre la imposibilidad derealizar filtros de patentes municipales por giro de la actividad, se indica que laclasificación de actividad corresponde al Servicio de Impuestos Internos, respuestaque no guarda relación con la observación, por lo que procede mantenerla.

Respecto al impedimento de generar reportesde patentes por RUT o dirección, se comprobó, mediante las validaciones efectuadas,que el sistema se encuentra habilitado para emitir dichos informes, antecedentes quepermiten levantar la observación.

En relación a la ausencia de reportes degestión parametrizables, el edil expone que se poseen herramientas "cubos all up"para realizar ese tipo de reportes, sin embargo, dichos reportes no pueden sergenerados por sistema, por lo que se mantiene la observación.



- 47 -

En relación a la inexistencia de plantillas deresoluciones de desenrolamiento, la autoridad municipal indica que ellas existen y soncreadas de acuerdo al perfil del usuario, situación que fue corroborada, por lo queprocede levantar la observación.

Asimismo, sobre la falta de almacenamientode la resolución de otorgamiento, la autoridad comunal señala que el municipio estáen proceso de automatización del sistema; evaluados los antecedentes expuestos,procede mantener la observación, por cuanto no se indican medidas correctivas.

Sobre la ausencia de validaciones de loscambios manuales realizados al sistema de patentes municipales, el edil indica que seefectúa una revisión a través de una resolución que respalda la solicitud, sin embargo,no se efectúan controles a nivel de sistema, por lo que procede mantener loobservado.

Adicionalmente, en cuanto a la inexistenciade exportación de información sobre informes de pagos a formato Microsoft Excel, yconsulta masiva de patente por fecha, la autoridad municipal expone que estosreportes son emitidos directamente por el administrador, no encontrándose habilitadoscomo servicios de la plataforma de software, debido a que los reportes emitidos por eladministrador son obtenidos a través de consultas Sal, no pudiendo los usuariospersonalizar los reportes en forma individual, lo que determina una dependenciaoperacional, por lo que procede mantener la observación.

Sobre la imposibilidad de realizar búsquedasindexadas por comuna, falta de visualización de los conceptos cuando se realizanpagos por Internet, e imposibilidad de generar informes por pantalla de contribuyentescon mora, el edil indica que se considerará su implementación en futurasmantenciones, sin embargo, dado que sólo se enuncia una voluntad de adoptarmedidas futuras que no se han materializado, procede mantener las observaciones.

e) Permisos de circulación.

• El sistema no permite una búsqueda directa por codificación devehículo, de acuerdo a los registros del S.1.1.

• El sistema permite el paso al siguiente módulo aun cuando elnúmero de motor se haya ingresado erróneamente.

• No se cuenta con exportación a Excel de los pagos por conceptode permisos de circulación del año anterior.

• El sistema no avisa cuando la placa patente no es de la comuna.• En relación al proceso de búsqueda, cuando se realiza una

consulta masiva de multas impagas por folio, si la numeración nose encuentra, se reporta la placa patente única con numeraciónmás cercana, produciendo problemas de integridad en el proceso.

• No existen herramientas de autocompletación de marca, modelo yotros, a nivel de sistema.

• En relación a los reportes, no existe la posibilidad de generar unlistado de contribuyentes morosos.

• No existe validación en el sistema si el pago se encuentraefectivamente realizado.

• A nivel de consulta, los pagos realizados online se puedencontrolar, debido a que son asignados a la caja 80. Sin embargo,no se pueden totalizar en relación al número para obtener laestadística de cuantos pagos son realizados por esa modalidad.



- 48 -

• Con respecto al pago de las segundas cuotas que vienen desdeotras comunas, no se pueden listar por medio del sistema a fin derealizar el control de la devolución.Se detectó que al cambiar de mes, en la fecha de emisión de girono se realiza el cambio automáticamente, por lo que al girar losvouchers se emiten con multa.A nivel de sistema no se cuenta con una instancia que permitaverificar si una persona se encuentra acogida a la exención por nocircular durante un año, indicada en el artículo 15 del decreto leyN° 3.063, de 1979, Ley de Rentas Municipales.El sistema no cuenta con listado de morosos del año.No se valida el estado de pago del permiso de circulación antesde pagar, respecto de otros locales habilitados, por lo que alejecutar el pago en cajas pertenecientes al Banco BCI, podríahaber duplicidad.

•

•

••

Respecto a los sistemas administrativosmunicipales, se adjuntan cuadros consolidados con detalles de anomalías registradasen revisión aleatoria realizada en forma conjunta con funcionarios municipales duranteel período de la auditoría. Se indica en el registro sistema, módulo, pantalla, detalle dela falla y observación, ver anexo N° 14.

En lo que concierne a la imposibilidad derealizar una búsqueda directa de un vehículo por codificación del Servicio deImpuestos Internos, el alcalde señala que el sistema sí permite dicha búsqueda. Sinembargo, las validaciones efectuadas comprobaron que el sistema no lo permite, porlo que procede mantener la observación.

