INFORME DETALLADO DE AUDITORIA Página 2 de 33

Transcripción

1 Página 1 de 33 SANTIAGO, 30 de Junio de 2014 INFORME DETALLADO DE AUDITORIA Nº 11 Materia: Centro de Responsabilidad : Soporte, Desarrollo de Sistemas, Infraestructura, Pago de Facturas Unidad de Informática I. INTRODUCCIÓN 1. Antecedentes. En cumplimiento del Plan Anual de Auditoría Interna para el presente año, se efectuó una auditoría a los Procesos Soporte, Desarrollo de Sistemas, Infraestructura, Pago de Facturas, de la Unidad de Informática cuyo resultado se da cuenta en el presente Informe. Esta auditoría corresponde a los objetivos institucionales y se realizó de acuerdo con las Normas de Auditoría Generalmente Aceptadas. El examen ha sido realizado sobre muestra seleccionada en forma aleatoria, por lo tanto las observaciones y recomendaciones resultantes son aplicables a todas las materias relacionadas. 2. Objetivos Objetivo General Examinar y evaluar la efectividad del sistema de control interno, respecto de los riesgos que afectan los objetivos del programa auditado y su mitigación a través de los controles Objetivos específicos para los puntos críticos identificados. 1 Que la carga de datos en las aplicaciones, cumpla con la parametrizacion de poblamiento de campos, establecida, para su correcto procesamiento. 2 Asegurar que los campos del sistema habilitado, permitan el acceso de datos previamente parametrizados y definidos, de acuerdo a requerimientos de usuario y normativa asociada. 3 Mantener controlados los accesos que se encuentran en ambientes de desarrollo de prueba (QA) y de producción 4 Cumplir oportunamente con los tiempos de entrega para cada proyecto, establecidos en carta Gantt 5 Asegurar que la implementación de los cambios al sistema, sean ejecutados en forma oportuna, exacta, de acuerdo a los requerimientos y planificación realizada. 6 Dar respuesta, oportuna y optima, a la emisión de informes requeridos y diseñados por usuarios

2 Página 2 de 33 7 Apoyar el desarrollo de sistemas informáticos que permitan gestionar eficientemente los procesos de negocio, a partir de estándares definidos 8 Disponer en forma oportuna de las bases de datos involucradas en los procesos. 9 Mantener el correcto funcionamiento de los softwares que son instalados. 10 Asegurar el correcto funcionamiento de servidores 11 Mantener el funcionamiento permanente y seguro de las redes 12 Mantener resguardada en forma óptima la información de las bases de datos. 13 Disponer de los sistemas en forma óptima para el uso de la institución 14 Mantener la información en bases de datos y que se encuentren habilitadas para el uso de las aplicaciones. 15 Mantener hardware del data center protegido de amenazas externas que pudieran afectar su funcionamiento 16 Mantener en condiciones óptimas de funcionamiento, hardware del data center protegido de amenazas externas. 17 Mantener los sistemas funcionando en forma optima 18 Mantener accesos restringidos solo a funcionarios con autorización. 19 Disponer en forma completa y oportuna, los respaldos de BBDD del servicio. 20 Mantener y controlar la totalidad de existencia de stock disponible y los equipos que se encuentran en uso. 21 Asegurar el correcto funcionamiento de los equipos computacionales habilitados en el servicio. 22 Mantener en forma óptima y completa los respaldos de la información de los equipos que serán reutilizan. 23 Mantener controlado y documentado la totalidad de las etapas de la construcción de un sistema. 3. Alcance de la Auditoría. De acuerdo con el Plan Anual de Auditoría, el alcance fue una muestra seleccionada de las operaciones realizadas desde el año 2013 al primer trimestre de Además de los Proyectos que se encuentran en ejecución durante el año 2014 que provienen del año Oportunidad de realización de la Auditoría. Esta auditoría forma parte del Plan Anual 2014, planificada a partir del mes de marzo 2014 conforme a la programación de la e informada al C.A.I.G.G. conforme a requerimiento y debidamente aprobada. Considerando una duración de 316 horas. Cabe representar que las horas estimadas para el presente trabajo no son cronológicas ni corridas, encontrándose condicionadas a la entrega oportuna de antecedentes. Al inicio de la auditoria se consideraron 150 hrs. Posteriormente se determinó ampliar el alcance.

3 Página 3 de 33 La presente auditoría se inicia el 17 de marzo de 2014, a partir de la elaboración del Programa de Auditoría, seguidos por la ejecución de los procedimientos, pruebas establecidas, redacción y coordinación del informe, estimando su término para el 01 de julio de Concepto Programación Ejecución de la Auditoría Otras Contingencias Elaboración y revisión de Informe Total de Horas Estimación de fechas Horas Estimadas (80) hrs. 5. Equipo de trabajo. En el desarrollo de la presente auditoría se designó para la elaboración y ejecución de ésta, a la auditora Srta. Elsa Ruiz, de profesión Contador Público y Auditor quien se desempeña como auditora interna. A su vez, la supervisión estuvo a cargo de la Sra. Laura Ubillús Reyes, en su calidad de encargada de la del SENCE. 6. Metodología y procedimientos generales de la auditoría. La metodología aplicada para la realización del presente trabajo correspondió en las siguientes etapas: Planificación de auditoría en base a riesgos determinados con aplicación de la metodología contenida en el documento técnico N 24. Ejecución de la auditoría con aplicación de los procedimientos y técnicas propias de la función. Evaluación y análisis de los resultados obtenidos. Detección de nuevas evidencias, tras resultados de pruebas. Conclusiones.

