informe final 199-10 subsecretaría de desarrollo regional y

Anuncio
CONTRALORÍA GENERAL DE LA REPÚBLICA
División Auditoría Administrativa
Área Administración General y Defensa Nacional
Informe Final
Subsecretaría de Desarrollo
Regional y Administrativo.
Fecha: 28 de diciembre de 2010.
Informe N°: 199/10
CONTRALORÍA GENERAL DE LA REPÚBLICA
DIVISIÓN AUDITORÍA ADMINISTRATIVA
ÁREA ADMINISTRACIÓN GENERAL Y DEFENSA NACIONAL
26-111-1.921
CHILE.
DAA. N° 1.858/2010
Remite Informe Final N° 199 de 2010, sobre
Auditoría de Sistemas en la Subsecretaría de
Desarrollo Regional y Administrativo.
2 8. Dic o
SANTIAGO,
*078705
Cumplo con enviar a Ud. para su
conocimiento y fines pertinentes, copia del Informe Final N° 199 de 2010, con el
resultado de la auditoría de sistemas practicada por un funcionario de esta División,
en la Subsecretaría de Desarrollo Regional y Administrativo.
Sobre el particular, corresponde que ese
Servicio implemente las medidas señaladas, cuya efectividad, conforme a las políticas
de esta Contraloría General sobre seguimiento de los programas de fiscalización, se
comprobarán en una próxima visita a la entidad.
Saluda atentamente a Ud.,
POR ORDEN DEL CONTRALOR GENERAL
icia Arriagada Villou a
JEF
ABO
AL SEÑOR
SUBSECRETARIO DE DESARROLLO
REGIONAL Y ADMINISTRATIVO
PRESENTE
Ref.: 217.477/2010
IVISIÓN
ITORI
TIVA
CONTRALORÍA GENERAL DE LA REPÚBLICA
DIVISIÓN AUDITORIA ADMINISTRATIVA
ÁREA ADMINISTRACIÓN GENERAL Y DEFENSA NACIONAL
26 I:[
DAA. N° 1.860/2010
Remite Informe Final N° 199 de 2010, sobre
Auditoría de Sistemas en la Subsecretaría de
Desarrollo Regional y Administrativo.
SANTIAGO,
28.D1C1 O*0 >I8701
Cumplo con enviar a Ud. para su
conocimiento, copia del Informe Final N° 199 de 2010, con el resultado de la auditoría
de sistemas practicada por un funcionario de esta División, en la Subsecretaría de
Desarrollo Regional y Administrativo.
Saluda atentamente a Ud.,
HAINIIIP4r.; !VII!
CONTRALOR GEN
AL SEÑOR
MINISTRO DEL INTERIOR
PRESENTE
Ref 217.477/2010
1902 ZUÑIGA
L E LA REPÚBLICA
CONTRALORÍA GENERAL DE LA REPÚBLICA
DIVISIÓN AUDITORÍA ADMINISTRATIVA
ÁREA ADMINISTRACIÓN GENERAL Y DEFENSA NACIONAL
26 1:1 1927
CHILE
DAA. N° 1.859/2010
Remite Informe Final N° 199 de 2010, sobre
Auditoría de Sistemas en la Subsecretaría de
Desarrollo Regional y Administrativo.
SANTIAGO,
28.0IC
10*078706
Cumplo con enviar a Ud. para su
conocimiento, copia del Informe Final N° 199 de 2010, con el resultado de la auditoría
de sistemas practicada por un funcionario de esta División, en la Subsecretaría de
Desarrollo Regional y Administrativo.
Saluda atentamente a Ud.,
R ORDEN DEL CONTRALOR GENERAL
cia Arriagada Villout
DIVISI
AL SEÑOR
JEFE UNIDAD AUDITORÍA INTERNA
SUBSECRETARÍA DE DESARROLLO
REGIONAL Y ADMINISTRATIVO
PRESENTE
Ref.: 217.477/2010
Wvv-
i\11
ryy,C,E9
OGADO FE
NISTRATIVA
IA
CONTRALORÍA GENERAL DE LA REPÚBLICA
DIVISIÓN DE AUDITORIA ADMINISTRATIVA
ÁREA ADMINISTRACIÓN GENERAL Y DEFENSA NACIONAL
PMET 13 165
INFORME FINAL N°199 DE 2010, SOBRE
AUDITORÍA DE SISTEMAS EN LA
SUBSECRETARÍA DE DESARROLLO
REGIONAL Y ADMINISTRATIVO.
SANTIAGO,
2 8 DIC. 2010
En cumplimiento del plan de fiscalización de
esta Contraloría General para el año 2010, se efectuó una auditoría de sistemas en la
Subsecretaría de Desarrollo Regional y Administrativo, SUBDERE, con el objetivo de
revisar, entre otros aspectos, la seguridad informática.
Objetivo
La auditoría tuvo por finalidad revisar y
evaluar aspectos que se relacionan con las políticas, normas, prácticas y
procedimientos de control vinculados con los Sistemas de Tecnologías de la
Información y las Comunicaciones, TIC.
Metodología
La revisión se efectuó en conformidad con las
principales normas y procedimientos aceptados por esta Entidad Fiscalizadora,
incluyendo pruebas de validación y otros medios técnicos considerados necesarios en
las circunstancias.
Universo y muestra
El examen comprendió la revisión de
normativas de las TIC, de conformidad con lo dispuesto en los decretos supremos del
Ministerio Secretaría General de la Presidencia, MINSEGPRES:
•
N° 77 de 2004: Norma técnica sobre eficiencia de las comunicaciones electrónicas
entre órganos de la Administración del Estado y entre éstos y los ciudadanos.
•
N° 81 de 2004: Norma técnica para los órganos de la Administración del Estado
sobre interoperabilidad del documento electrónico.
A LA SEÑORITA
JEFA DE LA DIVISIÓN DE AUDITORÍA ADMINISTRATIVA
PRESENTE
/‘ ►
JON D._
',PUPA
UNISTRATIVA
CONTRALORÍA GENERAL DE LA REPÚBLICA
DIVISIÓN DE AUDITORIA ADMINISTRATIVA
ÁREA ADMINISTRACIÓN GENERAL Y DEFENSA NACIONAL
•
N° 83 de 2004: Norma técnica para los órganos de la Administración del Estado
sobre seguridad y confidencialidad del documento electrónico.
•
N° 93 de 2006: Norma técnica para minimizar la recepción de mensajes
electrónicos masivos no deseados en las casillas electrónicas de los Órganos de la
Administración del Estado y de sus funcionarios.
•
N° 100 de 2006: Norma técnica para el desarrollo de sitios web de los Órganos de
la Administración del Estado.
Asimismo, la auditoría incluyó la revisión de
controles generales y específicos implementados para los siguientes sistemas:
•
•
•
Sistema del Programa de Mejoramiento Urbano y Equipamiento Comunal - PMU.
Sistema Documental.
Sistema Administrativo de Gestión y Control de Presupuestos, Methasys.
Resultado del examen
Mediante oficio N° 65.611, del 4 de noviembre
de 2010, esta Contraloría General remitió a la Subsecretaría de Desarrollo Regional y
Administrativo el Preinforme de Observaciones N° 199, de 2010, con el objeto que
informar respecto de las situaciones observadas, quien dio respuesta a través del
oficio ordinario N° 3.833, de 2010, cuyo análisis y antecedentes aportados sirvieron de
base para la elaboración del presente Informe Final.
DEPARTAMENTO DE INFORMÁTICA.
El Departamento de Informática, DI, de la
SUBDERE, depende de la División de Administración y Finanzas, de la cual además,
dependen los Departamentos de Recursos Humanos, de Planificación y Control de
Gestión, y de Administración y Finanzas.
El DI centra su trabajo en las labores que a
continuación se señalan:
•
•
•
•
•
•
•
Redes, seguridad de las comunicaciones y servicios anexos.
Soporte a usuarios (Hardware, software, servicio técnico y telefonía).
Comunicaciones o Interconectividad (correo electrónico, internet, telefonía).
Desarrollo de sistemas o aplicaciones (considera las mantenciones y nuevos
desarrollos).
Proyectos y evaluaciones.
Telefonía tradicional y servicios de datos y comunicaciones GPRS.
Programa de Mejoramiento de la Gestión, PMG, de Gobierno electrónico.
Estas áreas son cubiertas por cuatro
profesionales más la jefatura, quienes realizan en forma habitual las labores antes
señaladas. El negocio del Departamento de Informática está orientado básicamente
hacia la informática interna, considerando como los clientes, a los usuarios que
utilizan los diversos servicios que el Departamento of ntiene. Ver detalle en
Anexo N° 1.
2
CONTRALORÍA GENERAL DE LA REPÚBLICA
DIVISIÓN DE AUDITORIA ADMINISTRATIVA
ÁREA ADMINISTRACIÓN GENERAL Y DEFENSA NACIONAL
En la actualidad existen 293 usuarios
informáticos en el edificio de Morandé, pisos 7, 10, 11 y 12. Además de efectuar el
soporte para el Gabinete, se agregaron 12 redes nacionales (desde la primera a la
décima región, esto implica soporte de las redes, acceso a la intranet SUBDERE,
creación y mantención de usuarios, junto con dar los servicios de internet y correo
electrónico), soporte telefónico y remoto a 95 funcionarios de las Unidades Regionales
SUBDERE, URS, señaladas.
No obstante lo anterior, en lo que dice
relación a la política de delegación de responsabilidades, cabe señalar que dentro de
las políticas de seguridad, no existe un tópico que indique dicha acción, como
tampoco, un procedimiento para ejecutar acciones de emergencia en los sistemas y
los procedimientos correspondientes, de acuerdo a lo indicado por el decreto supremo
N° 83 de 2004, del MINSEGPRES, en su artículo 37.