En cuanto, a la posibilidad de ingresar alsistema de permisos de circulación, aun cuando el número de motor haya sidoingresado erróneamente, la autoridad municipal indica que se externalizará la funciónpara el control de dicho proceso, a través de un convenio con el Servicio de RegistroCivil e Identificación. Sin embargo, no se adjuntan antecedentes de respaldo sobre elmencionado convenio, por lo que procede mantener la observación.

Adicionalmente, sobre la incorporación deuna opción de exportación a planilla Excel de informes de permisos de circulación,consulta masiva de multas impagas por folio, incorporación de herramientas deautocompletación, aviso por sistema en el ingreso de placas patentes nopertenecientes a la comuna, y generación de listados de contribuyentes morosos, seindica por parte del alcalde que se considerará su implementación en futurasmantenciones, sin embargo, no se adjuntan antecedentes que acrediten lo expuesto,por lo que procede mantener las observaciones.

Sobre la inexistencia de validaciones en elsistema de permisos de circulación, en el caso de encontrarse un pago ya efectuado,se señala en la respuesta del alcalde que existe una validación antes de que elpermiso sea pagado, sobre lo cual se comprobó, mediante validaciones efectuadasque la totalidad de las cajas de pagos se encuentran en línea, lo que permite unchequeo automático, por lo que procede levantar la observación.

En relación a la imposibilidad de efectuartotalizaciones de los pagos en línea; falta de una opción de listar las segundas cuotasde permisos de circulación provenientes de otras comunas; cambio de mes en elcampo de fecha de emisión de giro no es automática; inexistencia de instancia que



- 49-

permita validar si el contribuyente se encuentra acogido al decreto ley N° 3.063, de1979; e impedimento para la generación de reportes de contribuyentes morosos, laautoridad municipal en su respuesta no emite un pronunciamiento al respecto, por loque se mantienen las observaciones.

VI.-CONTROLES ESPECíFICOS ASOCIADOS A APLICACIONES DE PROCESOSSIGNIFICATIVOS.

1.- Control de acceso lógico.

1.1.- Alcances a procedimientos de administración de cuentas.

Existen procedimientos asociados a laadministración de cuentas que operan en los sistemas informáticos administrativosmunicipales que provee la empresa Proexsi Ltda.; los aspectos relevantes amencionar son:

a) Los sistemas que operan en el municipio cuentan con módulo de seguridad poraplicación. Se utilizan claves sin restricción mínima de caracteresalfanuméricos, pudiendo dejarse en blanco la clave de acceso, lo que vulnera laseguridad del perfil habilitado, en relación a los atributos que posee y accionesque puede realizar el operador.

b) Se realizó un análisis de las bases de datos que resguardan las cuentas deacceso del personal municipal, advirtiendo que existen diferencias respecto dela cantidad de cuentas informadas por el jefe del departamento de computacióne informática, según memorándum N° 618, de 5 de octubre de 2010, acontinuación se presenta el total de cuentas:

Nombre del Registro Total Registro Total Diferencia decuentas noSistema Auditoría Municipio informadas

Tesorería 82 24 58

Patentes 64 45 19MunicipalesPermisos de 56 14 42CirculaciónLicencias de 23 23 OConducirContabilidad 22 22 OGubernamental

e) No existe en los sistemas administrativos del municipio un campo que defina eltipo de usuario como básico, avanzado y administrador, definición de acceso alos sistemas que está relacionada con los privilegios, según señala elmemorándum N° 574, de 21 de septiembre de 2010, del jefe del departamentode computación e informática. Al no tener el identificador de tipo de cuenta enla base de datos, sólo se pudo realizar el análisis para separar la totalidad delas cuentas por tipo de atributos asociados al usuario. El detalle de las cuentasconsolidadas es:



- 50-

Diferencia de

Nombre del Sistema Registro auditoría Registro municipio cuentas nopor nivel por nivel informadas

vigentesCuentas A S C D T V A S C D T V V

Tesorería 4 1 76 1 82 73 1 1 22 O 24 24 49

Patentes Municipales O 7 36 21 64 48 O 2 22 21 45 45 3

Permisos de Circulación O 7 48 1 56 56 O 1 13 O 14 14 42

Licencias de Conducir O 1 22 O 23 23 O 1 22 O 23 23 O

Contabilidad Gubernamental O 1 21 O 22 16 O 1 22 O 23 23 7

A continuación, un detalle de los perfiles asociados a la nomenclatura:

Tipo perfil DetalleA Administrador (crear usuarios y perfiles).S Crear, consultar, modificar, eliminar.C Crear, consultar, modificar.D Consultar.T Cuentas totales.V Cuentas vigentes.

d) En relación a la entrega de base de datos, se analizó la cantidad de cuentasinformadas por el municipio en relación a la aplicación de permisos decirculación, encontrándose 112 cuentas, de las cuales sólo 56 son correctas, elresto corresponde a duplicados.

e) En el análisis de control de acceso a la aplicación de permisos de circulación,se detectó una cuenta inactiva del tipo perfil D no eliminada, asociada al RUTN° 9.048.743-4.

