Informe de Seguimiento Municipalidad de La Reina

Transcripción

1 CONTRALORíA GENERAL DE LA REPÚBLICA Informe de Seguimiento Municipalidad de La Reina r: Fecha : 08 de febrero de 2011 N Informe:

2 ÁREA AUDITORíA 1 DMSAI 1.138/10 PMET /10 REMITE INFORME DE SEGUIMIENTO SANTIAGO, o d. FES 11 * O O 7 'i 77 Adjunto, sírvase encontrar copia de Informe de Seguimiento de las observaciones contenidas en el Informe Final N 295, de 2009, remitido a ese municipio por oficio N 5.237, de 2009, debidamente aprobado. por Orden del...ontralor General PRISCILA HA FUENTES Abogado --_~- Suojeie Divisi6n de Municipalidades AL SEÑOR ALCALDE DE LA MUNICIPALIDAD PRESENTE DE LA REINA

3 ÁREA DE AUDITORíA 1 DMSAI PMET 1.138/ /10 REMITE INFORME DE SEGUIMIENTO SANTIAGO, o J. FEB 11 t( OO '7, '78 Adjunto, sírvase encontrar copia del Informe de Seguimiento a observaciones contenidas en el Informe Final N 295, de 2009, de esta Contraloría General, con el fin de que, en la primera sesión que celebre el concejo municipal, desde la fecha de su recepción, se sirva ponerlo en conocimiento de ese órgano colegiado entregándole copia del mismo. Al respecto, Ud. deberá acreditar ante esta Contraloría General, en su calidad de secretario del concejo y ministro de fe, el cumplimiento de este trámite dentro del plazo ~iez días de efectuada esa sesión. /.. J Saluda atent mente a Ud. I., Por Orden del Con alar General PRISCILA JA FUENTES Abog do Subjefe División de Municipalidades l / I AL SEÑOR SECRETARIO MUNICIPAL DE LA REINA PRESENTE

4 CQNTRALORíA GENERAL DE LA REPÚBLICA ÁREA AUDITORíA 1 DMSAI 1.138/10 PMET /10 REMITE INFORME DE SEGUIMIENTO SANTIAGO, O J. FEB 11 1< O O 7 " ' 9 Adjunto, sírvase encontrar copia de Informe de Seguimiento de las observaciones contenidas en el Informe Final N 295, de 2009, remitido a ese municipio por oficio N 5.237, de 2009, debidamente aprobado. Por Orden del Conlr lar General PRISCILA JARAiFUENTES Abogado Suojefe Dillisi6n do Municipalidades C_ AL SEÑOR DIRECTOR DE CONTROL MUNICIPALIDAD DE LA REINA PRESENTE

5 PMET N DMSAI N / /10 INFORME DE SEGUIMIENTO DE LAS OBSERVACIONES CONTENIDAS EN EL INFORME FINAL N 295, DE 2009, SOBRE TECNOLOGíAS DE LA INFORMACION EN LA MUNICIPALIDAD DE LA REINA. SANTIAGO, 08 FEB En cumplimiento del plan anual de fiscalización de esta Contraloría General y de acuerdo con las facultades establecidas en la ley N , de Organización y Atribuciones de la institución, se ha efectuado en la Municipalidad de La Reina, un seguimiento respecto de la efectividad de las medidas adoptadas por esa entidad, en relación con las observaciones expuestas en el Informe Final N 295, de 2009, remitido por oficio N 5.237, de 2009, sobre auditoría de sistemas informáticos. Para el desarrollo del trabajo se tuvo presente el citado Informe de fiscalización, los antecedentes proporcionados por la entidad edilicia, respecto de las medidas adoptadas de las objeciones efectuadas y la realización de las validaciones pertinentes en terreno. El análisis de los antecedentes aportados, en conjunto con las verificaciones realizadas, permitió determinar lo siguiente: 1.- AMBIENTE DE TI. En relación con el acápite 1, sobre estructura organizacional, es preciso señalar que la auditoría realizada por este Organismo de Control observó en el numeral 2 a), la calidad jurídica del jefe del departamento, el cual se encontraba contratado bajo la modalidad de honorarios. En solicitud de información realizada al municipio, no se aportan antecedentes al respecto, por lo que procede mantener la observación. A LA SEÑORA SUBJEFE DE LA DIVISiÓN MUNICIPALIDADES PRESENTE JPTV/BLC DE