1. Procedimiento de respaldo.
En lo referente a los procedimientos de
respaldos, se puede señalar que no se efectúan en forma automática, tampoco se
utiliza algún tipo de software especializado, ni se tiene una periodicidad predefinida
para cada uno de los respaldos que deben realizarse. Es así que, éstos son
efectuados por una sola persona, la cual se encarga de llevar el control de la
periodicidad de acuerdo a lo que corresponda para cada caso. No obstante, los
respaldos están sujetos a la disponibilidad del funcionario y no existe un subrogante
oficial para cumplir dicha función.
Los respaldos se encuentran ubicados en
dependencias externas a la salas de servidores, sobre las cuales se pudo observar las
siguientes deficiencias:
a. El acceso físico al edificio y a las oficinas no cumple con las condiciones mínimas
de seguridad requeridas para este tipo de dependencias, como cámaras de
vigilancia y guardias, entre otros factores.
b. La base de la cajonera donde se encuentran los respaldos (DVD-disco externo) no
tiene fondo, ello, sumado a que no es de grandes dimensiones, permite girarla y
sacar los respaldos sin necesidad de abrirla. Asimismo, es posible que ésta sea
fácilmente transportable, de manera que es factible extraer el mueble completo.
Cabe señalar, que en la visita a terreno se
constató la pérdida de respaldos, etiquetados como "caja Respaldo CD-DVD oficina
de partes 2008" (en total 9 discos), situación que, de acuerdo a lo señalado por
personal del Servicio, se pudo haber producido al momento del traslado de los
respaldos a las dependencias actuales, debido al daño recibido por las anteriores por
el terremoto de febrero de 2010. Lo anterior, permite corroborar las deficientes
medidas de seguridad implementadas para el almacenamiento de los respaldos.
En su respuesta la SUBDERE reconoce que
no cuenta con un equipamiento y software que permita realizar respaldos automáticos.
Sin embargo, agrega que se implementó un procedimiento de respaldo manual, el
cual, en síntesis, consiste en que cada encargado de sistemas entrega al funcionario
información necesaria, para
don Ricardo Sepúlveda, mensual o trimestral
reconoce además, que si
que éste haga las acciones correspondiente
3
DIV1SION DE
AUDITOR1A
AD 1NISTRAT
CONTRALORÍA GENERAL DE LA REPÚBLICA
DIVISIÓN DE AUDITORIA ADMINISTRATIVA
ÁREA ADMINISTRACIÓN GENERAL Y DEFENSA NACIONAL
bien es efectivo que a la fecha no existe formalmente designado un funcionario
subrogante, se procederá al nombramiento oficial del funcionario titular responsable,
como asimismo, del funcionario que lo subroga.
Por otro lado, complementa lo indicado por
esta Entidad de Control con motivo de la visita a terreno realizada, señalando que en
dicha ocasión, la Unidad Regional Metropolitana se encontraba ubicada en
dependencias que fueron arrendadas con posterioridad al terremoto acaecido el 27 de
febrero de 2010, cuyo contrato tuvo vigencia hasta el mes de septiembre del año
2010. Añade, que actualmente estas oficinas se encuentran situadas en forma estable
en dependencias del Edificio del Ministerio de Relaciones Exteriores, ubicado en calle
Bandera 46, piso 5.
Confirma además, que en el momento que
funcionarios de la Contraloría realizaron la visita a la Unidad Regional Metropolitana,
ésta no contaba con las normas mínimas de seguridad respecto del acceso. No
obstante, las nuevas dependencias ofrecen las condiciones de seguridad necesarias.
En relación con la cajonera, en la cual se guardaban los CD de respaldos, además de
las medidas de seguridad necesarias, ésta se encuentra fijada a la pared.
Respecto a la pérdida de los DVD con la
información de los usuarios, el Servicio señala que el profesional a cargo de esta
actividad mantiene copia de la información en otro tipo de medio magnético: disco
duro externo de almacenamiento masivo en dependencias de la Subsecretaría y que
además, cuenta con copia en disco duro externo de 1TB(Terabyte), ubicado en las
dependencias de la Unidad Regional Metropolitana. Por lo tanto, la pérdida de estos
DVD, no implica pérdida de la información, ya que se encuentra con respaldos que la
hacen totalmente recuperable. Sin embargo, añade, que a fin de subsanar las
observaciones formuladas por el Órgano de Control, a partir de enero del año 2011,
esta Subsecretaría utilizará parte de la infraestructura del Ministerio del Interior,
quienes a contar de la fecha señalada facilitarán lo necesario para realizar el respaldo
de la información en forma programada y automatizada, con mayores niveles de
control de cambio. Se considera respaldar: sistemas y sus bases de datos, correo
electrónico e información institucional de todos los funcionarios de SUBDERE.
Agrega, que a la fecha de la fiscalización, el
Departamento de Informática se encontraba en pleno desarrollo del proyecto "Cambio
de Plataforma SUBDERE", el cual finalizó el mes de junio de 2010. El proyecto
consistió en el cambio de 17 servidores físicos hacia servidores virtuales con un
sistema de réplica a nivel de storage (unidad de almacenamiento masivo) y servidor
de contingencia, donde se identificaron los servicios críticos para lograr el
funcionamiento en caso de desastre o catástrofe que impida operar el data center.
Las medidas tomadas por el Servicio se
consideran adecuadas, sin perjuicio de la validación del cumplimiento de algunas de
éstas en la correspondiente visita de seguimiento.
2. Plan de Contingencia
En relación con esta materia, se puede
señalar que hasta la fecha de finalización de la auditoría, el Servicio no contaba con
un documento sobre un plan de contingencia oficial, no obstante, de acuerdo a lo
ZAGq
4
DiViSION DE
frO
AD hl° . <ATIVA
-9
CONTRALORÍA GENERAL DE LA REPÚBLICA
DIVISIÓN DE AUDITORIA ADMINISTRATIVA
ÁREA ADMINISTRACIÓN GENERAL Y DEFENSA NACIONAL
señalado por éste, en el marco del desarrollo del proyecto cambio de plataforma
SUBDERE, se tiene considerado dicho plan.
Al respecto, el Servicio señala que en el mes
de junio de 2010 finalizó el proyecto "Cambio de Plataforma SUBDERE", del cual se
deriva la implementación de un plan de contingencia, que se oficializará mediante el
respectivo acto administrativo, el que, entre otras materias, considera la duplicidad de
los servidores críticos. En el mes de marzo de 2011, el Departamento de Informática
desarrollará la política de un plan de continuidad operacional de los servicios críticos.
La aplicación del señalado plan de
continuidad operacional será verificada en la próxima visita a la Entidad.
3. Control interno
Se estableció que en la actualidad no se
cuenta con personal idóneo para la revisión de los temas relacionados con las
Tecnologías de la Información, como tampoco existe una periodicidad en la ejecución
de este tipo de exámenes.
En su respuesta, la SUBDERE señala que en
la actualidad se encuentra en proceso de formalización, la formación de un Comité
Informático, de carácter inter-divisional, el cual tendrá incidencia y opinión respecto a
todas las iniciativas TIC que pudieran levantar unidades o departamentos de la
Institución. Asimismo, permitirá establecer mejoras en los planes y nuevos proyectos
en el ámbito de las TIC y desarrollará las bases para mejorar las actuales políticas
informáticas en los ámbitos de desarrollo y seguridad informática.
Las medidas señaladas por el Servicio, serán
materia de revisión por parte de esta Entidad de Control, en una próxima visita.
4. Otras
Si bien es cierto que se informa a los usuarios
los aspectos informáticos necesarios a través de correo electrónico masivo, y
mensajes Pop-UP enviados directamente a los propios equipos, no existe un registro
histórico de mensajes y/o instrucciones referentes al manejo, uso y cuidados que
deben tener los funcionarios al momento de usar TIC, al cual se pueda acceder en
caso de tener alguna consulta.
Por otro lado, se estableció que no existe,
necesariamente, una dependencia del Departamento de Informática respecto de los
sistemas existentes al interior del Servicio, es decir, una unidad podría implementar un
sistema informático en el cual, dicho Departamento, no haya participado ni siquiera
como contraparte técnica.
Sobre el particular, el Servicio responde que,
cabe consignar que las normas sobre esta materia se encuentran en el documento
oficial "Políticas de Uso de los Recursos Informáticos y de la Infraestructura de Red en
SUBDERE y Regiones", no obstante, corresponderá al Comité Informático adoptar
nuevas medidas para normar el buen uso de los recursos inf•áticos por parte de los
funcionarios.
5
CONTRALORÍA GENERAL DE LA REPÚBLICA
DIVISIÓN DE AUDITORIA ADMINISTRATIVA
ÁREA ADMINISTRACIÓN GENERAL Y DEFENSA NACIONAL
Se mantiene la observación, en tanto el
comité Informático no adopte las medidas correspondientes.
II.
PROGRAMA DE MEJORAMIENTO URBANO Y EQUIPAMIENTO COMUNAL —
PMU
1. Descripción general del sistema
El PMU es una fuente de financiamiento del
Ministerio del Interior, administrado por la SUBDERE, que es utilizado para programas
y proyectos de inversión en infraestructura menor urbana y equipamiento comunal,
adicionalmente, busca colaborar en la generación de empleo y en el mejoramiento de
la calidad de vida de la población más pobre del país. Su dependencia es de la
División Municipalidades de la SUBDERE.