4 Página 4 de 33 Emisión del Informe con formulación de observaciones y recomendaciones, aplicando para tal efecto el Documento Técnico Nº 25 Versión 0.5 e indicando un plazo de respuesta para la realización del seguimiento posterior. 7. Limitaciones al alcance. No se presentaron limitaciones durante el presente examen. II. INFORME DETALLADO DE AUDITORÍA De acuerdo a los procedimientos de auditoría programados para la presente auditoría, se observó lo siguiente: 1.- Falta de actualización y mantención en los datos registrados en Libreta Global de Direcciones de Outlook y en los distintos Sistemas informáticos internos desarrollados, del Servicio. Criticidad: Media Resultados y/o hallazgos de auditoría 1.1 De nuestra revisión efectuada a la Base de Datos de usuarios vigentes registrada en Outlook correspondiente al Servicio, se detectaron las siguientes situaciones: De un total de correos activos en Outlook, 41 de ellos, corresponden a funcionarios desvinculados del Servicio desde septiembre del año De lo anterior, 13 cuentas de correo, fueron utilizados aun cuando los funcionarios habían sido desvinculados del Servicio. Ejemplo Nombre usuario María Cristina López Acevedo Correo Fecha de Ultimo ingreso o movimiento Fecha de desvinculacion Cantidad de dias de ingreso desde desvinculacion mlopeza@sence.cl 19/03/ /01/ Calidad Juridica Honorario Observacion Consulta RRHH Termino de honorario el 06/01/2014 Alexandra Suplencia Elizabeth Externa Lara Reinares alara@sence.cl 21/02/ /01/ Término de reemplazo el 31/01/2014 Maria Paz Del Valle Valdés mdelvalle@sence.cl 14/03/ /02/ Honorario Renuncia el 28/02/2014

5 Página 5 de De la revisión efectuada a la totalidad de Bases de Datos, generadas por los Sistemas del Servicio, se detectaron los siguientes funcionarios desvinculados, cuyos usuarios a la fecha siguen vigentes: FL_BGA_U Fecha de CodigoPers SU_ESTAD desvinculac Observacion de RRHH ona Nombre usuario Sistema O ion Jorge Esteban Castro Castro BD_ING_INDICADORES_GESTION A 23/03/ Maria Paz Del Valle Valdés BD_GEN_GENERICA_V2 A 28/02/2014 Renuncia el 28/02/ Tomás Andrés Heim Labra BD_PIC_LICITACION_PIC A 12/03/ K Katherine Ivania Henríquez Henríquez BD_MUL_MULTAS A 02/02/ K Wendoline Patricia Naveas Vásquez BD_BON_BONOS_CAPACITACION 1 Vigente, a.c. 01/04/2014 contrata de 18/03/2014 SENCE Juan Viterbo Paredes Brito BD_BGA_BOLETA_GARANTIA A 17/03/ Juan Viterbo Paredes Brito BD_BON_BONOS_CAPACITACION 1 17/03/ Catalina Vergara Correa BD_FOM_FORTALECIMIENTO_OMIL 1 31/01/ María Cristina López Acevedo BD_FOM_FORTALECIMIENTO_OMIL 1 06/01/2014 Termino de honorario el 06/01/2014 Efectos Potenciales de los Resultados y/o Hallazgos de Auditoría. - Uso indebido de recursos informáticos a nombre del Servicio - Extracción, modificación y/o eliminación indebida de datos - Uso de espacio innecesario por mantención de datos que ensucian las bases - Daño a la imagen del Servicio. Recomendaciones de Auditoría La encargada de la Unidad de Informática deberá instruir y controlar la ejecución en forma oportuna del Procedimiento de bajas y altas de usuarios que se generó en forma conjunta con la Sub Unidad de Remuneraciones y que permite eliminar o bloquear a usuarios que ya no pertenecen al servicio de los sistemas informáticos habilitados. 2.- Falta de control y uniformidad en los tiempos de respuestas y/o ejecución de los requerimientos generados por SAU, Sistema de Atención de Usuarios. Criticidad: Media Resultados y/o hallazgos de auditoría De la revisión efectuada a los requerimientos generados a nivel interno del servicio a través de Sistema de Atención de Usuarios, informados en planilla Excel por el Encargado de Soporte e Infraestructura, desde enero del año 2013 a la fecha de la presente revisión, se detectaron las siguientes observaciones:

6 Página 6 de ) De 22 requerimientos que se encuentran en estado de espera, 12 provienen del año 2013, y 4 de ellos a la fecha de revisión, aún no han sido asignados, resueltos o cerrados. (Ver Anexo 1), además 8 de ellos superan los 55 días desde la fecha de solicitud como se detalla a continuación: Numero_ sau Fecha de Revision Cantidad de Dias Solicitante Estado ticket_fecha_apertura /10/ :30 17/03/ , Cecilia Castañeda Armijo En Espera /12/2013 9:29 17/03/ , Juan Carlos Ramirez Vivanco En Espera /12/ :41 17/03/ , Eric Sarmiento Villalobos En Espera /12/ :11 17/03/ , Elizabeth Perez Antipan En Espera /01/ :18 17/03/ , Patricia Francke Gallardo En Espera /01/ :46 17/03/ , Rose Marie Baeza Vasquez En Espera /01/ :42 17/03/ , Rose Marie Baeza Vasquez En Espera /01/ :29 17/03/ , Pamela Coronado Garrido En Espera 2.2) Se detectaron diferencias en los tiempos de ejecución y/o respuesta para solucionar un requerimiento de similares características: Numero_s au ticket_fecha_apertur a ticket_fecha_resuelto /06/ :29 26/09/ :49 114, Cantidad de Dias (tiempo grupo_nombre Asunto Contenido de respuesta) Desarrollo Informatico Mantención de Sistemas /07/2013 9:16 22/07/ :16 20, Informáticos /07/ :15 22/07/ :42 10, /01/ :02 23/01/ :45 16, /01/ :02 28/01/ :52 12, Solicita Claves Acceso Solicitar Clave SAP Mantención de Sistemas Informáticos CLAVE SAP Soporte Informatico Soporte Informatico Estimado junto con saludarle se solicita por favor claves de acceso para los sistemas de pago del FPT y SAP al funcionario a honorarios Sr.Henry Seguel el que se encuentra en el anexo 8131 Solicitar de esta Clave Dirección de Accceso Regional Sistema de Sap. Los Revisión e ingreso de Solicitudes de Pago. Programa Mujeres Jefas De Hogar, Programa Formación en Oficios para Jóvenes. necesito clave sap, la que tenia no me reconoce, ademas que tenia asignado perfil de analista central, debiendo ser analista regional. Necesito instalación y clave SAPconfiguración de impresoraclave para ingreso a sistema de Habilitar Clave autorización de boletas Estimados, solicito instalar SAP en mi PC, además solicito perfil y clave para Instalar Sap, utilizarlo.como Encargado de la Unidad de cuenta y clave Personas, solicito un perfil que me permita ver la 2.3) Se verificó que no existe control en el correlativo de los SAU generados, pues, se comprobó la existencia de saltos en su numeración lo que no permite determinar si tales requerimientos están resueltos o fueron eliminados. (Ver Anexo 2).

7 Página 7 de ) Se detectó falta de control y de gestión en el cierre de los requerimientos, es decir no han sido recepcionado conforme por el usuario. Dentro de la revisión existen requerimientos se encuentran en estado resuelto, es decir, finalizados, y no se encuentran cerrados, aun cuando el manual SAU indica que El cierre debe ser ejecutado en forma obligatoria por el usuario, ya que de no efectuar esta acción, el ticket permanecer abierto en forma indefinida. Efectos Potenciales de los Resultados y/o Hallazgos de Auditoría. - Deficiencia en la priorización de asignación de requerimientos - Tardanza en la respuesta y solución de incidentes críticos del Servicio - Falta de respuesta a incidentes del Servicio Recomendaciones de Auditoría La encargada de la Unidad de Informática deberá: - Clasificar los problemas de acuerdo con la prioridad establecida y enviarlos al personal de TI respectivo. - Dar seguimiento a los problemas no resueltos. - Controlar la correlatividad de los requerimientos para validar que la totalidad fueron resueltos, cerrados o están en espera de solución. - Establecer y comunicar a nivel de Servicio, procedimientos para el cierre conforme por parte del usuario requirente o definir qué se hará con aquellos requerimientos que se encuentren Resueltos y no cerrados. 3.- No existe uniformidad respecto del paso por ambiente QA o de prueba, para la totalidad de los desarrollos que serán ejecutados en ambiente de producción. Criticidad: Media Resultados y/o hallazgos de auditoría De la revisión efectuada a Proyectos Informáticos, que han requerido modificaciones por parte de los usuarios o han sido finalizados para su paso al ambiente de Producción, detectamos que 3 de ellos no cumplieron con la ejecución de las Pruebas de QA o ambiente de Prueba, antes de ser implementados. De lo anterior se detectó que: No se efectuaron pruebas de Carga stress ni seguridad. No hay pruebas de Calidad a la versión por pasar a producción. Versión Actual solo implementa pruebas con usuario Se efectuaron y aceptaron pruebas de calidad a la versión anterior a la actual que se solicita el paso a producción No se efectuaron pruebas de performance ni seguridad.

8 Página 8 de 33 Ha sido solicitado que las pruebas de QA Funcionales, Bases de Datos, de Stress y de Carga se realicen una vez que el ambiente de QA esté disponible y que el paso a producción se ejecute de forma inmediata. QA presento al Jefe de Proyecto la necesidad del proceso de certificación de pruebas integrales, el cual ha sido descartado para esta etapa, sin embargo, la ejecución de las pruebas por parte de QA será realizado toda vez que el ambiente de QA esté disponible para certificar, es decir, a partir del 27 de marzo del 2014 podrán ser iniciadas las pruebas. (Ver Proyectos relacionados en Anexo 3). Efectos Potenciales de los Resultados y/o Hallazgos de Auditoría. - La situación antes expuesta, deja en evidencia la falta de implementación de buenas prácticas requeridas en el Desarrollo y paso a Producción de Softwares internos. - Aumenta el riesgo de detección de incidentes en producción. - Aumentan los tiempos de horas hombre ante posibles errores que podrían haberse detectado en las pruebas de QA y no en Producción. - Aumento de errores técnicos que impliquen tiempo y demora en el uso de software por parte de los usuarios finales - Aumento de costos presupuestados por proyecto - Daño a la imagen del Servicio. Recomendaciones de Auditoría La encargada de la Unidad de informática, deberá controlar la implementación de metodologías de aseguramiento de calidad. 4.- Falta de uniformidad, control y formalidad en la Ejecución de Proyectos Informáticos. Criticidad: Medio Resultados y/o hallazgos de auditoría De acuerdo a entrevistas sostenidas con Jefes de Proyecto y con el encargado de la Unidad de Informática, se detectaron las siguientes situaciones en la ejecución de los proyectos informáticos generados por el Servicio: - No existe plantilla de requerimiento estándar, que permita documentar en forma uniforme las distintas solicitudes realizadas por los usuarios. La documentación del requerimiento está dada por la clasificación que, de acuerdo a criterio, es establecida por la Unidad de Planificación, si se trata de un proyecto de menor importancia, puede ser requerido por SAU o mail. El usuario no se encuentra capacitado técnicamente para describir el requerimiento. La Unidad de Planificación se reúne con el usuario solicitante o la Unidad