6 - 2 - Por otra parte, en el punto 2 b), se observó falta de segregación informática por áreas, así como el reducido número de personal y especialización del mismo, a cuyo respecto el alcalde, mediante oficio ordinario N 1.000/47, de 11 de noviembre de 2010, informa que se ha propuesto una nueva estructura para dicho departamento, para lo cual se evaluará la incorporación de dos plazas para personal técnico en informática, agregando que se realizará una capacitación anual para dicho personal, integrando mayor cantidad de dotación. Asimismo en el punto 2 e), se observó la falta de áreas de seguridad, instalaciones e ingeniería de software, de acuerdo a las validaciones efectuadas en el seguimiento se verificó que los datos se almacenan de acuerdo a su naturaleza, es decir, la información procesada por los sistemas de empresas externas Proexsi Ltda., y CAS Chile S.A., se efectúa en sus propios datacenter. En forma adicional, existe un segundo nivel de seguridad, ejecutando respaldos en dos servidores, uno al interior del municipio y otro en un datacenter fuera de las dependencias municipales. En relación a los sistemas que operan en línea, éstos son respaldados en forma duplicada mediante FTP a los servidores municipales, replicando los datos a un datacenter externo. Conforme lo expuesto, corresponde levantar las observaciones formuladas en los puntos 2 b) Y 2 e). Por otra parte, respecto a la ausencia de evaluaciones de calificación técnica profesional al personal informático, indicada en el numeral 2e), el municipio proporcionó las fichas técnicas y hojas de calificaciones, documentos que no permiten subsanar lo planteado inicialmente, debido a que corresponden a evaluaciones del desempeño del personal, y no a competencias técnico-profesionales. Por lo anteriormente expuesto y en atención a que esa entidad comunal no aporta mayores antecedentes que permitan validar lo informado en el oficio ya citado, corresponde mantener lo observado en el punto 2 e). Respecto a la observación del punto 3 a), sobre la carencia de sistemas de seguridad, uso de sistemas de prevención de intrusos, servidor de filtros de correos, cortafuegos, en validaciones efectuadas en esta auditoría, se corroboró que dichas situaciones se mantienen, por lo que procede mantener la observación. Acerca de la observación del número 3 b), sobre inexistencia de un plan de recuperación de desastres informáticos, se observó que, a la fecha de este informe, dicho plan se encuentra en elaboración, lo cual fue corroborado por el Alcalde de la Municipalidad de La Reina, mediante oficio ordinario N 1.000/47, de 11 de noviembre de 2010, sin perjuicio de lo cual, de acuerdo a las validaciones realizadas, se constató la existencia de un mecanismo de contingencia que contempla las acciones relacionadas con respaldos de datos fuera de la Municipalidad de La Reina, utilización de conexiones VPN a través de Internet, almacenamiento de instaladores de sistemas y programas, uso de software antivirus, continuidad operativa por medio del hardware de comunicaciones y enlace de respaldo de Telefonía E1.