2. Control de acceso
Respecto al control de acceso de este
sistema, en lo que atañe al decreto supremo N° 83 de 2004, del MINSEGPRES, en
sus artículos 37g y 37 f, se puede señalar lo siguiente:
a. No se encuentran documentadas las políticas de control de acceso al sistema.
b. No existe un procedimiento formal para eliminar usuarios, no obstante, cuando el
administrador se entera que un funcionario no utilizará el sistema (por cambio de
funciones o desvinculación de la institución), es deshabilitado. Por otro lado, se
presenta la situación de que existen usuarios fuera de la institución, como
municipios y gobiernos regionales, para los cuales el seguimiento de los usuarios
activos es compleja, presentando un riesgo para la seguridad de la información.
c. No se encontró registro de la existencia de una verificación y/o remoción periódica
de las cuentas redundantes.
d. La Dirección no cuenta con un proceso formal y frecuente de revisión de permisos
de acceso de los usuarios, el cual, de acuerdo a lo señalado por el mencionado
decreto, debiera de tener una frecuencia de revisión de 6 meses para usuarios
normales y 3 meses para los con permiso de administrar y/o eliminar.
e. Pese a existir una revisión de los registros de errores importantes en el sistema,
éste no se encuentra documentado ni existe una periodicidad predeterminada.
Ahora bien, en lo que dice relación con el
artículo 28, las deficiencias son:
f.
Cuando se crea un usuario, éste no es obligado en el primer ingreso al sistema a
cambiar inmediatamente su contraseña temporal inicialmente otorgada.
g. Del mismo modo, no se encuentra habilitado el cambio de contraseñas a intervalos
regulares. Tampoco el registro histórico de contraseñas, para evitar la reutilización
de contraseñas antiguas.
6
CONTRALORÍA GENERAL DE LA REPÚBLICA
DIVISIÓN DE AUDITORIA ADMINISTRATIVA
ÁREA ADMINISTRACIÓN GENERAL Y DEFENSA NACIONAL
En su respuesta el Servicio señala que para
efectos de subsanar lo observado en los puntos a, b y e, se elaborará un manual de
procedimiento durante el primer semestre del año 2011.
En lo que dice relación al punto c, se
establecerá un calendario para la verificación. Agregando, que es necesario precisar
que la remoción de cuentas debe considerar la historia de éstas en el sistema.
Para lo indicado en el punto d, la SUBDERE
señala que se elaborará un manual de procedimiento en marzo de 2011 y establecerá
la periodicidad para la revisión y auditoría de las tablas de acceso, como asimismo
para la revisión de permisos no autorizados. Las fechas de revisión serán
calendarizadas.
Además, manifiesta que las instrucciones
respecto a lo observado en el punto f, forman parte de la política institucional y se
adecuarán técnicamente al Sistema de Autentificación para el primer semestre del año
2011. En cuanto a lo observado en el punto g, se realizarán las acciones pertinentes a
partir de marzo de 2011.
De acuerdo a lo anteriormente expuesto, se
mantienen las observaciones, hasta que el Servicio implemente las medidas
enunciadas.
3. Integridad del sistema
Sobre esta materia, cabe señalar que en el
registro de usuarios vigentes de PMU se encontraron 50 de éstos, con el dígito
verificador del RUT inválido. Dichos antecedentes se listan a continuación.
RUT
3118158
4333287
5282693
5409966
5589926
6045837
6447610
6638538
6735099
6772216
6843649
6853775
7020915
7346861
7486497
7881062
8050568
8074889
8424799
8478288
8918022
DV
según
Sistema
DV según
algoritmo
SRCeI
8
k
8
K
k
6
9
2
8
4
0
0
5
k
4
k
7
0
9
0
4
5
2
4
5
6
5
6
8
5
7
4
4
2
2
K
9
K
2
5
2
8
Nombre
Pf nombre
Luis Ramón Minardi de La Torre
Operador PMU Municipal
Isabel Ivonne Morales Urra
Operador PMU Municipal
Operador PMU Municipal
Héctor Figueroa Ramírez
Miguel Silva Rodríguez
Visador de Proyectos PMU
Sergio Galilea Ocón
Visador de Proyectos PMU
Patricio Negrón Ríos
Visador de Proyectos PMU
Jorge Núñez Rius
Operador PMU Municipal
Nelson Águila Serpa
Operador PMU Municipal
José Enrique Neira Neira
Operador PMU Municipal
Jorge Herrera Valderrama
Operador PMU Municipal
Manuel Jesús Vera Delgado
Operador PMU Municipal
María Angélica Vega Pinto
Operador PMU Municipal
Rudecinda Galáz Ortiz
Operador PMU Municipal
Gloria Aliaga Segura
Operador PMU Municipal
Fernando Callahan Giddings
Operador PMU Municipal
Luisa Cumian Rival
Operador PMU Municipal
Leonardo Cañoles Manríquez
Visador de Proyectos PMU
José Guerrero Venegas
Operador PMU Municipal
Emilio Rafael González Burgos
Operador PMU Municipal
Igor Garafulic Olivares
,-3 ,pádor de Proyectos PMU
Luis Reyes Alvarez
,„-----60jádor PMU Municipal
7
CONTRALORÍA GENERAL DE LA REPÚBLICA
DIVISIÓN DE AUDITORIA ADMINISTRATIVA
ÁREA ADMINISTRACIÓN GENERAL Y DEFENSA NACIONAL
RUT
9069574
9372309
9698188
10599452
10669087
10690177
10740976
11212325
11231218
11233431
11496936
11956048
12183888
12366266
12775165
12787232
12870969
13171055
13292362
13315206
13349717
13398353
13454866
13733369
14051784
14403699
15318699
15331355
16125137
DV
según
Sistema
5
5
8
6
k
2
8
9
k
3
7
3
8
8
0
k
9
4
4
1
6
3
0
k
k
0
0
6
0
DV según
algoritmo
SRCeI
6
0
0
4
1
5
9
3
8
9
2
9
5
0
K
5
K
0
0
7
K
8
5
4
4
9
5
5
2
Pf nombre
Nombre
Operador PMU Municipal
Operador PMU Municipal
Operador PMU Municipal
Operador PMU Municipal
Operador PMU Municipal
Operador PMU Municipal
Operador PMU Municipal
Operador PMU Municipal
Operador PMU Municipal
Operador PMU Municipal
Operador PMU Municipal
Operador PMU Municipal
Operador PMU Municipal
Operador PMU Municipal
Operador PMU Municipal
Operador PMU Municipal
Operador PMU Municipal
Operador PMU Municipal
Operador PMU Municipal
Operador PMU Municipal
Operador PMU Municipal
Operador PMU Municipal
Operador PMU Municipal
Operador PMU Municipal
Operador PMU Municipal
Operador PMU Municipal
Operador PMU Municipal
Operador PMU Municipal
Operador PMU Municipal
Ricardo Donoso Núñez
Yéssica Sprohnle Becerra
Fredy Antonio Barrueto Viveros
Valeria Arancibia Jaque
Luis del Carmen Zasso Paoa
Margarita Jiménez Jiménez
Limbana Améstica Roque
Dimitri Riquelme Arellano
Isabel Martínez Rojas
Rafael Valenzuela Díaz
Marisol Hernández Astete
Sandro Ismael Norambuena Ríos
César Escobar Jorquera
Guillermo Hernán Reyes Vidal
Yolanda Catalán Marin
Claudio Pucher Lizama
Paula Carrión Henríquez
Lorena Choque Condore
Erick Rodrigo Mercado Catalán
Carlos Chaer Cosloski
Paulina Donoso Pavez
Wilson Monzón Riquelme
Eduardo Poblete Aedo
Viviana Torres Torres
Mario Arturo Santelices Urrea
Miguel Vargas Henríquez
Mirta Cecilia Barría Mella
Carla Valenzuela Ríos
Eduardo Andrés Jara Núñez
El Servicio indica en su respuesta, que esta
circunstancia se produjo como consecuencia de una carga masiva realizada a la base
de datos al inicio de la marcha blanca del sistema. Actualmente, se debe ingresar por
el "Módulo de Administración del Sistema", donde se valida el dígito verificador,
evitando errores e inconsistencia de datos.
Los antecedentes entregados por la
SUBDERE, no permiten dar por superada la observación, toda vez que no se señalan
acciones para regularizar lo observado.
Asimismo, se pudo observar duplicidad de
una cuenta, según se indica:
Lo gin
Nombre
12118629 Verónica
12118629 Verónica
Apellido
Paterno
Muñoz
Muñoz
Apellido
Materno
Labbé
Labbé
RUT
DV pf nombre
12118629
12118629
2
2
Visador de Proyectos PMU
Visador de Proyectos PMU
Al respecto, el Servicio informa que en la
revisión del administrador de la Base de Datos, se eliminó la duplicidad.
Lo anterior, permite dar por superada la
observación.
#1.AGitc,
8
CONTRALORÍA GENERAL DE LA REPÚBLICA
DIVISIÓN DE AUDITORIA ADMINISTRATIVA
ÁREA ADMINISTRACIÓN GENERAL Y DEFENSA NACIONAL
Por otro lado, en la tabla de marcha blanca,
además de no tener información respecto al DV del RUT, se pudo observar falta de
validación de los mismos de acuerdo al algoritmo del "módulo 11" utilizado por el
Servicio de Registro Civil e Identificación, dada la inconsistencia en 6 RUT, los cuales
se presentan a continuación.
NOMBRE
ALDR¿?N
GINO
GINO
GINO
FERNANDO
APELLIDO
PATERNO
MARTOQ
SALGUERO
ARMIJO
ALBORNOZ
MATELUNA
APELLIDO
MATERNO
AHUMADA
IPINZA
ARMIJO
ALBORNOZ
MATELUNA
ROLES
Ciudadano
Ciudadano
Ciudadano
Ciudadano
Ciudadano
RUT
1
2
4
5
6
FECHA
REGISTRO
2009-03-21
2009-03-21
2009-03-21
2009-03-21
2009-03-21
MUNICIPALIDAD
I.M. de Putre
I.M. de Conchalí
I.M. de Chillán
I.M. de Cerrillos
I.M. de La Ligua
Sobre el particular, la SUBDERE señala en su
respuesta que la tabla de "marcha blanca" presentada, no corresponde al sistema
PMU auditado, ya que éste no maneja Roles Ciudadano.