f) En la aplicación de patentes municipales existe una cuenta no regulada sinacceso, correspondiente al RUT N° 15.353.119-6.

g) Por otra parte, en la aplicación de contabilidad gubernamental, se detectó laexistencia de 22 cuentas, de las cuales solamente 16 se encuentran habilitadasy de ellas 14 son válidas. Asimismo, se verificó que la base almacena 2usuarios sin asignación de acceso al módulo, ver anexo N° 12.2.1, Y 8 cuentasde acceso asociadas a usuarios inválidos, ver anexo N° 12.2.2.

h) De acuerdo a lo anterior, mediante pruebas sobre las bases de datossuministradas, se verificó si existían cuentas activas de personal cesado enfunciones, situación que no se produce a nivel municipal. Además, todos losperfiles en sistema revisados son usuarios asociados a funcionariosmunicipales, incluso los que cuentan con permisos de nivel superior del tipo A yS, ver anexos N°s 12.3.1 y 12.3.2.

i) Dentro de las bases de datos se contempla un campo de estado de cuenta deusuario, el cual se advierte que no es usado en todos los sistemas, puesto queen la revisión practicada se encontraron cuentas de datos inconsistentes queno estaban marcadas como eliminadas.



- 51 -

D La creación, modificación y desvinculación de cuentas de acceso a intranet ysistemas administrativos es realizada por el departamento de computación einformática, sin un procedimiento formal. Para el control de acceso a lossistemas, los jefes de unidades deben informar a dicho departamento sobre lacreación de cuentas, desvinculaciones y modificaciones de funcionarios.

k) En relación con el acceso fuera de horario, se pudo constatar que no existe porparte del municipio control del uso de los sistemas.

En la respuesta proporcionada por laautoridad municipal se señala, respecto de la letra a), sobre la utilización de claves sinrestricción de caracteres, que se revisará y regularizará la confección de las claves deacceso a los sistemas, sin embargo, las medidas no han sido materializadas, por loque procede mantener la observación.

Sobre la observación contenida en la letra e),cuenta inactiva del tipo perfil no eliminada, la autoridad expone que la cuentacorresponde a un funcionario activo que realiza esporádicamente atención en losmódulos de permisos de circulación. Sin embargo, no se bloquea dicha cuenta en losperíodos en que el funcionario no efectúa labores para ese departamento, por lo queprocede mantener lo observado.

Respecto a las letras h), e i), relacionadascon los riesgos de cuentas activas de personal cesado en funciones, y campo deestado de cuenta de usuario no utilizada en todos los sistemas, respectivamente, elalcalde indicó que se efectuó una solicitud a la empresa Proexsi Ltda., para queefectúe las regularizaciones correspondientes, sin embargo, no se adjuntan losantecedentes que acrediten el requerimiento efectuado.

Por otro lado, sobre la letra D, ausencia de unprocedimiento formal de creación de cuentas, se informó que el departamento deinformática está confeccionado una normativa formal, la cual será sancionada a travésde un decreto alcaldicio, no obstante, se pudo comprobar que lo anterior no ha sidoefectuado a la fecha.

De acuerdo a lo informado en letra k),respecto al acceso a los sistemas fuera de horario, se mencionó que éstos pueden serutilizados durante las 24 horas del día, sin embargo, no se indican los controlesaplicados, cuando dicha situación ocurre.

Por ende, tomando en consideración laausencia de medidas correctivas por parte del municipio que subsanen lo enunciadoanteriormente, procede mantener las observaciones contenidas en las letras a), e), h),i), D, y k).

Por otro lado, respecto de las observacionesdetalladas en las letras b), e), d), f), y g), sobre diferencias en las cuentas informadas,ausencia de campo que defina el tipo de usuario, existencia de cuentas duplicadas,presencia de cuenta no regulada sin acceso, y detección de inconsistencias en lascuentas del sistema, respectivamente, se constató mediante los antecedentessuministrados, que dichas situaciones fueron regularizadas por el municipio, por loque procede levantar las observaciones.



- 52-

1.2.- Revisión de gestión de cuentas de Sistemas AdministrativosMunicipales.

De acuerdo al análisis efectuado de la basede datos en Sal Server se advierten los siguientes alcances al diseño lógico respectode los módulos en estudio:

a) los campos tabla_password y tabla_maint no permiten valoresnulos. Además, a nivel de diseño no se registra la existencia dellave primaria o compuesta.

b) El campo tabla_código, es de tipo varchar y posee tamaño 10,almacenando el identificador RUT. Al respecto, se realizó un análisisidentificando que posee control de validación, sin embargo, algunoscampos almacenan RUT inconsistentes y en blanco en referencia ausuarios, ver anexos N°s 12.3.3; 12.3.4 Y 12.3.5.

e) Para el campo tabla_código que representa el rut, el sistema norealiza importación automática de datos acerca del usuario, comoson los nombres y apellidos, a fin de llenar los campostabla_descrip1 y tabla_descrip2. De lo anterior se desprende que loscampos pueden ser llenados con datos no consistentes, además, elcampo tabla_descrip2 acepta valores nulos.

d) El campo tablapassword almacena datos del tipo varchar contamaño 10. Del análisis del diseño y datos registrados se advierteque no existe encriptación de las claves de acceso y se encuentranvisibles para el administrador de los sistemas municipales.