7 - 3 - De acuerdo a los antecedentes expuestos y atendido el hecho de no encontrarse operativo un plan formal de contingencia que indique, al menos, personal asociado a áreas de ejecución de trabajos, prioridades de restauración, personal responsable asociado al proceso, ubicación física de los servidores de respaldo, tiempos asociados al proceso de levantamiento de sistemas y plataforma de comunicaciones, corresponde mantener la observación. Referente al punto 4 a), relativo a la falta de certificación sobre la implantación del proyecto de servicio de intranet y sistemas administrativos municipales, mediante certificado N 229, de noviembre de 2010, emitido por el director de administración y finanzas de la Municipalidad de La Reina, se indica que el departamento de informática mantiene activamente el sitio Web permitiendo realizar las transacciones necesarias a los sistemas de personal y remuneraciones. Sin embargo, el municipio no proporcionó el contrato ni la documentación de respaldo de dichos servicios, los cuales son prestados por la empresa Cas Chile S.A., por lo cual se mantiene lo observado. En relación al punto 4 e), referente a la normalización en la ejecución de los respaldos, el municipio informó mediante oficio ordinario N 1.000/47, ya citado, que las empresas proveedoras de servicios de información proveen al municipio el servicio de respaldo bajo sus estándares. Por otra parte, los respaldos se realizan diariamente de forma incremental en los servidores del municipio y son replicados semanalmente al datacenter externo. De la misma forma, para el respaldo programado en máquinas Windows se utiliza el software Cobian Backup de código abierto, lo que permite subsanar la observación efectuada. Adicionalmente, sobre lo observado en el punto 4 e), sobre la falta de licencias de antivirus de los equipos que se encuentran instalados y en operación, de acuerdo con las validaciones realizadas en esta auditoría, se verificó que se utiliza una solución gratuita de antivirus, bajo la supervisión del departamento de computación e informática. Además, reinformó que se incorporará una plataforma antivirus completa, la cual comenzará a funcionar con el proceso de recambio de equipos. Evaluados los antecedentes expuesto anteriormente, se levanta la observación sobre ausencia de licenciamiento de antivirus. En relación al punto 4 e), sobre la ausencia de un cortafuego de Internet en la plataforma de software municipal se constató, de acuerdo a validaciones efectuadas, que el acceso a Internet actualmente posee un firewall marca Cisco modelo Pix, el cual es proveído por GTD Teleductos S.A. De esta manera, la administración del equipo se encuentra encomendada al proveedor y las reglas aplicadas en él se encuentran solicitadas por el departamento de informática del municipio a nivel de plataforma Web, por lo que procede levantar la observación efectuada inicialmente CONTROL INTERNO SOBRE PROCESOS DE TI Y EL RIESGO AL FRAUDE. En el capítulo 11, en la auditoría realizada por este Organismo de Control se estableció ausencia de políticas que permitan normar el uso de los recursos informáticos a nivel municipal, según lo indicado en el punto 1 a),

8 - 4- a cuyo respecto la autoridad edilicia, mediante oficio ordinario N 1.000/47, ya citado, proporcionó un manual de uso de los recursos informáticos municipales. Sin embargo, analizado los temas tratados en el mismo, se considera insuficiente debido a que se mezclan temas relativos a administración, uso y adquisiciones, siendo aplicable estas políticas solamente a funcionarios del departamento de computación e informática. Por otra parte, el referido manual no se encuentra sancionado ni difundido, lo que determina mantener la observación. En relación, al punto 1 b), sobre la falta de procedimientos de políticas de inversión, a través del oficio ordinario anteriormente señalado, se informó que todo proyecto de inversión en TI será financiado por medio de fuentes externas al municipio, prueba de ello es la adjudicación del proyecto BIP N sobre adquisición de equipos computacionales. Analizados los antecedentes de dicho proyecto, procede levantar la observación. Sobre lo indicado en el punto 1 e), ausencia de matriz de riesgos para el acceso lógico, físico y control de cambios, asociados a los sistemas administrativos utilizados y servidores de la plataforma de hardware, mediante oficio ordinario citado precedentemente, se informa que la unidad de control se encuentra elaborando matrices de abastecimiento y de generación de recursos. Adicionalmente, se indica que en la medida de lo posible se contempla el desarrollo de una matriz de riesgo en el área de informática. Sobre el particular, cabe consignar que el contar con matrices de riesgo debe estimarse como una recomendación para la mayor efectividad del sistema de control interno de ese municipio y no como una observación propiamente tal. Acerca del punto 1 d), respecto a la ausencia de plan de auditoría y programas de revisión con enfoque de TI al hardware y software municipal, mediante el oficio ordinario, ya citado, indica que en la planta municipal no se contempla personal profesional del área de informática, por lo que no existen funcionarios en la dirección de control que posean conocimientos relativos a TI, razón por lo cual se mantiene la observación REVISiÓN DE CONTRATOS VIGENTES ASOCIADOS A TI. Respecto de las observaciones contenidas en el capítulo 111, puntos 1, 2, 3, 4, 5, 6 a) y 6 b), sobre contratos asociados a TI, en lo referente a la regularización de los pagos de las obligaciones en forma extemporánea, con las empresas proveedoras de servicios informáticos y de comunicaciones, Coasin S.A.; Vigatec S.A.; y Proexsi Ltda., los decretos de pagos respectivos no fueron proporcionados por el municipio, por lo que se mantiene la observación. Respecto de lo expuesto en el numeral 6 del capítulo señalado, sobre la regularización del contrato con la empresa Proexsi Ltda, que contiene una cláusula de renovación automática, lo que se contrapone con lo prescrito en la ley N , de Bases sobre Contratos Administrativos de Suministros y Prestación de Servicios, y el artículo N 12 de su reglamento y, por otra parte, sobre la incorporación de cláusulas sobre políticas de auditoría interna y externa, el cumplimiento de normativa gubernamental, el uso y administración de los