Respecto al párrafo precedente, se debe
señalar que esta Entidad de Control referenció las tablas con el nombre que el propio
Servicio le indicó, por ende, se mantiene la observación.
III. SISTEMA DE GESTIÓN DOCUMENTAL.
1. Descripción general del sistema.
Este sistema es utilizado para el manejo de
toda la documentación interna y externa del Servicio, utiliza firma electrónica simple y
avanzada, asimismo, permite la refrendación de algunos actos administrativos como
resoluciones o decretos. Cabe precisar, que el sistema funciona en directa relación
con la cuenta de correo electrónico y para su administración, depende de la División
de Administración y Finanzas.
2. Control de acceso.
Como se indicó, el sistema de gestión
documental, trabaja en conjunto con la cuenta de correo electrónico, por lo tanto, las
deficiencias que se mencionan a continuación son aplicables para ambos casos. En lo
que atañe al decreto supremo N° 83, de 2004, del MINSEGPRES, en sus artículos
37g y 37 f, se puede señalar:
a. No se encuentran documentadas las políticas de control de acceso.
Al respecto, la SUBDERE responde que el
Departamento de Informática, en conjunto con la unidad TIC de la División de
Administración y Finanzas, elaborarán el documento a más tardar en el mes de
enero del año 2011.
Se validarán—i?s, medidas adoptadas por el
ora.
Servicio, en una próxima visita de esta Enti
•zr
DIVISION DE L.
1.-.
AUDITORIA
r
01 'ADMINISTRA
O
CONTRALORÍA GENERAL DE LA REPÚBLICA
DIVISIÓN DE AUDITORIA ADMINISTRATIVA
ÁREA ADMINISTRACIÓN GENERAL Y DEFENSA NACIONAL
b. No existe un procedimiento formal para eliminar usuarios, no obstante, cuando el
administrador se entera que un funcionario no utilizará el sistema (por cambio de
funciones o desvinculación de la institución), éste es deshabilitado.
Sobre el particular, el Servicio señala que los
funcionarios no pueden ser eliminados del sistema por cuanto de esta manera se
conserva la historia de los actos administrativos que pueden servir de base para la
determinación de eventuales responsabilidades administrativas, los cuales son
resguardados en su repositorio documental durante un período mínimo de 5 años.
En virtud de los señalado precedentemente, el procedimiento utilizado es la
desvinculación o deshabilitación, el cual se efectúa con el mérito de la información
que entregan los sistemas informáticos existentes, como: Reloj Control, Control de
Asistencia, Sistema documental (días administrativos y vacaciones), Cometidos
Funcionales, Personal (Licencias Médicas, Cursos y Otros).
Los antecedentes aportados no permiten dar
por superada la observación, por cuanto, en los sistemas informáticos señalados,
no se observa un procedimiento formal establecido en caso de desvinculación o
deshabilitación de usuarios.
c. No existe una verificación ni remoción periódica de las cuentas redundantes.
Sobre la materia, la SUBDERE aclara que el
Departamento de Informática cuenta con un software denominado OPENLDAP, el
cual no permite mantener cuentas redundantes. De hecho, cuando el funcionario
se autentifica o conecta a la red SUBDERE, su usuario y contraseña claves son
únicas e irrepetibles. Como parte de la política de desarrollo, todo sistema debe
autenticarse contra ese servicio.
Lo anterior, permite dar por superada la
observación.
d. La Dirección no cuenta con un proceso formal y frecuente de revisión de permisos
de acceso de los usuarios, 6 meses para usuarios normales y 3 meses para los
con permiso de administrar y/o eliminar.
El Servicio indica en su respuesta, que el
Departamento de Informática implementará los procedimientos necesarios para
desarrollar los procesos formales y frecuentes de revisión de permisos de accesos
a los usuarios, a contar del mes de marzo de 2011.
La observación se mantiene, en tanto el
Servicio no implemente tales medidas.
e. No se revisan los registros de errores importantes del sistema, para asegurar que
éstos se resuelvan satisfactoriamente.
Al respecto, la SUBDERE señala que cuenta
con dos profesionales, don Mauricio Romo y don Mauricio Núñez, quienes son
responsables de las labores de soporte y mantención del sistema documental y
además, deben velar por el correcto funcionamiento -iVaititétfciones correctivas,
10
DIVISION DE
AliDi7ORIA
AOLQNIS
CONTRALORÍA GENERAL DE LA REPÚBLICA
DIVISIÓN DE AUDITORIA ADMINISTRATIVA
ÁREA ADMINISTRACIÓN GENERAL Y DEFENSA NACIONAL
tanto para software como para Hardware. Indica que los mecanismos para
determinar las fallas del sistema, consisten en que las transacciones realizadas
diariamente son revisadas por los encargados de mantener el sistema y se
almacenan en un LOG, que es un archivo plano que registra cada una de las
transacciones realizadas sobre las bases de datos que intervienen en el SGDOC.
No obstante lo anterior, se encuentra en proceso de implementación un software
denominado NAGIOS, cuya función es el monitoreo proactivo de servicios y
servidores dependiendo de la capa en que aplique el protocolo. El objeto es
recoger y corregir los registros de errores.
En una próxima visita de esta Contraloría
General, se verificará la implementación del software NAGIOS, oportunidad en
que se ponderará la observación.
f.
En relación a los errores y acciones de usuarios, no existe un registro de la
persona que los gatilló.
Como respuesta a esta observación, el
Servicio indica que, mediante la revisión diaria al LOG de transacciones, se
determina cuando existe un error en el sistema. Si bien no existe registro de la
sesión del usuario, es posible la identificación del script que presentó la
inconsistencia y en qué línea de la codificación se encuentra el problema. El
usuario es identificado a través de los canales vía correo electrónico y asimismo,
en forma presencial se identifica al usuario que representa el problema.
Los antecedentes entregados, permiten dar
por superada la observación.
En lo concerniente al artículo 28, las
deficiencias son las siguientes:
g. Cuando se crea un usuario, éste no es obligado en el primer ingreso al sistema, a
cambiar inmediatamente su contraseña temporal inicialmente otorgada.
Al respecto el Servicio menciona que el
Departamento de Informática actualizará los procedimientos para subsanar las
observaciones realizadas en el mes de marzo de 2011. No obstante lo anterior, en
el capítulo 13.9 de las actuales políticas informáticas, se informa sobre el uso de
la herramienta de servicio OPENLDAP (protocolo de acceso a directorios ligeros),
que cumple la función de centralizar las cuentas de accesos a los servicios TIC de
la SUBDERE.
La comprobación de la actualización de los
procedimientos antes mencionados, será materia de una próxima visita de
auditoría.
h. Del mismo modo, no se encuentra habilitado el cambio de contraseñas a intervalos
regulares, ni tampoco el registro histórico de contraseñas, para evitar la
reutilización de contraseñas antiguas.
El Servicio señala que se generarán los
procedimientos para subsanar las observaciones realizadas en el mes de marzo de
2011, para ello se utilizará una herramienta que se conectará al servicio OPENLDAP,
que centraliza las cuentas de accesos a los servicio e , de - UBDERE.
11
• 4 DE y 1
opv,
1
IN "illlx■ rv:¿./
CONTRALORÍA GENERAL DE LA REPÚBLICA
DIVISIÓN DE AUDITORIA ADMINISTRATIVA
ÁREA ADMINISTRACIÓN GENERAL Y DEFENSA NACIONAL
Los procedimientos a implementar por el
Servicio, serán validados en una próxima auditoría.
Finalmente, se observó que no existe un
registro formal de auditorías, de integridad de los registros del sistema, en
conformidad a lo señalado en el artículo 23 del mencionado decreto supremo.
La SUBDERE agrega que no cuentan con
mecanismos que les permitan verificar la integridad de los datos contenidos en un
expediente.
Por otro lado, señala que respecto a las
observaciones formuladas al Sistema de Gestión Documental, cabe consignar que se
dictará la Resolución Administrativa correspondiente, al tenor de lo dispuesto en los
artículos 37g y 37f del decreto supremo N° 83, de 2004, que reglamente las
observaciones formuladas por el Órgano de Control.
La emisión de dicha resolución y su
implementación, será validada por esta Entidad Fiscalizadora, en la próxima visita al
Servicio.
IV. SISTEMA ADMINISTRATIVO DE GESTIÓN Y CONTROL PRESUPUESTARIO —
METHASYS
1. Descripción general del sistema
El Sistema Administrativo de Gestión y
Control Presupuestario fue desarrollado por la empresa Methasys Limitada, a través
de un contrato de adquisición de licencias de uso del sistema, según resolución
N°1.355, del 26 de septiembre de 2003, de la SUBDERE.
El Sistema registra la información financiera
contable de los proyectos que llevan los diversos créditos, es un sistema cliente
servidor, desarrollado en Visual Fox Pro, que depende de la División Desarrollo
Regional.
El relación al presente acápite, la SUBDERE
señala que el uso de dicho Sistema Methasys se encuentra en etapa de término, por
cuanto desde el mes de enero de 2010 se puso en funcionamiento paralelo el nuevo
sistema denominado SUBDERE ON LINE, módulo programas de Inversión Regional,
el cual desde enero de 2011 será, oficialmente, la nueva herramienta que se utilizará
para llevar el control del gasto de los programas financiados por entidades crediticias.
Indicando además, que este nuevo sistema subsana gran parte de las observaciones
mencionadas más adelante.
La implementación del sistema SUBDERE
ON LINE, será revisado en una próxima visita a la Entidad.