En su respuesta, el alcalde informa que setomarán las medidas correspondientes a fin de regularizar las situaciones planteadasen el punto 1.2, sobre gestión de cuentas de sistemas administrativos municipales. Sinembargo, ello no se ha materializado, por lo que corresponde mantener lasobservaciones.

2.- Control de cambios.

En los sistemas administrativos municipales,actualmente no existe un módulo de control de transacciones que consolide losmovimientos propios de cada una de las aplicaciones, como datos básicos relativos acada una de las tablas. Sin embargo, se realizó un análisis de 3 tablas, una por cadasistema en estudio, logrando establecer observaciones relativas a las operaciones.

De los cambios evaluados en los módulos, sepudo comprobar en forma detallada lo siguiente:

2.1.- Revisión de cambios en tabla maestro de proveedores, MPROV, delsistema contabilidad gubernamental.

a) los campos mprov_apemat y mprov_apepat a nivel de diseño lógicose definen como valores no nulos, sin embargo, existen almacenados5.827 registros con datos en blanco para nombre, apellido paterno ymaterno, por lo cual no existe integridad, ver anexos N°s 12.2.3 y12.2.4.



- 53 -

b) El campo mprov_RUTprov es de tipo varchar y posee tamaño 10,almacenando el identificador RUT. Al respecto, se realizó un análisisidentificando que el campo no posee llave primaria, detectando laexistencia de 31.228 proveedores de los cuales 31.107 son únicos, y377 poseen rut inconsistentes, ver anexo N° 12.2.5.

e) Dentro de la base de datos contabilidad, en la tabla mprov(proveedores) se advierte la existencia de registros inválidos, veranexo N° 12.2.6.

d) El campo mprov_dirprov, representa la dirección del proveedormediante tipo varchar con tamaño 40, con restricción de no nulo, sinembargo, la base de datos registra 842 proveedores con dirección enblanco, ver anexo N° 12.2.7.

En su respuesta, la autoridad municipal indicaque se evaluarán las anomalías detectadas en la tabla de maestro de proveedores,tomando en consideración su impacto en el sistema, sin embargo, no se hanejecutado medidas correctivas que permitan solucionar dichas fallas, por lo queprocede mantener las observaciones.

2.2.- Revisión de cambios en tabla solicitud de patentes, SOlPA, del sistemade patentes municipales.

a) En la tabla solpa de patentes municipales, se verificó el diseño lógico,encontrándose para los campos solpa_rut_a, solpa_ano ysolpa_tipo_sol, no asignado el atributo de llave compuesta, lo cualdetermina la posibilidad de almacenar valores duplicados, ver anexoN° 12.1.1.

b) Por otra parte, se detectaron 19 solicitudes sin número de camposolpa_rut_a, lo cual se contrapone con la restricción de valor no nuloasignado en el diseño lógico, ver anexo N° 12.1.1.

e) El campo de número de solicitud de patentes, a pesar de encontrarsedefinido como no nulo, almacena registros de solicitudes en blanco.

El alcalde en su respuesta señaló que lassituaciones indicadas precedentemente no pudieron ser replicadas, por lo queprocede mantener las observaciones.

2.3.- Revisión de cambios en tabla depósitos, DEPOS, del sistema detesorería municipal.

a) El campo depos_estado mantiene el estado del depósito y permitevalor nulo, dificultando el análisis al realizar un seguimiento delestado de los documentos a pago por parte del municipio.

b) En los campos depos_numerocc (número de comprobante contable,depos_tipcta (tipo de cuenta), depos_tipocc (tipo de cuenta),realizado el análisis del diseño lógico, se advierte que permite valoresnulos, con el consiguiente riesgo de asignar imputaciones en cuentascontables erróneas, ver anexo N° 12.3.6.

·tiJQ1IL



- 54-

Por otra parte, la relación que tiene laestructura DEPOS, se encuentra definida por los campos Fecha de Pago, Caja, yLocal, respecto a los pagos efectuados, donde se almacenan las cuentas relacionadascon los ingresos. Asimismo, para la tabla PAGOS no se encuentra definida llaveprimaria o compuesta, lo que determina la posibilidad de que existan datos duplicadoso inválidos, a modo de ejemplo, en el análisis se detectaron 12.338 registros de pagossin datos del campo pagos_rut_a (rut), y 2.522 registros con el campo paqos jocal(local) en blanco.

El alcalde no se pronuncia respecto de las letrasa) y b), por lo que procede mantener lo observado.

De los cambios evaluados en los módulos delos puntos 2.1; 2.2 Y 2.3; precedentemente expuestos, se pudo comprobar losiguiente:

• No existen aprobaciones formales para la asignación y utilización de cuentascon atributos de modificación o eliminación de datos en actividades propias dela función.