9 -5 - datos municipales y el mantenimiento de aplicaciones vía Internet, el edil expone mediante oficio ordinario N 1.000/47, de 11 de noviembre de 2010, que con posterioridad a la auditoría realizada, no se ha producido ningún tipo de modificaciones a los contratos vigentes que se contraponga a las disposiciones antes citadas. Asimismo, en relación a la inclusión de cláusulas en los términos descritos, ellas se encuentran insertas en las bases técnicas y administrativas de las licitaciones respectivas, que forman parte integrante de los contratos. En atención a las validaciones efectuadas y en base a los antecedentes proporcionados en esta oportunidad, se mantienen las observaciones formuladas inicialmente, toda vez que se pudo verificar que el municipio no ha adoptado medidas que permitan regularizar lo observado. IV.- CONTROLES GENERALES ASOCIADOS AL ENTORNO DE TI. 1.- Controles generales de tecnologías de información. En relación con el capítulo IV, sobre controles generales asociados al entorno de TI, en el punto 1 a), acerca de la inexistencia de procedimientos de control sobre el perfilamiento de accesos para el personal municipal y la administración de las cuentas de sistemas, se pudo determinar que el municipio posee una nómina de perfilamiento en uso, definiendo niveles de acceso a módulos por parte de las empresas Proexsi Ltda., y CAS Chile S.A., lo anterior fue confirmado por la autoridad municipal, a través de oficio ordinario N 1.000/47, ya citado, lo que permite levantar la observación efectuada. Respecto al punto 1 b), sobre la ausencia de auditorías internas o externas a los sistemas de información municipales e informes asociados, la autoridad comunal en el oficio ya citado, indicó que la unidad de control no contempla personal profesional del área de informática, por lo que no se cuenta con funcionarios para realizar auditorías de ese tipo. Agrega que se espera contratar una empresa externa del rubro informático para que realice la citada auditoría, imputando su gasto al presupuesto año En atención a la respuesta y al no contar con personal especializado que permita desarrollar funciones de auditoría en esa área, se mantiene la observación. Por otra parte, en el punto 1 d), respecto a la ausencia de cláusulas sobre el detalle del equipamiento, se corroboró en los contratos de sistemas informáticos, que no se han incluido tales cláusulas, por lo que procede mantener la observación. En el punto 1 e), sobre la falta de normativa sobre políticas de asignación de cuotas de almacenamiento para casillas de correo institucional y uso, se constató que el municipio cuenta con un manual de operación para el uso del correo electrónico institucional, en el que se encuentran contenidas dichas políticas, sin embargo, el citado documento no cuenta con decreto alcaldicio que lo sancione, por lo que se mantiene lo observado.