12
CONTRALORÍA GENERAL DE LA REPÚBLICA
DIVISIÓN DE AUDITORIA ADMINISTRATIVA
ÁREA ADMINISTRACIÓN GENERAL Y DEFENSA NACIONAL
2. Control de acceso.
Respecto al control de acceso del sistema
Methasys, en lo que dice relación al decreto supremo N° 83, de 2004, del
MINSEGPRES, en sus artículos 37g y 37f, se observó:
a. Inexistencia de políticas de control de acceso documentadas.
b. No existe un procedimiento formal para eliminar usuarios, no obstante, de acuerdo
a lo señalado por el Servicio, cuando el administrador se entera que un funcionario
no utilizará el sistema (por cambio de funciones o desvinculación de la institución),
éste es deshabilitado. Posteriormente, en aproximadamente 3 meses, el usuario es
eliminado.
c. No están oficializadas las políticas de segregación de funciones, ni existe una
verificación ni remoción periódica de las cuentas redundantes.
d. El Servicio no cuenta con un proceso formal y frecuente de revisión de permisos
de acceso de los usuarios.
e. No se revisan los registros de errores importantes del sistema, de modo de validar
que éstos se resuelvan satisfactoriamente.
f.
En relación a la configuración de la contraseña, pese a ser alfanumérica, no posee
restricción de largo mínimo.
g. No existe un registro histórico de contraseñas.
h. No existe un procedimiento formal que recupere la condición inicial antes de
efectuar los cambios, en caso de presentarse cambios no exitosos.
i.
Inexistencia de un procedimiento formal/oficial para eliminar usuarios. Tampoco
existe registro de que se retiren inmediatamente los permisos de acceso de los
usuarios a quienes cambiaron de función o dejaron la organización.
J. No se observó la existencia de un proceso formal y frecuente de revisión de
permisos de acceso de los usuarios.
k. No existe un registro de los errores que ha efectuado el usuario dentro del sistema,
por lo menos para los usuarios con privilegios especiales.
I. Tampoco existe un registro de las acciones realizadas por el usuario dentro del
sistema, por lo menos para los usuarios con privilegios especiales.
Respecto a las observaciones formuladas en
los puntos a, b, c, d, h, i y j, el Servicio responde que para efectos de subsanar dichas
observaciones, se elaborará un manual de procedimiento durante el primer semestre
del año 2011.
En relación con la observación del punto e, la
SUBDERE indica que la aplicación no cuenta con registro de errores, pero de todas
formas se realizan chequeos de integridad del sistema.
En cuanto a los puntos f y g, en su respuesta
el Servicio señala que con el nuevo sistema SUBDERE ON LINE, se implementarán
los cambios necesarios para la configuración de contraseñas, así como un registro de
ellas.
13
CONTRALORÍA GENERAL DE LA REPÚBLICA
DIVISIÓN DE AUDITORIA ADMINISTRATIVA
ÁREA ADMINISTRACIÓN GENERAL Y DEFENSA NACIONAL
Sobre lo señalado en los puntos k y I, la
Entidad indica que el nuevo sistema SUBDERE ON LINE incluirá un registro de uso,
en el cual se podrán monitorear errores producidos por los usuarios.
Dado lo señalado por el Servicio, se
mantienen las observaciones, para ser validadas por una próxima visita de esta
Entidad de Control.
Ahora bien, en lo que dice relación con el
artículo 28 del decreto supremo N° 83, del MINSEGPRES, las deficiencias son:
m. Cuando se crea un usuario, éste no es obligado a cambiar inmediatamente su
contraseña temporal, inicialmente otorgada en el primer ingreso al sistema.
n. Además, no se encuentra habilitado el cambio de contraseñas a intervalos
regulares, ni tampoco el registro histórico de éstas, para evitar la reutilización de
las mismas.
En relación con lo indicado en los puntos m y
n, la SUBDERE en su respuesta, menciona que para acceder al sistema existen 2
instancias donde el usuario se debe validar para ingresar: escritorio remoto y
Methasys, la primera validación, exige modificar su clave en el primer acceso y
periódicamente debe cambiarse.
Los antecedentes entregados por el Servicio,
permiten dar por subsanada la observación.
3. Integridad del sistema
Sobre la materia, se estableció que existen a
lo menos 63 registros con fechas erróneas, respecto de las cuales se observó que no
existe una validación, cualquiera sea la fecha ingresada.
Como se puede observar en el Anexo N° 2, el
listado de contratistas o proveedores, no tiene campos obligatorios mínimos para
permitir la identificación única de algún registro, tales como RUT y Nombre. Asimismo,
se constató la ausencia de validación del RUT, a través del algoritmo de cálculo del
"modulo 11".
Al respecto, la SUBDERE responde que en el
sistema se ingresan fechas pasadas, presentes y futuras, utilizando formato único de
ingreso, por lo tanto, la única validación es visual, a través del contador nivel central
en el momento de autorizar compromisos y pagos. Para la creación de nuevos
contratistas o proveedores, la aplicación cuenta con un validador de RUT y campos
mínimos obligatorios. Sin embargo, una carga inicial de datos en el año 2005, trajo
información desde todos los Gobiernos Regionales, la cual no puede ser eliminada.
No obstante, agrega, la condición no interfiere con el buen funcionamiento de la
herramienta.
Los antecedentes entregados no permiten dar
por superada la observación.
DMSION DE
AUDITORIA
ADMINISTRATIVA
14
CONTRALORÍA GENERAL DE LA REPÚBLICA
DIVISIÓN DE AUDITORIA ADMINISTRATIVA
ÁREA ADMINISTRACIÓN GENERAL Y DEFENSA NACIONAL
De igual forma, se verificó que pese a la
existencia de un procedimiento de control de cambio, éste no se encuentra
oficializado.
Respecto al control de cambios, el Servicio
señala que se considerarán en políticas y procedimientos, ya mencionados.
Como ya se señaló, se mantendrá la
observación hasta que se validen las políticas y procedimientos indicadas por la
SUBDERE.
Por otro lado, se determinó que al momento
de ingresar un nuevo pago, se modifica la información de todos los pagos referentes
al saldo del contrato, y no sólo la concerniente al desembolso.
La SUBDERE en su respuesta señala que, el
saldo del compromiso, tiene por finalidad mostrar el control de los estados de pagos
asociados a un contrato. Agrega, que al reflejarse el saldo por cada estado de pago,
ayuda al seguimiento del contrato vinculado a la tipología de una matriz de
financiamiento. Esto sirve para efectos de controlar una cartera de proyectos de una
región, solicitudes de rendiciones y por último, para reportar un estado de inversión
acumulado, que da cuenta como una radiografía del momento actual del crédito.
Añade, que de ninguna manera los estados
de pago son modificados, ya que son copia fiel del registro contable que efectúan los
Gobiernos Regionales, que por lo demás, se valida en procesos por la Contraloría al
contrastar la información de los GORES v/s el sistema vigente que utilizan.
Adiciona, que la información contenida en sus
bases es validada por la Contraloría General de la República con la toma de
muestras, que son los respaldos físicos reportados por nuestras Unidades Regionales
v/s los originales emanados de los GORES.
Los antecedentes aportados por el Servicio,
permiten dar por superada la observación.
Asimismo, se observó que las eliminaciones
efectuadas en el Sistema no quedan registradas.
Al respecto, el Servicio indica que las
eliminaciones del sistema sólo se pueden realizar antes de su aprobación, una vez
aprobada o autorizada no es posible cursar eliminaciones, en todo caso, todo lo
eliminado queda marcado en sus bases de datos correspondientes, pudiendo ser
identificado solo por el administrador del sistema.
Los antecedentes entregados, permiten dar
por levantada la observación, no obstante la SUBDERE deberá mantener a
disposición de esta Contraloría General, los registros de las eliminaciones.
Otro aspecto observado, dice relación con
que no existe registro del proceso de migración de los datos al momento de la puesta
en marcha del actual Sistema.
15
CONTRALORÍA GENERAL DE LA REPÚBLICA
DIVISIÓN DE AUDITORIA ADMINISTRATIVA
ÁREA ADMINISTRACIÓN GENERAL Y DEFENSA NACIONAL
De acuerdo a lo indicado en su respuesta, la
SUBDERE señala que se migraron datos sólo del programa PIRDT al nuevo sistema,
los cuales están siendo validados tanto a nivel central como Regional.
Las validaciones y procesos de migración
realizados por el Servicio, será materia de revisión en una próxima auditoría.
3.1
Cuentas de Usuario
El listado de usuarios del sistema cuenta con
el campo RUT, sin embargo, se encuentra vacío.
La solución a esta observación de acuerdo a
lo indicado por el Servicio en su respuesta, será subsanada con la puesta en
operación del Sistema SUBDERE ON LINE.
Con la implementación del nuevo sistema, se
validará la solución planteada, en tanto, se mantiene la observación.
En el caso de los usuarios con el privilegio de
"ARRASTRE DE PROYECTOS", y de acuerdo a lo señalado por el Servicio, tenían
una vigencia durante el mes de enero, no obstante, en una revisión del listado de
usuarios actualizado a julio de 2010, se observó que los registros fueron eliminados,
en lugar de modificar su estado a cuenta inactiva. Los registros se indican a
continuación.
Login
CGONZALEZ2
ETORRES2
MPENA2
PBARAHONA2
RROMO2
SMENENDEZ2
Nombre usuario
Apellido Usuario
GONZÁLEZ
TORRES
PEÑA
BARAHONA
ROMO
MENÉNDEZ
CARMEN
ERNESTINA
MIGUEL
PAOLA
RODRIGO
SANDRA
En lo referente a las cuentas eliminadas y no
puestas en estado inactiva, el Servicio señala en su respuesta que esto se debe a que
no existe dicha opción, no obstante, el nuevo sistema también lo tiene considerado.