9 Página 9 de 33 de Negocio que hace el requerimiento y posteriormente en forma conjunta con el Jefe de Proyecto, se define el proyecto que es documentado en la Carta Gantt. - El cierre de la Carta Gantt, no cuenta con la totalidad de las firmas, debido a que su aprobación se hace vía mail. - La Carta Gantt puede ser modificada por cualquier usuario que tenga acceso a ella. - La documentación de la fase de requerimiento, no se encuentra en su totalidad en Share Point, que corresponde al repositorio de documentación habilitada en la Unidad de Informática. - No todos los usuarios están dispuestos a firmar la recepción conforme de un desarrollo puesto en producción. Lo anterior debido a que el usuario solicitante ya no pertenece al Servicio o fue reubicado. Tampoco se considera una exigencia. - No todos los desarrollos pasan por QA por exigencias superiores o falta de tiempo y/o planificación. - Los acuerdos tomados en reuniones iniciales de Proyecto, no son documentados en minutas u otro tipo de documentación formal al que se pueda acceder para revisiones. Algunos se envían por mail. Lo anteriormente descrito, deja de manifiesto la falta control interno y la falta de adopción de mejores prácticas que permitan garantizar la calidad de ejecución de las fases de un proyecto. Efectos Potenciales de los Resultados y/o Hallazgos de Auditoría. - Falta de definición e implementación de marcos de trabajo y enfoques de programas y proyectos. - Poca claridad o falta de directrices de administración para proyectos. - Falta de control en los tiempos de ejecución de Proyectos Recomendaciones de Auditoría Se recomienda a la encargada de la Unidad de Informática: - Capacitar a su personal para la adopción e implementación de metodologías que estén acorde a las mejores prácticas. - Implementar controles de entregas y aprobación en todas las etapas del proyecto, en donde quede claramente establecidas las responsabilidades de quien entrega, de quien recibe y de quien aprueba. - Documentar todas las etapas del Proyecto. 5.- Falta de Control sobre inventario de equipos computacionales. Criticidad: Medio Resultados y/o hallazgos de auditoría 5.1) De acuerdo al pareo efectuado entre la información solicitada a la Unidad de Informática y la Unidad de Contabilidad, respecto del registro contable y el control de los equipos

10 Página 10 de 33 computacionales que se encuentran en custodia de los usuarios y que se encuentran en stock custodiados por Informática, se detectaron diferencias como sigue: - Equipos computacionales que se encuentran registrados en informática y no en contabilidad - Equipos computacionales que se encuentran registrados en contabilidad y no en informática - Equipos computacionales que cuentan con Código de Inventario distinto en informática y contabilidad - Códigos de Inventario registrados en Contabilidad, sin información, como por ejemplo Número de Serie - Equipos computacionales que se encuentran contabilizados dos veces de acuerdo a datos de número de serie - Se detectó que el archivo correspondiente a Informática contiene campo de Estado, indica Asignado a Usuario, pero no registra los datos en el campo nombre de funcionario. - Se detectó que el archivo correspondiente a Informática contiene el campo Serie cuenta con datos correspondientes al campo de Código de Inventario - Se detectó que el archivo correspondiente a Informática se registran Códigos de Inventario repetidos (Ver anexo 4a) y 4b) con ejemplos de los puntos anteriores). 5.2) De acuerdo al movimiento físico de los equipos computacionales, se detectaron las siguientes observaciones Respecto de la salida de bodega de equipos a entregar a usuarios: - No existe procedimiento del proceso de entrega del equipo al salir de la bodega. - No existe recepción conforme por parte del solicitante interno de la Unidad que dé cuenta de la salida de bodega. - No se puede identificar el estado en que se encuentra la entrega del equipo al solicitante, es decir, si salió de bodega, si fue enviado al solicitante o si fue devuelto y en qué condiciones. Efectos Potenciales de los Resultados y/o Hallazgos de Auditoría. - Pérdida o deterioro de equipos - Sobre o déficit de stock mantenido en bodega - Obsolescencia de equipos mantenidos en bodega. - Inexistencia de responsabilidades en el proceso de despacho de los equipos. - Tardanza en el cumplimiento de requerimientos de entrega de equipos. Recomendaciones de Auditoría La encargada de la Unidad Informática deberá instruir a su personal respecto de: - Implementación de controles por medio de software y/o procedimientos que permitan establecer la ubicación física tanto de los equipos mantenidos en bodega como los que están siendo utilizados.