• El control de cambios que realiza el municipio en los sistemas no registra losresultados de las mantenciones realizadas, salvo en algunos casos en que secuenta con el número de versión del módulo en operación. Por otra parte, severificó que algunos sistemas no poseen identificador de versión actual yanterior, a fin de realizar seguimiento a cambios e instalaciones.

• En cuanto a las aplicaciones que se encuentran disponibles en el portal deInternet, no existe información que registre y fundamente los cambiosrealizados, a excepción de los que son regulados por ley.

• Dentro del proceso de control de cambios no existe de manera formal unaevaluación del impacto potencial sobre el ambiente de TI, módulos adicionales,base de datos y controles.

La autoridad municipal, en su respuesta, nose manifiesta en lo relativo a las observaciones planteadas anteriormente, por lo quese mantiene lo objetado.

VII.- SOBRE CUMPLIMIENTO DE DECRETOS.

Se evaluó el cumplimiento de los decretossupremos del Ministerio Secretaría General de la Presidencia N°s 77, 81 Y 83 de2004, además de los N°s 93 Y 100 de 2006, determinándose lo que en cada caso seseñala:

t

1.- Decreto supremo N° 77, de 2004, del Ministerio Secretaría General de laPresidencia: Regula de manera general y supletoria las comunicacionesentre órganos del Estado y las de éstos con las personas de aquellosámbitos no regulados por esta norma.

a) En relación con las comunicaciones enviadas por medioselectrónicos, no se mantiene un registro de la transmisión y recepciónde ellas.

r



- 55-

b) Para los fines de almacenamiento obligatorio, no se adjuntan losantecedentes que permitan la búsqueda y recuperación almacenadaen los repositorios de documentos electrónicos.

e) No se cumple con la obligación de informar a un emisor de mensajela dirección de correo electrónico adecuada, en el caso de verificarseuna comunicación no apta para la recepción.

d) No se efectúa almacenamiento en un repositorio de las respuestasenviadas a personas que se hayan comunicado por medioselectrónicos, por un plazo mínimo de 60 días.

e) Se carece de mecanismos de autenticación o de control de accesode las direcciones de correos electrónicos que contengan respuestasde un servicio.

2.- Decreto supremo N° 81, de 2004, del Ministerio Secretaría General de laPresidencia: Aprueba norma técnica para los Órganos de la Administracióndel Estado sobre la interoperabilidad de documentos electrónicos.

a) Se evidencia incumplimiento de las siguientes normas.

ISO/lEC 8825-4 2003ISO/lEC 10646-1 2000ISO/lEC DIS 18056RFC-821RFC-959RFC-2068

b) Los documentos electrónicos diseñados para ser modificados noutilizan XFORMS.

e) En los esquemas de un documento regulado no se utiliza XSL.

d) No se confecciona una relación actualizada de los documentos yactuaciones del expediente a quienes tengan derecho a consultarlo.

e) Los sobres electrónicos no contienen las siguientes menciones.

Objetos a través de URl.s.

Message Digest de los objetos incluidos.

Identificación de método de firma de los Message Digest.

Identificación de método de canonización de datos contenidos ensobre.

f) No se ha definido un sobre electrónico como contenedor dedocumentos, que contenga fecha de envío, remitente y destinatario.

g) Los protocolos soportados por las implementaciones que utilizan elsobre electrónico no son estándares.

h) En la implementación de los repositorios no se consideran lossiguientes tipos de búsqueda:



- 56-

Texto completoXQueryNavegaciónBúsqueda avanzada

i) No se establecen identificadores para hacer referencias adocumentos en los repositorios.

j) Identificación de método de canonización de datos contenidos ensobre.

3.- Decreto supremo N° 83, de 2004, del Ministerio Secretaría General de laPresidencia: Aprueba norma técnica para los Órganos de la Administracióndel Estado sobre seguridad y confidencialidad de los documentoselectrónicos.

a) En relación con la seguridad de los documentos electrónicos encuanto al desarrollo, almacenamiento, acceso y distribución, no seefectúan los siguientes procedimientos:

• Diseño y documentación de acciones para poner en práctica laspolíticas de seguridad de los documentos electrónicos.

• Implementación de procesos de almacenamiento, acceso ydistribución de documentos electrónicos.

• Monitoreos del cumplimiento de las políticas de seguridad deldocumento electrónico.

• Capacitación a los usuarios.

• Definición y documentación de los roles y responsabilidades.

b) No se han efectuado estudios de análisis de riesgo y/o costobeneficio de la seguridad del documento electrónico. En cuanto alestablecimiento de políticas que fijen directrices en materias deseguridad, éstas no han sido difundidas.

c) Dentro de las funciones del encargado de seguridad, no secontempla el desarrollo inicial de las políticas de seguridad al interiorde la organización.

d) Los documentos electrónicos y sistemas informáticos no han sidoclasificados y etiquetados para indicar la necesidad, prioridad y gradode protección.

e) El encargado de seguridad no ha propuesto procedimientos demanipulación requeridos para el documento electrónico en cuanto acopiado, almacenamiento, transmisión por correo electrónico ydestrucción.

f) Las salidas desde un sistema de un documento electrónicoclasificado como reservado o secreto, no poseen una etiquetaapropiada de clasificación de salida.