Al igual que en el caso anterior, no se puede
dar por superada la observación, dado que la solución depende de un sistema que se
está implementando.
3.2
Reporte de sistemas
Los reportes del sistema entregan valores
monetarios negativos. Ver un caso en Anexo N° 3.
Sobre el particular, la SUBDERE señala en
su respuesta, que tales valores corresponden a ajustes realizados a algún estado de
pago por distintas situaciones, entre ellas, un er • en fecha, digitación, etc. Los
ajustes se producen una vez realizadas las a entidades crediticias o
z.
16
DIVISION DE
AUDITORIA
t`'
PQMi 1 1STRAT A O
CONTRALORÍA GENERAL DE LA REPÚBLICA
DIVISIÓN DE AUDITORIA ADMINISTRATIVA
ÁREA ADMINISTRACIÓN GENERAL Y DEFENSA NACIONAL
estados financieros, los cuales pueden tener errores, debiendo rectificar con valores
negativos.
Los antecedentes entregados por el Servicio
permiten dar por superada la observación.
En lo que dice relación al control de cambios,
se puede indicar que pese a existir un procedimiento, éste no es formal y se
observaron deficiencias. A modo de ejemplo, muchas veces se solicita una
funcionalidad específica para el sistema, pero ésta es usada por un determinado
período. Posteriormente, ésta queda en el sistema, presentando información
incompleta, que lleva a emitir juicios erróneos.
Respecto a este punto, el Servicio indica que,
efectivamente, se realizan cambios al sistema, los cuales son usados de acuerdo a las
necesidades de las nuevas jefaturas. Por ejemplo: nuevos campos a utilizar, éstas
quedan en el sistema durante el tiempo, ya que las modificaciones son acumulativas,
pero no afectan el buen funcionamiento de la aplicación y cada usuario está
capacitado e informado periódicamente de cuáles son los módulos que debe poblar.
Los antecedentes entregados por el Servicio
no permiten dar por superada la observación.
Se observó además, en el listado de
contratistas, la existencia del RUT de éstos, pero no el DV correspondiente, situación
que no permite validar el RUT existente en ese campo.
La SUBDERE, en referencia al listado de
contratistas, señala que si existe dígito verificador y que la herramienta si cuenta con
validador de RUT.
Los antecedentes aportados no se condicen
con lo observado por la Comisión Fiscalizadora, lo que no permite dar por superada la
observación.
3.3
Otros
En el contrato con la empresa Methasys
Limitada, no existe una cláusula que permita asegurar la devolución o destrucción de
la información y bienes al final del mismo, o en su defecto, de común acuerdo, en una
fecha durante la vigencia del mismo.
Se mantiene la observación, debido a que el
Servicio no se pronunció al respecto.
V. SOBRE INCUMPLIMIENTO DE DECRETOS SUPREMOS DE GOBIERNO
ELECTRÓNICO
1. Decreto supremo N° 77, de 2004, MINSEGPRES
No se pudo compro_bar—la, existencia de un
ministro de fe, el cual, al momento de realizar los resíe0C/ 1113 suales de las
/
DIVISION DE
VNI ORRAITA
1,1b) AD1,4A i
17
A
trk
CONTRALORÍA GENERAL DE LA REPÚBLICA
DIVISIÓN DE AUDITORIA ADMINISTRATIVA
ÁREA ADMINISTRACIÓN GENERAL Y DEFENSA NACIONAL
comunicaciones electrónicas contenidas en el repositorio, debería firma el respaldo
con firma electrónica avanzada, según lo indicado en el artículo 7.
El Servicio en su respuesta, indica que el
artículo 24 de la Ley N° 18.575, Orgánica Constitucional de Bases de la
Administración del Estado, cuyo texto refundido coordinado y sistematizado fue
aprobado por el DFL-1 / ley N°19.653, previene que los Subsecretarios, entre otras
funciones, tienen el carácter de Ministro de Fe. En consecuencia, se procederá a
delegar esta función en un funcionario profesional de planta que éste designe,
mediante el respectivo acto administrativo.
Los antecedentes entregados por el Servicio
permiten dar por superada la observación.
2. Decreto supremo N° 81, de 2004, MINSEGPRES
No se observaron incumplimientos de los
artículos de este decreto.
3. Decreto supremo N° 83, de 2004 MINSEGPRES
3.1 Control de bienes.
En relación con este punto, no se observó la
existencia de un registro que clasifique y etiquete los sistemas informáticos para
indicar la necesidad, prioridad y grado de protección, según lo señala el artículo
13.
Asimismo, no existe un inventario de los
bienes importantes asociados a cada sistema de información, el cual identifique
claramente, entre otros elementos, los bienes, sus dueños, clasifica su
importancia y especifica su ubicación actual, de acuerdo a lo mencionado en el
artículo 37c.
El Servicio en su respuesta, indica que el
Departamento de Informática cuenta con un registro de los sistemas informáticos
debidamente clasificados, no obstante lo anterior, para el mes de enero de 2011
ajustará las observaciones realizadas respecto de la norma Chilena 2777.
Los antecedentes puestos a disposición de
esta Entidad de Control por la SUBDERE, permitieron dar por superada la
observación.
3.2 Control de cambios.
Según lo señalado en el decreto supremo que
regula la materia, en el Servicio no se da cumplimiento a los siguientes artículos:
• Artículo 22: Pese a que los funcionarios tienen una idea general de dónde
solicitar ayuda, no existe información oficial y publicada de los contactos de
apoyo, ante dificultades técnicas u operaci -inesperadas de sistemas
informáticos.
18
CONTRALORÍA GENERAL DE LA REPÚBLICA
DIVISIÓN DE AUDITORIA ADMINISTRATIVA
ÁREA ADMINISTRACIÓN GENERAL Y DEFENSA NACIONAL
La SUBDERE señala en su respuesta, que
desde el mes de marzo de 2010 se implementó un procedimiento que permite
a los funcionarios de la Institución solicitar asistencia o soporte utilizando
como medio el Sistema de Gestión Documental (SGDOC), a través del cual se
remite el requerimiento al soporte usuario. Agrega, que el procedimiento fue
informado, publicado en la lntranet y con correos masivos. Hasta el mes de
junio, se habían desarrollado 700 requerimientos.
Los antecedentes entregados por el Servicio
permiten dar por superada la observación.
•
Artículo 24: De acuerdo a lo señalado por el Servicio, no se prueba la
efectividad de los equipos de respaldo, al menos cada dos años como lo
señala el artículo.
La SUBDERE en su respuesta reconoce que,
efectivamente, no se cuenta con equipos de respaldo. Sin embargo, se acordó
con la División Informática del Ministerio del Interior, utilizar parte de su
infraestructura (hardware, software y procedimientos) para ser implementada
durante el mes de enero de 2011.
•
Artículo 35: No existe un plan de contingencia para asegurar la continuidad de
operaciones críticas para la institución.
El Servicio señala que en el desarrollo del
proyecto "Cambio de plataforma SUBDERE", se implementaron las bases
para generar un plan de contingencia que asegure la continuidad operacional,
para los servicios críticos de la SUBDERE. Sin embargo, estos
procedimientos deben ser debidamente documentados, validados por la
autoridad, actividad que se compromete para enero de 2011.
•
Artículo 37i: Inexistencia de un plan oficial de contingencia aprobado por la
Dirección, por lo tanto, tampoco existe una evaluación de riesgo para
determinar el impacto en escala de daño y período de recuperación de las
interrupciones a los procesos de negocio.
El Servicio indica en su respuesta que en la
actualidad, el Departamento de Informática SUBDERE está desarrollando las
acciones necesarias de configuración y puesta en operación de un servidor,
más un storage de almacenamiento que será ubicado en el Data Center de la
División Informática del Ministerio del Interior. Estos trabajos deben estar
terminados en marzo de 2011.
Añade, que después de esta actividad se
formulará y documentará un plan de contingencia que considere la evaluación
de riesgo para determinar el impacto en la escala de daños y período de
recuperación de las interrupciones a los procesos de negocio.
Las soluciones a
las observaciones
señaladas precedentemente, serán verificadas en el seguimiento que se
realice al efecto.
AGA
19
CONTRALORÍA GENERAL DE LA REPÚBLICA
DIVISIÓN DE AUDITORIA ADMINISTRATIVA
ÁREA ADMINISTRACIÓN GENERAL Y DEFENSA NACIONAL
3.3 Política de seguridad
Se determinó incumplimiento de
los
siguientes artículos:
•
Artículo 11: Pese a que existe una política de seguridad, ésta no se encuentra
oficializada y aprobada por la Dirección.
Respecto a este punto, el Servicio en su
respuesta señala que con fecha 26 de febrero de 2010, mediante resolución
exenta N° 774 de 2010, la Subsecretaría aprobó las "Políticas de uso de los
Recursos Informáticos y de la infraestructura de red en SUBDERE y
Regiones".
Añade, que en el capítulo 13 se detallan los
aspectos de seguridad informática, tomando como marco normativo el decreto
N°83 de 2004, norma técnica para los órganos de la Administración del
Estado sobre seguridad y confidencialidad del documento electrónico.
Por los antecedentes aportados, se da por
subsanada la observación.
•
Artículo 17: En cuanto a la protección física para los equipos informáticos que
no se encuentran en la sala de servidores y que contienen información crítica,
se observó que no cuentan con protecciones individuales, no obstante, cabe
señalar que éstos se encuentran en el Palacio de La Moneda.
La SUBDERE responde, que en el mes de
enero de 2011 se instalará, para los equipos de Gabinete identificados como
críticos, una UPS y un disco de respaldo externo en red, que permitirá
mantener respaldos periódicos de los funcionarios de Gabinete.