11 Página 11 de 33 - Ejecución de inventarios físicos periódicos de equipos computacionales. Lo que además deberá ser conciliado con los registros contables. - Implementación de políticas de obsolescencia de equipos computacionales. - Implementación de Codificación de inventario única a Nivel Nacional. 6.- Problemas de infraestructura que arriesgan el debido funcionamiento de equipos de Data Center, y exponen los shaft de conexión. Criticidad: Baja Resultados y/o hallazgos de auditoría 6.1) De la inspección realizada a la sala al Data Center, ubicada en dependencias de la Unidad de Informática, se detectó que el aire acondicionado no cuenta con las condiciones técnicas requeridas que permitan el funcionamiento óptimo de los equipos, estos quedan expuestos al sobrecalentamiento y posibles caídas de sistema que conlleven a la perdida de información. 6.2) de la inspección realizada a fotografías de los shafts de comunicación que se encuentran en las distintas dependencias del servicio, se pudo observar que el cableado está expuesto, lo que podría generar perdida de comunicación, caídas de equipos, además del riesgo permanente de que sean dañados en forma voluntaria o accidental. (Ver Anexo 5) Efectos Potenciales de los Resultados y/o Hallazgos de Auditoría. - Caídas de servidores en forma abrupta - Perdida de información. - Aumento en los costos de recuperación de información. Recomendaciones de Auditoría La encargada de la Unidad de Informática, deberá actualizar cotización existente para la adquisición de Aire acondicionado industrial necesario. Exigir y controlar la ejecución de mantenciones requeridas para el funcionamiento óptimo de los equipos de aire. Evaluar la forma de no exponer los shafts que se encuentran descubiertos. 7.- Inexistencia de procedimientos para el respaldo de información de equipos a Nivel Nacional. Criticidad: Medio Resultados y/o hallazgos de auditoría De entrevista sostenida con el Encargado de Soporte e Infraestructura y de las visitas realizadas por Auditoría Interna a regiones, se ha podido detectar la inexistencia de procedimientos y la falta de implementación de carpetas u otros dispositivos, que permitan a los usuarios respaldar

12 Página 12 de 33 información de la operación propia del Servicio mantenida en los equipos o pcs de los funcionarios. Efectos Potenciales de los Resultados y/o Hallazgos de Auditoría. - Perdida de información. Recomendaciones de Auditoría La encargada de la Unidad de Informática, deberá implementar procedimiento que permita establecer los criterios de respaldo de información. Además, deberá controlar la ejecución de respaldos periódicos de la información de las operaciones, mantenida en los pcs de los funcionarios. 8.- Irregularidades en la documentación de las compras realizadas para le ejecución de proyectos. Criticidad: Alto Resultados y/o hallazgos de auditoría De acuerdo a la revisión realizada a 19 Órdenes de Compra correspondiente a 18 Proyectos en ejecución durante el primer trimestre del 2014, que fueron informados por la Unidad de Informática, se detectó lo siguiente: a) Las siguientes Órdenes de Trabajo correspondientes a Proyectos que se encuentran en ejecución durante el año 2014, se encuentran presupuestariamente comprometidas, sin embargo no han sido devengadas contablemente a la fecha de la presente revisión: Proyecto Proveedor OC Fecha Franquicia Tributaria Aprendices 2014 Registro OTEC NECTIA KIBERNU M Otros Antecedentes Res.7889 del CM /10/ Res.Ex 9540 CM del 29/11/ Res.Ex 9207 EMERGYA CM del 15/11/13 ORDEN DE COMPRA UF Sg OC HH Sg OC UF Sg Res HH Sg Res CONTABILIDAD Monto Comprometido Monto Devengado Diferencia por Cubrir Presupuesto Cartera de compromisos , , Cartera de compromisos , , Cartera de compromisos , , SUBTOTALES 2.051, , , , b) De la revisión efectuada a los compromisos de los recursos registrados en Sistema Sigfe para el año 2013, se detectaron diferencias entre los montos de la Orden de Compra y lo comprometido, incumpliendo lo señalado por la Contraloría General de la Republica al respecto:

13 Página 13 de 33 ORDEN DE COMPRA REGISTRO SIGFE Monto Comprometido $ Monto Devengado $ PROVEEDOR N Fecha Oc Total UF Monto $ EMERGYA CM , ANTICIPA CM , De acuerdo a las instrucciones de la Contraloría General de la Republica, señala que las órdenes de compra y/o Res. Ex. constituirán documentos que sustentan la ejecución presupuestaria en su etapa de compromiso. Lo que no se cumple según lo registrado en cuadro anterior. De acuerdo al Encargado de la Unidad de contabilidad y el Encargado de la Unidad de Presupuesto, no se compromete el 100% de la Orden de Compra, pues, el servicio se ejecutaría entre los años 2013 y 2014, por lo tanto se realiza una estimación del grado de avance del trabajo que será ejecutado dentro del año, y solo esa parte se compromete. Lo anterior a juicio del encargado permite no comprometer recursos por sobre lo que se va alcanzar a ejecutar en forma efectiva dentro del año pudiendo de esta forma liberar recursos para financiar otros proyectos. Lo señalado anteriormente obedece al criterio personal del encargado, por lo que deja en evidencia la necesidad de implementar un procedimiento formal, definido que permita uniformar el criterio a utilizar cada vez que se deba realizar un compromiso. c) De nuestra revisión, a la Orden CM13 correspondiente al proveedor Anticipa, se detectaron las siguientes observaciones: La cantidad de HH, el precio unitario y por ende el valor total de la Orden de Compra, no coincide con lo registrado en el acuerdo complementario, ni en la Res. Ex 4252 del que aprueba acuerdo complementario. Del recalculo realizado a la columna Costo Total ($) del Acuerdo Complementario que totaliza $ , se observó una diferencia de $ en el total, lo que correspondía a una diferencia existente en el código Software de arquitectura del sistema y análisis (Dice $ , debe decir $ ). El Acuerdo Complementario, no incorpora el código Programas de Gestión de configuración, por un costo total de 1.116,00 UF que se encuentra registrado en la Orden de Compra. La Orden de Compra, no considera el código Diseño de proyecto, diseñador gráfico senior, C/cesión de Derecho H/Hábil correspondiente a 270 HH por un valor total de 86,4 UF, $ registrada en el Acuerdo Complementario.