10 -6- Sobre lo señalado en los puntos 1 f) Y 1 g), respecto de la ausencia de políticas de seguridad de acceso a Internet y red Microsoft, respectivamente, se pudo constar que no se han adoptado las medidas necesarias tendientes a regularizar la falta de procedimientos de seguridad, por lo que se mantienen las observaciones. En lo que respecta a la observación contenida en el punto 1 h), control de stock mínimo de componentes críticos y asignación de bodega de almacenamiento de equipamiento informático, cabe señalar lo siguiente: Se constató la existencia de un procedimiento de adquisición de insumos informáticos, lo cual fue corroborado mediante el oficio ordinario ya citado, en el cual indica que, ante cualquier falla del equipo computacional, el portal Chilecompras otorga diversas facilidades para la adquisición de componentes, lo que hace innecesario mantener un stock de partes y piezas y, por ende, la utilización de una bodega de almacenamiento de equipamiento informático. En relación a lo anterior, procede levantar las observaciones relacionadas con la inexistencia de stock mínimo de componentes informáticos; falta de seguridad de acceso y ausencia de bodega asignada al departamento de computación e informática, considerando la disponibilidad de suministros, que hace innecesaria la existencia de bodega y procedimientos de stock mínimo. Por otra parte, respecto al punto 1.1 e), sobre la falta de sellos de seguridad en los equipos informáticos, con la finalidad de evitar desarme y extracción de piezas, se determinó que recientemente el municipio resultó beneficiado con la aprobación del proyecto "Adquisición de equipos computacionales para la Municipalidad de La Reina", Código BIP Además, la autoridad mediante oficio ordinario citado precedentemente, señala que el municipio se encuentra en proceso de cambio de los equipos computacionales e indica que los nuevos equipos cuentan con sellos de garantía y se considerará la adquisición de sellos de seguridad. levantar la observación. Por lo expresado anteriormente, corresponde En relación al punto 1.2, acerca de la ausencia de políticas de seguridad para el control, movimiento y criticidad de los equipos informáticos municipales, se comprobó que se implementó un sistema que se encuentra en marcha blanca llamado GLPI, que se encuentra alojado en un servidor interno y que se utilizará para llevar un control y movimiento de los equipos computacionales, sin embargo, dicho sistema no se encuentra operativo, por lo que procede mantener la observación. Asimismo, respecto a la falta de actualización del inventario de equipamiento informático municipal, contenida en el numeral anteriormente señalado, mediante el oficio precedentemente expuesto, el edil indica que el municipio se encuentra en etapa de actualización de dicho inventario, asignándose a un funcionario administrativo para que realice esta labor, y que, una vez recibidos e instalados los nuevos equipos, la unidad responsable del inventario

11 -7- ingresará los bienes al "Sistema de inventario computacional", etiquetándolos y asignándoles un código de identificación. Se corroboró que las medidas enumeradas anteriormente no se encuentran implementadas a la fecha de la auditoría de seguimiento, por lo que se mantienen las observaciones. Por otra parte, para el punto 1.3, la autoridad edilicia, mediante oficio anteriormente señalado, indica que la nómina de licencias no ha experimentado cambios a la fecha, sin embargo, mediante el proyecto "Adquisición de equipos computacionales para la Municipalidad de La Reina", adjudicado al municipio por el Gobierno Regional, se está llevando a cabo la compra de 200 licencias de sistema operativo Windows y suite office, con lo cual las licencias quedarán regularizadas en un 95%. Cabe señalar, al efectuar una revisión del sitio en el cual se publicó el proyecto BIP N , se pudo comprobar que dicho proyecto se encuentra aprobado para el 2009 y Por lo tanto, en consideración a los antecedentes precedentemente expuestos y en circunstancias que dicho proyecto contempla la regularización del licenciamiento de los equipos computacionales, se levanta la observación. 2.- Seguridad física. Respecto a las modificaciones que el municipio debía efectuar en relación a la materia tratada en el capítulo IV, sobre seguridad física; puntos 2 a), falta de certificación de circuitos eléctricos; 2 b), vulnerabilidad de la sala de servidores; 2 e), ausencia de circuito cerrado de televisión; 2 f), inapropiada canalización de cables; 2 g), inexistencia de bitácora de mantenciones realizadas en la unidad; 2 i), sala de servidores sin protección acústica ni aislamiento térmico; 2 j), falta de sistema de registro de ingreso de personas; 2 1), inexistencia de registro de mantenciones al equipo de aire acondicionado; y, 2 n), ausencia de mantenciones periódicas de aseo, corresponde señalar lo siguiente: Mediante inspección realizada durante la auditoría de seguimiento, se comprobó que actualmente existe canalización de cables en la sala de servidores, sin embargo, no se han adoptado las medidas para regularizar las demás situaciones observadas. En relación a lo anterior, el municipio postulará a la obtención de recursos a través del Gobierno Regional, con la finalidad de destinar dichos fondos para cambiar el sistema eléctrico existente; implantar nuevos circuitos y efectuar la certificación de sus instalaciones, conforme lo informado por el edil, mediante oficio ordinario N 1.000/47, de 11 de noviembre de En consideración a los antecedentes aportados y las validaciones efectuadas en terreno, procede levantar la observación relativa a falta de canalización de cables en sala de servidores. No obstante, al constatarse que no han sido implementadas las medidas tendientes a regularizar lo