Las acciones tomadas por el Servicio, serán
materia de una auditoría de seguimiento, por lo cual, la presente observación
se mantiene.
•
Artículo 37a: Las revisiones de las políticas de seguridad, no se realizan
según un cronograma, sólo se realiza una revisión cuando los encargados
tienen tiempo de hacerlo. Por lo tanto, se carece de una evaluación de la
efectividad de las políticas, el costo e impacto de los controles en la eficiencia
del negocio y los cambios de tecnología.
En su respuesta, el Servicio señala que en
las políticas vigentes se establece, respecto a la actualización de las Políticas:
"Las presentes instrucciones respecto de la política de uso de los recursos
informáticos y de la infraestructura de la red en la SUBDERE, serán revisadas
y actualizadas una vez cada año".
Lo anterior permite dar por superada la
observación, sin perjuicio de validar la aplicación de tales instrucciones, en la
próxima visita a la Entidad.
4 NG4.b
sr
Z.,
-
IO.N . D0
DIVIDS IT
20
'2-•
.1 T
-_-_,
:..,
7-
IVA O
C's
CONTRALORÍA GENERAL DE LA REPÚBLICA
DIVISIÓN DE AUDITORIA ADMINISTRATIVA
ÁREA ADMINISTRACIÓN GENERAL Y DEFENSA NACIONAL
•
Artículo 37e: No existen instrucciones formales para controlar el uso de
medios de grabación (video, sonido, entre otros) en la sala de servidores.
En cuanto al registro de entrada a la sala de
servidores, se puede señalar que se deja consignado el motivo del acceso.
Además, en el caso de las empresas prestadoras de servicios, Siemens e
Interna (Punto zero clima), éstas dejan copia del formulario completado por
ellos.
No obstante, en el caso de Siemens, las
órdenes de servicio no son llenadas a cabalidad, faltan datos del solicitante y
si el trabajo fue realizado en conformidad a todos, falta fecha de actividad,
entre otros. Además, no existe un registro propio del Servicio para anotar el
personal que ingresa a la sala de servidores.
En Servicio indica que en enero de 2011, se
instalará una cámara de vigilancia para el control de acceso a la sala de
servidores. Respecto del registro de entrada, se cuenta con un libro de
registro con todos los accesos a la sala de servidores, se adjunta copia del
Expediente. En cuanto a la seguridad física, el acceso al Departamento de
Informática cuenta con una botonera con claves, por lo tanto, la entrada es
restringida al personal de Departamento de Informática de la SUBDERE. Se
evaluará la factibilidad de implementar una segunda botonera con clave de
acceso en la sala de servidores, con el objetivo de aumentar los niveles de
seguridad.
Las acciones tomadas por el Servicio y los
antecedentes entregados, permiten dar por superada la observación.
Cabe señalar, que respecto a las medidas de
seguridad física, éstas se centran en gran medida en las existentes para el Edificio
Plaza de la Constitución, lugar donde se encuentran las dependencias de la
SUBDERE. La última actualización de las señaladas políticas, de acuerdo a los
antecedentes entregados, se realizó en agosto del 2004.
3.4 Seguridad del Personal
•
Artículo 37d: Pese a que en caso de mal funcionamiento del software o
hardware, se informa a través de correo electrónico, y/o llamado telefónico,
estas instrucciones fueron dadas a conocer verbalmente y no existe un
procedimiento formal para dichos casos.
Asimismo, según lo señalado por el Servicio,
no existen mecanismos formales para monitorear y almacenar las estadísticas de
los incidentes ocurridos, sus características, frecuencia, tipo, costos asociados y
procedimientos de contingencia efectuados, y que dado los recursos, sólo se
almacenan algunos casos con cierta información.
Por otro lado, se observó que solamente para
el caso de un alumno en práctica, la resolución señala las responsabilidades que
debe cumplir, para otras situaciones de personal temporal 93,xterno, no se firma
DIVISI
21
CONTRALORÍA GENERAL DE LA REPÚBLICA
DIVISIÓN DE AUDITORIA ADMINISTRATIVA
ÁREA ADMINISTRACIÓN GENERAL Y DEFENSA NACIONAL
un acuerdo de confidencialidad o de no divulgación, tampoco en el contrato con la
empresa.
En su respuesta, la SUBDERE señala que en
el marco del PMG de Seguridad de la Información, se implementarán los
procedimientos necesarios para el registro de los incidentes de seguridad y/o el
mal funcionamiento de software, tomando como base para la implementación la
norma NCh 2.777, que es la norma chilena que reemplazará el decreto supremo
N° 83 de 2004, que es la actual norma técnica que rige para los Órganos de la
Administración del Estado, sobre seguridad y confidencialidad del documento
electrónico.
La implementación del PMG, y todas las
acciones que éste conlleva, serán materia de una auditoría de seguimiento.
3.5 Incidentes de seguridad
Artículo 37d: Inexistencia de procedimientos y/o instrucciones para informar
incidentes de seguridad y/o mal funcionamiento del software.
•
Por lo tanto, no existe un mecanismo para
monitorear y almacenar las estadísticas de los incidentes ocurridos, señalando,
entre otros, su característica y frecuencia.
Al respecto, el Servicio señala que se estima
el desarrollo de la implementación para el segundo semestre del año 2011, con
ello se podrá monitorear y almacenar las estadísticas y frecuencia de los diversos
tipos de incidentes.
Esta medida y su implementación será
verificada en la visita de seguimiento respectiva.
3.6 Seguridad Organizacional
•
Artículo 37b: No existe un comité de gestión de seguridad de la información
que se encargue, a lo menos, de revisar y monitorear los incidentes de
seguridad de la información.
La SUBDERE en su respuesta indica que se
nombrará los responsables del Comité de Gestión de Seguridad de la
Información, entidad que se encargará de generar las normativas necesarias para
revisar y monitorear los incidentes de seguridad de la información.
Los nombramientos señalados anteriormente,
serán materia de revisión por parte de esta Entidad de Control.
4. Decreto supremo N° 93, de 2006 MINSEGPRES
•
Artículo 9: No se cuenta con un procedimiento oficial que rechace
automáticamente los mensajes electrónicos dirigidos a la casilla institucional, al
personal que ha cesado en funciones.
22
CONTRALORÍA GENERAL DE LA REPÚBLICA
DIVISIÓN DE AUDITORIA ADMINISTRATIVA
ÁREA ADMINISTRACIÓN GENERAL Y DEFENSA NACIONAL
Asimismo, no existe un procedimiento que al
momento de rechazar un correo entrante, se ponga a disposición de quienes
hayan enviado dichos mensajes, una o más casillas electrónicas alternativas a las
cuales redirigirse.
Al respecto, el Servicio manifiesta que se
establecerá la normativa interna necesaria con una fuerte coordinación entre los
Departamentos de Informática y Recursos Humanos, con ellos se deben
establecer los procedimientos oficiales para subsanar las observaciones
realizadas.
La observación se mantiene, en tanto no se
adopten las medidas enunciadas.
5. Decreto Supremo N° 100 de 2006 MINSEGPRES.
Con respecto al desarrollo de sitios web de la
SUBDERE, se determinó incumplimiento en los siguientes artículos:
•
Artículo 6: El administrador no documenta lo que ocurre con su audiencia del sitio
web, ni adopta, de ser necesario, medidas preventivas y/o correctivas oportunas.
Al respecto, se indica que la unidad de la
SUBDERE encargada, en términos de administración y contenidos del sitio web,
es el Centro de Documentación y Prensa (CEDOC), quienes, en conjunto con el
Departamento de Informática establecerán la mejor manera de dar solución a las
observaciones realizadas por el organismo técnico contralor.
La observación se mantiene, hasta que las
medidas señaladas sean tomadas.
•
Artículo 7: El administrador no cuenta con un plan de contingencia que contemple
medidas a ejecutar en, al menos, los siguientes casos: que el sitio web deje de
estar disponible para el público; el nivel de acceso disminuya o sea intermitente o
que se vea comprometido por ataques externos.
Respecto de esta observación, se debe
establecer que SUBDERE consideró en la arquitectura del manejador de
contenidos de la página web Institucional, los niveles de seguridad y resguardos
necesarios, tomando como marco referencial los decretos y normativas vigentes.
Por ello, se establecieron dos capas para el sitio web, www.subdere.gov.cl . La
primera capa corresponde a un segmento de la DMZ donde se presentan las
páginas estáticas IN-FRONT. La segunda capa es donde está el gestor de
contenidos, el cual genera finalmente las páginas web, que son posteriores
publicaciones de la página web hacia la capa pública de presentación. Con este
diseño, si el sitio web SUBDERE es hackeado, en una hora puede ser republicado
con el 100% de los contenidos procesados hasta la fecha y hora del incidente. En
el caso que el data center SUBDERE sufra un incidente mayor, se establece un
plazo máximo de 6 horas para restablecer todos los servicios informáticos críticos
de SUBDERE. Para el caso del sitio web SUBDERE, puede llegar a tener un
desfase de 12 horas. No obstante lo anteriormente descrito, la SUBDERE se
compromete para el mes de febrero de 2011, documentar el plan de contingencia
que contemple las medidas anteriormente descrit
23
CONTRALORÍA GENERAL DE LA REPÚBLICA
DIVISIÓN DE AUDITORIA ADMINISTRATIVA
ÁREA ADMINISTRACIÓN GENERAL Y DEFENSA NACIONAL
Las medidas señaladas por el Servicio, serán
validadas en una próxima visita de seguimiento, en tanto, la observación se
mantiene.
VI. CONCLUSIONES.
La Subsecretaría de Desarrollo Regional y
Administrativo ha aportado antecedentes y ha iniciado acciones que han permitido
salvar algunas de las observaciones planteadas en el Preinforme de Observaciones
N° 199, de 2010.