14 Página 14 de 33 La Res. Exenta Nº3277 del 02 de Mayo del 2013, que autoriza la adquisición a través de Convenio Marco, ID I00-LP09, procedimiento Grandes Compras por los Servicios de Desarrollo Plataforma Programas de Capacitación, señala entre las ofertas, la de Intellego Chile Asesorías y Consultoría Limitada, Rut el cual no se encuentra registrado en el listado de proveedores que están suscritos en el Convenio Marco. Inconsistencia entre los valores de UF considerados para realizar el cálculo, en el Acuerdo Complementario y la Orden de compra emitida.(se utilizó $22.780,87 para el acuerdo complementario y $22.860,06 para la Orden de compra de acuerdo a la fecha de emisión de la misma, en circunstancias que deberían ser iguales) (Detalle de las diferencias en Anexo 7) d) Inconsistencia entre el valor de UF utilizado para la valorización de la orden de Compra y el Compromiso, en circunstancias que deberían ser iguales. De acuerdo a instrucción impartida por la Contraloría General de la Republica, las órdenes de compra y/o Res. Ex. Constituyen el documento que sustenta la ejecución presupuestaria en su etapa de compromiso, por lo tanto debería ser coincidente con el valor de la Orden de Compra. En el cuadro siguiente se detallan las diferencias detectadas: ORDEN DE COMPRA ORDEN DE COMPRA VALOR UF SG FECHA SII REGISTRO COMPROMISO FECHA UF SG VALOR UF SII PROVEEDOR KIBERNUM CM , , KIBERNUM CM , , NEA CONSULTORES CM , , EMERGYA CM , , GESFOR CHILE SA CM , , ASES. ALBERTO SALINAS CM , , ANTICIPA CM , ,87 NO EXISTE Si bien en estos casos las diferencias son inmateriales, lo relevante es que no existe un procedimiento definido respecto del tipo de cambio que se debe utilizar para el registro de los compromisos. e) Dentro de nuestra revisión a las Órdenes de compra correspondiente a proyectos informáticos, se detectó que la OC CM13 correspondiente a la empresa ASESORIAS INFO2000 LIMITADA, la cual presenta un Informe de HH Ejecutadas, (06 de diciembre del 2013), que es emitido por la Empresa Intellego. Lo expuesto anteriormente hace presumir la existencia de Sub contratación, lo que no está permitido en este Convenio Marco.

15 Página 15 de 33 f) Se detectaron 3 Solicitudes de Adquisición Originales (Hoja de Ruta), cuyos valores no coinciden con la Res. Ex. que aprueba la compra. Los valores en las solicitudes originales fueron modificados manualmente para que coincidieran con la Res.: PROVEEDOR KIBERNUM ORDEN DE COMPRA Nº HOJA DE RUTA MONTO REQUERIDO ORIGINAL MONTO APROBADO N RES. QUE APRUEBA OBSERVACION CM ,00 UF 592,5 Nº11636 del 28/12/2012 En forma manual se registraron 592,5UF CM ,00 UF 1046,75 Nº11637 del 28/12/2012 En forma manual se registraron 1.046,75UF CM ,00 UF 1046,75 Nº11635 del 28/12/2012 En forma manual se registraron 1.046,75UF g) Incumplimiento de formalidades en la documentación de pago revisada. Se detectó lo siguiente: - Diferencias en el registro de valores entre documentación exigida para el pago de los servicios. (Anexo 6a). - Falta de Documentación exigida para el pago de los servicios (Anexo 6b). - Documentación sin la totalidad de los datos o con datos erróneos (Anexo 6c). Lo anterior implica el Incumplimiento de lo establecido en el Manual de Procedimiento de Adquisiciones en su punto 6.7 Gestión de Pago a Proveedores, que define entre sus puntos de recepción conforme registrar el Periodo de Pago y la descripción de los bienes o servicios requeridos.(ver Anexo 6) Efectos Potenciales de los Resultados y/o Hallazgos de Auditoría. - Detrimento al patrimonio - Falta a la Ley de probidad administrativa - Falta de presupuesto para la ejecución Eventuales sanciones por parte de Contraloría General de la Republica - Incumplimiento de lo establecido en convenio Marco. - Distorsión en el registro de compromisos en términos contables, por efecto del tipo de cambio utilizado. - Incumplimiento de compromisos adquiridos con proveedores - Deterioro imagen Servicio Recomendaciones de Auditoría Se recomienda al Jefe de Administración y Finanzas instruir a los funcionarios que respalden cada una de las compras realizadas, además de implementar controles respecto a: - Controlar el cumplimiento de los procedimientos de pago. - No permitir modificaciones manuales a documentación de respaldo. El documento deberá ser reemitido en forma correcta o no se aceptara. - Elaborar procedimientos que establezcan criterios de valorización uniforme, para el registro de compromisos - Diseñar un documento de Evaluación de Servicio recepcionado, que permita controlar los servicios efectivamente recibidos.