1



- 57-

g) Las responsabilidades de seguridad aplicables al personal no sonexplicitadas en la etapa de selección ni se incluyen en los decretosde nombramiento.

h) No se aplican políticas de segregación de funciones para reducir elriesgo de negligencia y mal uso deliberado de los sistemas.

i) La periodicidad de los respaldos de los computadores personales noes menor a 1 año.

j) No se difunden instrucciones sobre la inconveniencia de almacenarcontraseñas de acceso electrónico en el mismo computador.

k) Los equipos usados en el almacenamiento no son reformateados enforma previa a ser dados de baja.

1) En relación a la asignación de identificadores, existedesconocimiento de aplicar las siguientes medidas:

• No registrar identificadores en papel.

• Evitar compartir los identificadores de usuarios individuales.

• No almacenar identificadores de manera desprotegida

• No incluir el identificador en cualquier proceso al inicio de secciónautomatizada.

4.- Decreto supremo N° 93, de 2006, del Ministerio Secretaría General de laPresidencia: Aprueba norma técnica para la adopción de medidasdestinadas a minimizar los efectos perjudiciales, de los mensajeselectrónicos masivos no solicitados, recibidos en las casillas electrónicas delos Órganos de la Administración del Estado y de sus funcionarios.

a) No se ha efectuado el diseño, documentación e implantación deprocesos y procedimientos necesarios para poner en práctica laspolíticas relativas a correos masivos.

b) No existe una definición y documentación de roles yresponsabilidades de las unidades organizacionales e individuosinvolucrados en los aspectos relacionados con el manejo de correoselectrónicos masivos.

e) La entidad edilicia no ofrece un punto de contacto para comunicarsecon el encargado de seguridad informática.

d) Se carece de un monitoreo semanal al sistema, que alerte alencargado de seguridad informática para que ofrezca solución adichos problemas.

5.- Decreto supremo N° 100, de 2006, del Ministerio Secretaría General de laPresidencia: Establece características mínimas obligatorias que debencumplir los sitios Web de los Órganos de la Administración del Estado.

t



- 58 -

5.1. La entidad edilicia no desarrolla tareas que permitan implementaren el sitio Web las directrices principales de las normas internacionalessobre accesibilidad para personas discapacitadas.

5.2. Con respecto a la adopción, mantenimiento y declaración depolíticas de privacidad del sitio Web, no se han adoptado lassiguientes medidas.

• Individualización del servicio responsable del tratamiento de datosque correspondan al sitio Web, con precisión de su representante.

• Declaración en términos precisos respecto de si el tratamiento delos datos del sitio Web incluye el nombre del banco de datospersonales, el fundamento jurídico de su existencia, la finalidad, yel tipo de datos almacenados en dicho banco.

• Indicación en cuanto a las condiciones de garantía sobreconfidencialidad del tratamiento de los datos personales.

• Reconocimiento expreso de los derechos de que dispone elusuario, en cuanto titular de datos personales, para su debidoresguardo.

5.3. En caso de utilizarse archivos que requieran el uso de programasvisualizadores especiales, no se han puesto a disposición de losusuarios dichos programas, para ser bajados a través del sitioweb.

5.4. No se efectúa validación de las plantillas de las hojas de cascadadel desarrollo del sitio Web a través de las herramientas provistasporWC3.

En relación al cumplimiento del decretosupremo ya citado se realizó una revisión al sitio Web municipalhtlp://www.lascondes.c1. detectándose las siguientes situaciones:

a) La codificación del sitio Web no corresponde a UTF-8 sino aCharset ISO 8859-1, efectuada la evaluación del código fuentedisponible en el sitio Web.

b) El mantenimiento del sitio Web municipal se encuentraexternalizado. Por otra parte, el contenido es administrado porpersonal del departamento de relaciones públicas dependiente dealcaldía.

e) A nivel Web, el sitio posee uso de frames, lo cual generadesventajas como reducción del espacio en pantalla, disminuciónen la navegación, errores en asignación de bookmarks yactualización de los frames mediante utilización de Javascript. Loanterior, determina caída en el rendimiento del sitio Webmunicipal.

d) Se realizaron búsquedas en diferentes formatos, advirtiéndoseque el buscador del sitio Web se encuentra habilitado y operativo.