12 -8- observado en los puntos 2 a), 2 b), 2 f), 2 g), 2 i), 2 1), Y 2 n), se mantienen las observaciones respectivas. Acerca del punto 2 D, sobre la falta de procedimientos para el registro del personal que accede a la sala de servidores y las operaciones realizadas, se comprobó, que el municipio se encuentra en etapa de implementación de un sistema denominado GLPI, el cual se encuentra alojado en un servidor interno, y se utiliza para el control de los trabajos realizados en los servidores por medio de tickets de atención, por lo cual queda un registro de los trabajos realizados y quien los efectuó. Dicho sistema se encuentra alojado en la ruta y cuenta con usuarios y claves de acceso para los administradores. Sin embargo, al intentar acceder a dicho sitio, se comprobó que el link se encuentra roto, no siendo posible revisar el sistema de registro, por lo que se mantiene la observación. 3.- Procedimientos de respaldo y plan de recuperación de desastres. En lo que respecta al acápite IV, puntos 3 y 4, sobre procedimientos de respaldo y plan de recuperación de desastres, se constató que las empresas proveedoras de los sistemas administrativos efectúan procedimientos de backup de las bases de datos municipales, lo que fue corroborado a través de los manuales y procedimientos de respaldo, proporcionados por las empresas Proexsi Ltda., y CAS Chile S.A. En base a los antecedentes expuestos en párrafo precedente, corresponde levantar la observación. V.- EJECUCiÓN DE RECORRIDOS DE CONTROLES GENERAL DE TI. En relación al capítulo V, puntos 1.2, 1.3, 1.3.2, 1.3.3, 1.3.5, 1.3.6, Y (letras a, b, c, d, e y f), relativos a la ejecución de recorridos de controles generales de TI de los módulos de sistemas administrativos municipales, se comprobó la inexistencia de un procedimiento formal de creación, asignación y baja de cuentas de acceso a sistemas administrativos municipales. Adicionalmente, se constató que al realizar una acción sobre las cuentas administrativas de sistemas, se requiere de una solicitud al área de informática, modificación que posteriormente es informada al solicitante y al encargado de informática. En consideración a las validaciones efectuadas, procede mantener lo observado inicialmente, puesto que no se han implantado medidas tendientes a regularizar lo detectado en los módulos de sistemas administrativos municipales. Asimismo, no se han incluido los procedimientos relativos a la creación de cuentas en un manual de funciones de la unidad de informática, el cual deberá ser sancionado a través de un decreto alcaldicio. Cabe señalar, en relación a la criticidad de operación en los sistemas administrativos, que al solicitarse el modelo lógico utilizado, el municipio no hizo entrega de dicho requerimiento, aduciendo que debido a su

13 - 9 - definición actual de datos, no aplica la entrega del modelo indicado, lo cual fue informado mediante oficio ordinario N 1.000/47, de 11 de noviembre de 2010, del Alcalde de la Municipalidad de La Reina. Sin embargo, la Municipalidad de La Reina realizará los esfuerzos para desarrollar en conjunto con estas empresas proveedoras los estudios de criticidad correspondientes. En mérito de lo expuesto, y teniendo en consideración el modelo de datos utilizado en los sistemas, se detectó que éste restringe las operaciones, y por ende, es necesario evaluar mediante estudios de criticidad las operaciones, evaluación que no ha sido efectuada, por lo que procede mantener la observación. Acerca de la utilización de una nómina de modificaciones a sistemas, instruidas y efectivamente realizadas por la empresa proveedora, se constató en esta auditoría de seguimiento que existe una bitácora de mantenciones realizadas a los sistemas, y que se adjunta una planilla detallada por módulo, por lo que procede levantar la observación asociada a políticas de mantenimiento. VI.- CONTROL DE ACCESO LÓGICO Y CONTROL DE CAMBIOS. Respecto al capítulo VI, en sus puntos 1 y 2, sobre aspectos relacionados con el control de acceso lógico, se observó la ausencia de procedimientos de administración de cuenta de sistemas y depuración de la base de datos; por otra parte, respecto a control de cambios, se detectó la inexistencia de módulo de control de transacciones y consolidación de movimientos efectuados por usuarios respecto a las aplicaciones. En relación a lo anterior, de acuerdo a las validaciones realizadas se comprobó que para el control del acceso lógico y control de cambios en las aplicaciones se realizó un procedimiento que consta de una petición a la empresa, en forma conjunta con una solicitud de mantención, la cual pasa a ser elaborada como propuesta técnica. Adicionalmente, se confecciona un manual técnico y se entrega la fecha de puesta en producción de la modificación solicitada. En atención a los antecedentes suministrados junto con el procedimiento y nómina de modificaciones de mantenimiento que consigna módulo, fecha de requerimiento, actividades, prioridad, estado y solución de reemplazo, procede levantar la observación efectuada en el proceso de auditoría. VII.- CUMPLIMIENTO DE DECRETOS SUPREMOS DE SECRETARIA GENERAL DE LA PRESIDENCIA. Referente al numeral VII, relativo a las observaciones planteadas, sobre el incumplimiento del decretos N s 77 de 2004, 93 Y 100 de 2006, del Ministerio Secretaría General la Presidencia, se indica mediante certificado N 230, de noviembre de 2010, emitido por director de administración y finanzas de la Municipalidad de La Reina, que dependiendo de los recursos técnicos, financieros y humanos que se dispongan, se considerará la implementación de dicha