16 Página 16 de 33 - Regularizar las observaciones informadas. III. ACCIONES TOMADAS PREVIAS AL INFORME No se desarrollaron acciones previas al Informe. IV. RETROALIMENTACIÓN Y ASEGURAMIENTO AL PROCESO DE GESTIÓN DE RIESGOS No se detectaron riesgos no incluidos en la matriz. V. CONCLUSIONES Como resultado de los diferentes procedimientos de auditoría aplicados, dentro del límite del alcance de nuestro trabajo, nos permitió obtener como conclusión general que el Sistema de Control interno de la Unidad de Informática requiere Mejoras profundas e inmediatas, que incorporen emisión de Instrucciones, Manuales de Procedimientos aprobados por medio de Resoluciones, exigiendo el cumplimiento de obligaciones en forma ESTRICTA Y OPORTUNA, para mitigar la exposición a los riesgos. Debido a la situación de la Unida de Informática, el señor Director Nacional, mediante Resolución Nº 2420, del 05 de mayo de 2014, ordenó instruir un sumario administrativo para determinar responsabilidades administrativas. Deseamos manifestar nuestros agradecimientos por la colaboración recibida durante el desarrollo de nuestro trabajo, por parte del Encargado de Soporte e Infraestructura, Encargada de Administración, de Presupuesto y de contabilidad. VI. PLAZO DE ENTREGA A continuación se detallan los Departamentos y/o Unidades responsables de entregar los compromisos, plazos y encargados de implementación, para cada una de las observaciones:

17 Página 17 de 33 N Observacion Departamentos y/o Unidades Responsables Falta de actualización y mantención en los datos registrados en Libreta Global de Direcciones de Outlook y en los distintos Sistemas informáticos internos Unidad de 1 desarrollados, del Servicio. Informatica Falta de control y uniformidad en los tiempos de respuestas y/o ejecución de 2 los requerimientos generados por SAU, Sistema de Atención de Usuarios. Unidad de Informatica No existe uniformidad respecto del paso por ambiente QA o de prueba, para la Unidad de 3 totalidad de los desarrollos que serán ejecutados en ambiente de producción. Informatica Falta de uniformidad, control y formalidad en la Ejecución de Proyectos Unidad de 4 Informáticos. Informatica 5 Falta de Control sobre inventario de equipos computacionales. Unidad de Informatica Jefe de Administracion y Finanzas Problemas de infraestructura que arriesgan el debido funcionamiento de 6 equipos de Data Center, y exponen los shaft de conexión. Unidad de Informatica Inexistencia de procedimientos para el respaldo de información de equipos a 7 Nivel Nacional. Unidad de Informatica 8 Irregularidades en la documentación de las compras realizadas para le ejecución de proyectos. Unidad de Informatica Jefe de Administracion y Finanzas El plazo de entrega de lo solicitado en el párrafo anterior, a la, será de 8 días hábiles contados desde el día de recepción del Informe. Auditor que elaboró: Auditor que revisó: Auditor que aprobó: Elsa Ruiz Meneses Laura Ubillús Reyes Laura Ubillús Reyes Firma: Firma: Firma:

18 Página 18 de 33 VII. ANEXOS Anexo N 1 SAU no asignado provenientes del año 2013 Numero_ ticket_fecha_apertura sau Asunto Contenido Favor se solicita batch de comunicacion accion :30 PM Batch accion Estimados: junto con saludarles, les escribo dado que tengo dos empresas de FPT que no aparecen en el sistema de pagos, pero si aparecen registradas para poder visualizar su adjudicación o su estado.las empresas son:- Francisco Javier Molina Acosta, Rut: Sociedad Delffincap Capacitación ltda, :29 AM Rut: saludos cordiales no aparece la opcion de pago de dos empresas FPT De acuerdo a Postulación en el sistema por parte de la empresa, se solicita modificar los siguientes datos:en Resolución N 1378 del 18 de Diciembre del 2013:1.- Donde Dice Hernan Alfredo Guerrero Velasquez, Rut: , Debe Decir Michael Jordan Rojas Rojas, Rut: , Inicio Contrato 01/12/2013, termino Contrato 31/03/2014, Sueldo $ mensuales.2.- Bonificación por la trabajadora Srta. Carmen Luisa Gomez Carvajal, la resolución señala 1 mes, siendo esta 4 meses por cuanto el contrato señala inicio de contrato Cambio de Datos en :41 AM 01/12/2013 y termino de contrato 31/03/ Resolución N errores en el sistenma de suplicado de informacio con personas que postulan mas de una vez al subsidio, empresas que fueron validadas y desaparece la accion del programa para otorgar el concede, los montos del concede con errores. en base a estos errores la validacion en los 10 dias se esta otorgando muy :11 PM complicado. subsidio agricola