- 59-

e) Las políticas de privacidad del sitio Web no se encuentranhabilitadas y presentadas a los usuarios.

f) Se realizaron pruebas con los principales Browser y se verificó lacompatibilidad de todos ellos para acceder a la navegación sobreel sitio Web municipal, dentro de las pruebas se usaron InternetExplorer, Firefox, Safari, Opera y Google Chrome.

g) El sitio Web municipal presenta un tráfico medio, debido al uso deimágenes y archivos multimedia, por lo que es necesario regular ymantener un equilibrio entre el uso de los medios y lasaplicaciones que el sitio dispone para el uso de los usuarios.

h) Consultado el registro de nombres de dominio "NIC.CL", sedetectó que el municipio cuenta con dos dominios vigentes"Iascondes.cl" y "lascondesonline.c1". Cabe señalar que el primerocorresponde al sitio informativo y el otro a un sitio transaccionalde recepción de pagos por concepto de permisos de circulación,multas de tránsito y patentes municipales. En el caso del sitioinformativo, el registro cuenta con datos erróneos respecto alnombre del contacto administrativo, el cual registra datos de unapersona que no corresponde a un funcionario municipal,asimismo, existen datos en blanco y sin asignación, como nombredel contacto técnico, ver anexo N° 15.

i) En revisión efectuada a NIC.c1, se detectó que donde se debeenunciar el nombre del contacto técnico se indica la institución, encircunstancias que debe ser una persona natural, así como laexistencia de campos en blanco en el formulario de antecedentes,ver anexo N° 15.

j) En la sección Web de trámites municipales, se detectaronvínculos rotos para acceso a antecedentes y formularios dedirección de obras municipales, específicamente casos comosolicitud de cambio de arquitecto, libro de obras, documentos pararecepción de cambio de destino, de obra menor, declaraciónjurada notarial y medidas de control y gestión de calidad, endepartamento de inspección.

k) En menú de unidades municipales, se verificó la navegacióndetectando que, una vez realizada la elección y carga del framerespectivo, no se puede regresar a unidades municipales puestoque la URL no es encontrada en el servidor.

1) En relación a los formularios de comunicación en las secciones dealcaldía, concejales, transparencia municipal e información delmunicipio, se detectó que los campos no cuentan con validadoresde contenido mínimo de caracteres. Asimismo, no cuenta convalidador de imagen para certificar que el ingreso se realiza pormedio de un operador humano y no un sistema informático deenvío de datos masivos.

m) En el análisis, se detectó el uso del Framework de código abierto,Horde, el cual es utilizado en correo institucional a través del sitioweb. En información remitida por el jefe de informática, mediante



- 60-

oficio N° 574 de 21 de septiembre de 2010, punto N° 21, se indicaque el municipio no utiliza software opensource, lo cual contrastacon la aplicación indicada.

n) En la sección de aseo y ornato, no existe un criterio único para eldespliegue de las imágenes de mapas de recolección,encontrándose de varios tamaños y en diferentes ventanas.

o) Se encuentran a disposición del usuario, datos personales defuncionarios municipales en sección departamento de eventos,turismo, deporte y recreación. Lo anterior, vulnera el artículo 9°letras b), c) y d), del decreto supremo N° 100, de 2006, delMinisterio Secretaría General de la Presidencia.

p) En la sección de mascotas perdidas, se detectaron registrosduplicados de publicaciones para una misma mascota. Asimismo,existe restricción de tamaño de 1.7 mega bytes para subirfotografías por medio de un formulario de información de mascotaextraviada, tamaño que resulta reducido.

q) Se realizó la validación de hojas de estilo en cascada para el sitioWeb municipal, encontrándose 11 errores y 22 advertencias, veranexo N° 16.

r) Mediante el servicio de validación de estructura de sitio Webwww.lascondes.c1. proporcionado por W3C, se detectó que es deltipo XHTML 1.0 transicional y presenta 15 errores en el diseño y 2alertas, ver anexo N° 17.

s) El sitio Web htlp://www.lascondesonline.c1. sobre el cual serealizan transacciones de pago de patentes municipales, multasde tránsito y permisos de circulación, fue validado en relación ahojas de estilo en cascada (CSS versión 2.1), mediante normasde W3C, no arrojando errores. Por otra parte, se detectó laexistencia de anomalías en el análisis realizado a la estructura delsitio web transaccional, presentando 5 errores, ver anexo N° 17.

En relación al incumplimiento de los decretossupremos citados anteriormente, la autoridad señala que se está revisando suimplementación en los procesos de gestión interna.

No obstante, dado que esa entidad comunalno aporta antecedentes de las medidas adoptadas, que corresponde mantener latotalidad de las observaciones.

CONCLUSIONES.

Atendidas las consideraciones expuestasdurante el desarrollo del presente trabajo, corresponde concluir que la Municipalidadde Las Condes ha regularizado algunas de las observaciones incluidas en elPreinforme, no obstante, deberá abocarse a resolver aquellas que subsisten, a saber:



- 61 -

1. Respecto al capítulo 1, Ambiente de TIsobre la estructura organizacional, diagrama de red y proyectos implementados, elmunicipio deberá adoptar las medidas necesarias que permitan normalizar laestructura del departamento de computación e informática y realizar evaluaciones decalificación técnica profesional al personal del precitado departamento. (V. N° 2).

2. En relación con el capítulo 11, controlinterno sobre procesos TI y el riesgo al fraude, la autoridad municipal deberáimplementar políticas de uso de los recursos informáticos por medio de un profesionaldel área, normar el proceso de toma de decisiones en relación a la inversión enequipamiento, establecer revisiones programadas y evaluar la ejecución de auditoríascon un enfoque a las TI en las plataformas de hardware y software. (V. N° 1).