14 - 10- normativa técnica, por lo cual, corresponde mantener las observaciones planteadas inicialmente, debido a no haberse tomado medidas correctivas a su respecto. CONCLUSIONES. En mérito de lo expuesto, cabe concluir que las medidas implementadas por esa entidad comunal han permitido salvar algunas de las observaciones contenidas en el informe final N 295, de 2009, de esta Contraloría General, manteniéndose algunas situaciones, las cuales dicen relación con lo siguiente: 1.- En el capítulo 1, ambiente de TI, estructura organizacional, diagrama de red y proyectos vigentes, el municipio deberá adoptar las medidas necesarias que permitan normalizar la estructura del departamento de computación e informática; especializar al personal en áreas de seguridad informática e ingeniería de software; realizar evaluaciones de calificación técnica profesional al personal del departamento e implantar un plan de recuperación de desastres informáticos; y, proporcionar a esta Entidad de Control los antecedentes del proyecto de servicio de intranet y sistemas administrativos de recursos humanos, proporcionado por la empresa Cas Chile S.A., en el término de 30 días. 2.- En relación al capítulo 11, sobre control interno de procesos TI y el riesgo de fraude, se deberán establecer políticas de uso de los recursos informáticos; definir funciones a nivel organizacional y de la dotación de la unidad de informática; procurar, de acuerdo a las posibilidades del municipio, establecer una matriz de riesgos para evaluar el control de acceso lógico, físico y control de cambios en los módulos de sistemas, así como revisiones programadas y auditorías con un enfoque a las TI en las plataformas de hardware y software. 3.- Respecto al capítulo 111, sobre contratos vigentes asociados a TI, el municipio deberá regularizar sus obligaciones con las empresas Coasin S.A., Vigatec S.A. y Proexsi Ltda.; a fin que no se realicen pagos extemporáneos. Asimismo, regularizar los contratos que poseen cláusulas de renovación que se contraponen con lo establecido en la ley N Y el artículo 12 del reglamento respectivo, contenido en el decreto N 250, de 2004, del Ministerio de Hacienda. 4.- Acerca del capítulo IV, sobre controles generales asociados al entorno de TI, se recomienda que el municipio efectúe auditorías de Tecnologías de Información y Comunicaciones, con la finalidad de evaluar los procesos automatizados y sus posibles mejoras. A su turno, corresponde que se apruebe formalmente el manual de operación para el uso del correo electrónico institucional e implementar directrices para la seguridad de acceso. 5.- En relación al capítulo IV, sobre controles generales asociados al entorno de TI, se recomienda evaluar la ejecución de mejoras respecto de la seguridad física, tales como certificación de circuitos eléctricos; instalación de puertas con blindaje térmico y de seguridad; método de acceso seguro a la unidad de informática; circuito cerrado de televisión de monitoreo, sensores de detección de incendios; canalización de cables de red y eléctricos, entre otros. Asimismo, implantar un sistema para registrar el personal que accede a la sala de