19 Página 19 de 33 Anexo N 2 Saltos de correlatividad en SAU Nº Correlativo SAU Desde Hasta Salto Correlativo

20 Página 20 de 33 Anexo N 3 Proyectos no validados en ambiente QA Nombre de Proyecto Proyecto Fomil - Pagos de Fomil Diciembre Proyecto BFT Contingencia Proyecto BFT Bono de Certificacion Competencias Laborales Fecha de Acta de Aseguramiento de Calidad (QA) Firmas de Aceptacion Encargado de Proyecto Claudio Blamey Firma ok Felipe Jammet No firma Hugo Diaz Encargado de Unidad de Informatica Nivel Central Firma Ok Sponsor de Proyecto Catalina Llermaly Firma ok Cristian Cancino Rios PP Firma Rodrigo Sobarzo Detalle de Pruebas Realizadas Riesgos Acuerdo Se efectuaron y aceptaron pruebas de calidad a la version anterior a la actual que se solicita el paso a produccion No se efectuaron pruebas de Carga stress ni seguridad. No hay pruebas de Calidad a la version por pasar a produccion. el riesgo de deteccion de incidentes en produccion. actividades. La declaracion del alcance de las pruebas esta directamente relacionada en proporcion al riesgo asociado a los potenciales incidentes tecnicosm, de negocio, de bases de datos y de concurrencia (cantidad de usuarios utilizando el En conformidad a la solicitud planteada por el Sponsor y sistema al mismo tiempo). Por lo tanto mayor es la Jefe de Proyecto respecto del alcance de las pruebas de QA Version Actual solo implementa pruebas UAT planificacion y alcance solicitado para las pruebas menor es ejecutadas para el proyecto, se da el OK para el paso a conusuario el riesgo de deteccion de incidentes en produccion. No se efectuaron pruebas de performance ni seguridad. Ha sido solicitado que las pruebas de QA Funcionales, Bases de Datos, de Stress y de Carga se realicen una vez que el ambiente de QA este disponible y que el paso a produccion se ejecute de forma inmediata. QA presento al Jefe de Proyecto la necesidad del proceso de certificacion de pruebas integrales, el cual ha sido descartado para esta etapa, sin embargo, la ejecucion de las pruebas por parte de QA sera realizado toda vez que el ambiente de QA este disponible para certificar, es decir, a partir del 27 de marzo del 2014 podran ser iniciadas las pruebas. La declaracion del alcance de las pruebas esta directamente relacionada en proporcion al riesgo asociado a los potenciales incidentes tecnicosm, de negocio, de bases de datos y de concurrencia (cantidad de usuarios utilizando el sistema al mismo tiempo). Por lo tanto mayor es la planificacion y alcance solicitado para las pruebas menor es En relacion a los riesgos se declara que en ciclo QA anterior, se detectaron 9 incidentes, 7 de grado Medio, 2 leves, los cuales aun no han sido verificados en una certificacion funcional de QA Sence. La version que requiere ser instalada en produccion solo presenta cambios de correcciones a incidencias reportadas por los usuarios, por lo tanto, el riesgo y el alcance asociado a los potenciales incidentes tecnicos, de negocio, de bases de datos y de concurrencia que puedan ocurrir en produccion (cantidad de usuarios utilizando el sistema en el mismo tiempo), deben ser mitigadas con la asistencia oportuna a los usuarios y el constante monitoreo que se realizara a la aplicacion por parte del desarrollo directamente en produccion, y en forma paralela ejecutar la certificacion en ambiente QA en la fecha definida En conformidad a la solicitud planteada por el Sponsor y Jefe de Proyecto respecto del alcance de las pruebas de QA ejecutadas para el proyecto, se han efectuado ruebas de aceptacion usuaria, y no por el area de aseguramiento de calidad asumiendo y en conocimiento del alcance de pruebas, los riesgos asociados al cumplimiento de estas produccion con la condicion que se efectue paralelamente el ciclo de QA Funcional respectivo a esta ultima version. En conformidad a la solicitud planteada por el Sponsor y Jefe de Proyecto respecto del alcance de las pruebas de QA ejecutadas para el proyecto, se establece que se asumen los riesgos asociados a la ejecucion del paso a produccion sin previa certificacion de QA, no obstante lo anterior, se establece que la ejecucion de pruebas sera realizado a partir del 27 de marzo del Anexo N 4a Ejemplos diferencia de Inventario de Equipos Computacionales Contabilidad e Informática CODIGO DE INVENTARIO DESCRIPCION EQUIPO SG CONTABILID AD SG INFORMATICA Región Equipo Marca Modelo Serie Observacion N/A COYHAIQUE NOTEBOOK HP HP CNU9193ZHT N/A NIVEL CENTRAL NOTEBOOK LENOVO X220 R9MBMCB N/A COYHAIQUE PC OLIDATA Olidata N/A NIVEL CENTRAL PC OLIDATA 945GZM-S N/A COMPUTADOR APLE IMAC N OP7211RLVUV N/A COMPUTADOR LENOVO ALL IN ONE S1FZE97 N/A COMPUTADOR LENOVO ALL IN ONE S1FZD90 N/A COMPUTADOR LENOVO ALL IN ONE N MINISTERIO PC HP cd5800 MXJ8420DQB VALDIVIA PC ARTEC H61H2-M COYHAIQUE PC OLIDATA Olidata N/A CPU ARTEC SERIE N N/A CPU ARTEC SERIE N N/A CPU ARTEC SERIE N N/A CPU ARTEC SERIE N N/A CPU ARTEC SERIE N LA SERIE SE ENCUENTRA CONTABILIZADA DOS VECES LA SERIE SE ENCUENTRA CONTABILIZADA DOS VECES Equipos que se encuentran registrados en informática y no en contabilidad Equipos que se encuentran registrados en contabilidad y no en informática Equipos que cuentan con Código de Inventario distinto en informática y contabilidad Códigos de Inventario creados en Contabilidad, sin información como por ejemplo Número de Serie Equipos que se encuentran contabilizados dos veces de acuerdo a datos de número de serie