3. Acerca del capítulo 111, sobre revisión decontratos vigentes asociados a TI, el municipio deberá adoptar las medidas tendientesa integrar en futuros contratos cláusulas que regulen controles aplicados;confidencialidad de la información; políticas de auditoría; uso y administración dedatos municipales. Por otra parte, deberá regularizar la falta de contratos con lasempresas prestadoras de servicios informáticos y de comunicaciones. Sobre loreferido a las boletas de garantía, el jefe comunal deberá implementar las accionespertinentes a fin de evitar que, en lo sucesivo, se produzcan situaciones como lasobservadas, lo que será verificado en próximas visitas de fiscalización, debiendoademás requerir a la empresa E-sign S.A. regularizar la boleta de garantía respectode lo establecido en el contrato. (V. N° 2, 4, 6, 7, 8, 9, Obs. generales a contratosletras a, b, c, y d)

En relación con las prórrogas acordadas enlos contratos con las empresas Bell Technologies S.A., DirectTV Chile TelevisiónLtda., Elías Juri Clavería, GTD Teleductos S.A., Legal Publishing Chile Ltda., yProexsi Ltda., las cuales no se ajustan a lo previsto en la ley N° 19.886 Y sureglamento, ese municipio deberá abstenerse, en lo sucesivo, de incurrir en continuasprorrogas de contratos.

4. Con respecto al capítulo IV, sobrecontroles generales asociados al entorno de TI, la autoridad municipal deberáestablecer políticas de eliminación de información respaldada. Asimismo, deberárealizar la actualización del inventario de equipamiento informático y efectuar ellicenciamiento de la plataforma, a nivel de sistemas operativos, aplicaciones de oficinay software de seguridad. (V. N° 1, letra c, 1.1 y 1.2)

5. Acerca del capítulo IV, numeral 2, sobreseguridad física, la autoridad municipal deberá efectuar las modificaciones quepermitan validar la seguridad respecto de la utilización de abrazaderas de cables dered, utilización de racks seguros, instalación de chapas de seguridad en tableroeléctrico, instalación de sistema automático de control de acceso, regularización de lailuminación, instalación de canaletas de cables de red, evaluación de laimplementación de circuito cerrado de televisión, instalación de muros conpropiedades de aislación calórica, utilización de sensores de humo, posicionamientoadecuado de los extintores, aislación de los interruptores automáticos, utilización deseñalética, y regularización de puertas de acceso de la dependencia anexa a sala deservidores. (V. N° 2, letras c, e, f, h, i, j, m, n, o, p, q, r, s, t, w).



- 62 -

6. En relación con el capítulo IV,numerales 3 y 4, sobre procedimientos de respaldo y plan de recuperación dedesastre, el municipio deberá implementar un procedimiento para ejecutar losrespaldos conforme a un único método. (V. N° 3, letra a, y N° 4).

7. Respecto al capítulo V, sobre ejecuciónde recorridos de controles generales asociados a TI, el municipio deberá establecerun procedimiento formal para la creación, asignación y baja de cuentas de acceso asistemas para usuarios municipales, evaluar la criticidad de operar con los sistemasadministrativos municipales, considerando la existencia de fallas en el modelo lógico.Por otra parte, evaluar la inclusión de una cláusula en los contratos de sistemasadministrativos municipales, que regule la entrega de documentación relativa al diseñológico de la base de datos a este Organismo de Control, sólo para los efectos de sufiscalización. (V. 1.3, 1.3.2, 1.3.3, 1.3.4, 1.3.6, 1.3.8, 1.3.9, letras by e).

8. Con respecto al capítulo VI, numerales1 y 2, sobre aspectos relacionados al control de acceso lógico y al control de cambios,la autoridad municipal deberá adoptar las medidas tendientes a regularizar lasobservaciones indicadas en el preinforme, que serán verificadas en futuras visitas deeste Organismo de Control. (V. N° 1.1, letras a, e, h, i, j, Y k, N° 1.2, letras a, b, e, y d,N°s 2.1, 2.2, 2.3)

9. Respecto al capítulo VII, la autoridadmunicipal deberá adoptar las medidas necesarias para cumplir los decretos supremosdel Ministerio Secretaría General de la Presidencia, relacionados con el ambiente TI.

10.- Finalmente, la autoridad comunaldeberá implementar las medidas enunciadas en el cuerpo del presente informetendientes a solucionar las observaciones planteadas, cuya efectividad serácomprobada en las próximas visitas que se realicen a la Entidad, conforme a laspolíticas de este Organismo de Control sobre seguimiento de los programas defiscalización.

Transcríbase al Alcalde, al Concejo Municipal y ala Dirección de Control Interno de Las Condes.

mente a Ud.

'V AVILA FIGUEROAJeFA AREA AUDlTORIA

SUBDIVISI6N AUOITORIA E INSPECCiÓNDIVISiÓN DE MUNICIPALIDADES

www.contraloria.cl

informe final municipalidad de las condes · en cumplimiento del plan anual de fiscalización para...

Documents