15 servidores y las operaciones realizadas. 6.- Acerca del capítulo V, sobre ejecución de recorridos de controles generales de TI, el municipio debe establecer un procedimiento formal para la creación, asignación y baja de cuentas de acceso a sistemas administrativos; y evaluar la criticidad de operar con los sistemas municipales. 7.- En relación al capítulo VII, sobre cumplimiento de decretos supremos del Ministerio Secretaría General de la Presidencia, el municipio deberá adoptar las medidas necesarias para cumplir con dicha normativa. y a la Dirección de Control de La Reina. Transcríbase al Alcalde, al concejo municipal tamente a Ud., VIVIAN AVlLA FI A JEFA AREA AUDI ospección SUBDIViSiÓN AUOM\TOU~~IPALlDADES DIVISiÓN DE

16

17 PMET REF DMSAI, I CONTRALORíA N /11 ~o /11 N, 515/11 GENERAL DE LA REPÚBLICA ÁREA 1 AUDITORíA ATIENDE OFICIO ORDINARIO N 1.000/21, DE 2011, DE LA MUNICIPALIDAD DE LA REINA, SOBRE RESPUESTA A OBSERVACIONES DE INFORME DE SEGUIMIENTO DEL. INFORME FINAL N 295, DE 2009, SOBRE AUDITORIA DE SISTEMAS INFORMÁTICOS EN LA MUNICIPALIDAD DE LA REINA. SANTIAGO, 1 9. HAY 1 1 * J Mediante el oficio de la referencia,' se ha dirigido a esta Contraloría General el Alcalde de la Municipalidad de La Reina acompañando antecedentes sobre las observaciones contenidas en el informe de sequlmlento del informe final N 295, de 2009, de este Organismo de Control, sobre auditoría al macroproceso de tecnologías de información y comunicaciones, el que fuera remltido a la autoridad comunal por oficio N 7.777, de 8 de febrero de 2011., Efectuado el análisis de los antecedentes aportadoslen esta oportunidad, corresponde señalar lo siguiente: j 1.- AMBIENTE DE TI. Respecto de lo observado en el informe de seguimiento, relacionado con la entrega de antecedentes de respaldo sobre la concreclón del proyecto que entrega el servicio de intranet y sistemas administrativos de recursos humanos, proveído por CAS Chile S.A., el alcalde, en su respuesta, señala que de acuerdo a la licitación efectuada en el año 2007, ID N LE07, adiudicada a la empresa CAS Chile S.A., dentro de su propuesta económica ofertó en forma gratuita los sistemas de personal y remuneraciones para su uso y vinculación con la Intranet Municipal, según consta en el detalle de costos y servicios, que se indica a continuación: :, AL SEÑO~ ALCALDE! DE LA MUNICIPALIDAD LA REIN~ PRESENliE ~\ JPTI. DE

18 CONTRALORíA GENERAL DE LA REPÚBLICA SUBDIVISiÓN DE AUDITORIA E INSPECCiÓN ÁREA AUDITORIA 1 2! Licitación pública para la adquisición de una Intranet año 2007 Servicios ~e software de Intranet. Procesos Total UF Hosting 1,78 Diseño y lpesarrollo 24,91 I I Soporte,! 17,85 Total ; 44,55! I Implementación de software adicional. I Procesos Total UF I Implementar software de Personal Municipal, t Implementar software de Remuneraciones Sin costo Sin costo Continúa señalando que, finalizado el plazo de vigencia del contrato, se procedió a llamar a propuesta pública, mediante decreto alcaldicio N 1.645, de 29 de septiembre de 2009, para los "Servicios intranet y sistemas administrativos de recursos humanos", ID N LP09, siendo ésta adjudicada, mediante decreto N 1.909, de 13 de noviembre de 2009, a la empresa CAS-CHIUE, por un monto mensual de $ , por un plazo de tres años, a contar deus de diciembre de 2009., I Conforme a lo señalado y en atención a la documentación puesta a disposición corresponde levantar lo observado inicialmente. I Transcrlbase al Concejo Municipal y a la Dirección de Control de la Municipalidad de La Reina. Saluda atentamente a Ud.,. n del Contralor General BARRA GALLARDO Abogado Jefe. División de Municipalidades SUBROGANTE