Las situaciones pendientes, corresponden, en
general, a debilidades que serán subsanadas en el futuro próximo, de acuerdo a lo
manifestado por el propio Servicio, por lo tanto, se deberán implementar las medidas e
impartir instrucciones en orden a dar cabal cumplimiento al compromiso contraído.
Las principales acciones a considerar, dicen
relación con las siguientes materias:
1)
Punto 1.1. Nombrar oficialmente al funcionario titular y subrogante, encargados
de los respaldos. Documentar las mencionadas condiciones de seguridad y las
modificaciones realizadas al implementar el proyecto "Cambio de Plataforma
SUBDERE" .
2)
Punto 1.2. Cambiar la Plataforma SUBDERE y desarrollar la política de un plan
de continuidad operacional de los servicios críticos, por parte del Departamento
de Informática.
3)
Punto 1.3. Formar el Comité Informático, con sus funciones y atribuciones.
4)
Punto 1.4. Adoptar medidas, por parte del Comité Informático, respecto al buen
uso de los recursos informáticos por parte de los funcionarios y sobre la
dependencia hacia el Departamento de Informática de los sistemas existentes al
interior del Servicio.
5)
Punto 11.2. Elaborar el manual de procedimiento durante el primer semestre del
año 2011; emitir los calendarios de verificación de cuentas.
6)
Punto 11.3. Minimizar los errores de migración de datos para cualquiera de los
sistemas que sean utilizados al interior del mismo. Solucionar los casos
observados sobre la duplicidad de una cuenta y errores/falta del dígito verificador
del RUT.
7)
Punto III.2.b. Documentar el procedimiento para la desvinculación de un
funcionario, dado que no se entregaron antecedentes suficientes para dar por
superada la observación.
8)
Punto III.2.e. Implementar el software denominado NAGIOS.
9)
Punto III.2.d. Implementar los procedimientos necesarios para desarrollar los
procesos formales y frecuentes de revisión de1109W
de accesos a los
usuarios.
DIVISION DE
r AUDITORIA
24
CONTRALORÍA GENERAL DE LA REPÚBLICA
DIVISIÓN DE AUDITORIA ADMINISTRATIVA
ÁREA ADMINISTRACIÓN GENERAL Y DEFENSA NACIONAL
10) Punto 111.2. g y h. Elaborar y actualizar los procedimientos que llevará a cabo el
Servicio para subsanar las observaciones sobre cambio de clave al primer
acceso al sistema y el cambio periódico de la misma.
11) Punto 111.2. Dictar la Resolución Administrativa correspondiente, al tenor de lo
dispuesto en los artículos 37g y 37f, del decreto supremo N° 83 de 2004, del
MINSEGPRES, que reglamente las observaciones formuladas por este Órgano
de Control.
12) Punto 111.2. Implementar mecanismos que les permitan verificar la integridad de
los datos contenidos en un expediente.
13) Punto IV.1. Mantener a disposición de esta Contraloría General los antecedentes
del sistema SUBDERE ON LINE.
14) Punto IV.2. letras a, b, c, d, h, i y j. Elaborar el manual de procedimiento
correspondiente.
15) Punto IV.2.e. Chequear la integridad del sistema, dejando documentado tanto el
proceso como el procedimiento.
16) Punto IV.2. letras f, g, k y 1. Documentar las políticas y reglas de configuración de
contraseñas, así como los errores producidos por los usuarios.
17) Punto IV.3. Implementar las validaciones necesarias para que las fechas estén,
dentro de valores razonables, y no depender de una validación visual. En el caso
de los contratistas o proveedores, con campos incompletos, éstos deberán ser
regularizados.
18) Punto IV.3. Documentar las políticas y procedimientos implementados por el
Servicio, respecto al control de cambios del Sistema Methasys.
19) Punto IV.3. Documentar las eliminaciones efectuadas en el Sistema, así como
las validaciones y resultados obtenidos, en el proceso de migración de datos.
20) Punto IV.3.1. Verificar las funcionalidades del nuevo sistema SUBDERE ON
LINE, referente a campo RUT vacío en el listado de usuario y las cuentas de
éstos eliminadas.
21) Punto IV.3.2. Tomar medidas de control respecto al poblamiento de campos
vacíos, debido a modificaciones del sistema. Además, en relación con la
existencia de contratistas con RUT, pero sin el DV correspondiente, deberá tener
disponibles las tablas con los campos correspondientes.
22) Punto IV.3.3. Considerar en sus próximos contratos y en la prórroga de éstos
una cláusula que permita asegurar la devolución o destrucción de la información
y bienes al final del mismo, o en su defecto, de común acuerdo, en una fecha
durante la vigencia del mismo.
23) Punto V.3.2. Dar cumplimiento al artículo 24, según lo acordado entre la
SUBDERE y la División Informática del Ministerio d e1-Er teri.ór.
~
DIVIS1ON DE
rAUDITOR ■
DMINIST IVA o
25
) CONTRALORÍA GENERAL DE LA REPÚBLICA
DIVISIÓN DE AUDITORIA ADMINISTRATIVA
ÁREA ADMINISTRACIÓN GENERAL Y DEFENSA NACIONAL
24) Punto V.3.2. Dar cumplimiento al artículo 35, en relación con los planes de
contingencia implementados en el proyecto "Cambio de plataforma SUBDERE" y
al artículo 37 i, sobre la gestión de continuidad del negocio.
25) Punto V.3.3. Cumplir con lo establecido en el artículo 17 del decreto supremo
N°83, de 2004, MINSEGPRES.
26) Punto V.3.4. Implementar los procedimientos necesarios para el registro de los
incidentes de seguridad y/o el mal funcionamiento de software.
27) Punto V.3.5. Impartir instrucciones para informar incidentes de seguridad y/o mal
funcionamiento del software.
28) Punto V.3.6. Nombrar a los responsables del Comité de Gestión de Seguridad de
la Información.
29) Punto V.4. Documentar la normativa interna implementada para subsanar las
observaciones de este punto, relativas a las instrucciones acerca de la adecuada
utilización de las casillas institucionales.
30) Punto V.5. Tomar las medidas para subsanar las observaciones relacionadas
con lo dispuesto en el artículo 6 del decreto supremo N° 100 de 2006, del
MINSEGPRES.
La efectividad de las medidas adoptadas será
validada en las próximas visitas que se realicen a la entidad, conforme a las políticas
de este Organismo sobre seguimiento de los programas de fiscalización
Saluda atentamente a Ud.
F
F'"
'
4 DE
N 1TORIA
ADMINISTRATIVA
`<t--o,
z
--1.
rr--,
,
.....,<A\Y
MARIA CALDERON VIDAL
JEFE
AREA ADMINISTRACIÓN GENERAL
Y DEFENSA NACIONAL
DIVISIÓN DE AUDITORIA ADMINISTRATIVA
26
CONTRALORÍA GENERAL DE LA REPÚBLICA
DIVISIÓN DE AUDITORIA ADMINISTRATIVA
ÁREA ADMINISTRACIÓN GENERAL Y DEFENSA NACIONAL
Anexo N° 1
Departamento de Informática
A continuación se presenta un organigrama
del Departamento de Informática, asimismo se debe señalar que el negocio del DI
está orientado principalmente hacia la informática interna, considerando como los
clientes a los usuarios que utilizan los diversos servicios que el Departamento ofrece y
mantiene. Los clientes del Departamento de Informática se consideran los usuarios
del nivel central y regional (URS, PRDUV, OPDP 2).
El Departamento está compuesto de cuatro
asesores, el jefe del departamento y una secretaria.
Las principales funciones desarrolladas por
cada uno de los profesionales son las siguientes:
Cargo
ASESOR
ASESOR
Nombre
Jorge Sapag
Escalante
Mauricio
Aguilera
Perfil Profesional
Analista Programador.
Egresado de Ingeniería.
Técnico.
Programador.
ASESOR
Cristian
Álvarez Toro
Ingeniero de Ejecución
Informática.
Administrador de
Redes.
2
Funciones
• Soporte de oficinas centrales, y
regionales.
• Administrador
y
operador
servicio de video conferencia.
• Administrador suplente de red.
• Operador del servicio de
antivirus institucional.
• Generación
de
términos
técnicos de referencia o bases
administrativas
para
la
contratación de servicios o
productos.
• Encargado de la administración
del sitio de transparencia
institucional.
• Mantener la Intranet con los
contenidos remitidos por los
departamentos que publican
información.
• Mantención
de
sistemas
internos
administrativos,
soporte a usuarios.
• Apoyo logístico en el área.
• Apoyo al servicio de video
conferencias y telefonía fija.
• Encargado principalmente de la
administración de los servicios
de redes y comunicaciones.
• Encargado de la seguridad del
documento electrónico
nombrado en resolución exenta
N°250, de 4 de febrero del
2008.
• Tiene a su cargo el desarrollo
de las políticas de seguridad al
interior de las instalaciones de
la SUBDERE.
la
• Coordinar
adecuada
respuesta
de
incidentes
computacionales.
Programa de Recuperación y Desarrollo Urbano de Valparaíso.
Oficina Provincial de Desarrollo Productivo.
27
CONTRALORÍA GENERAL DE LA REPÚBLICA
DIVISIÓN DE AUDITORIA ADMINISTRATIVA
ÁREA ADMINISTRACIÓN GENERAL Y DEFENSA NACIONAL
Cargo
Nombre
Perfil Profesional
•
•
ASESOR
Ricardo
Sepúlveda
Valdés
Ingeniero Ejecución en
Informática
•
•
•
•
•
•
•
Programador.
Jefe de
Departamento
José
Hormazábal
Ramírez
Analista de Sistema.
Ingeniero E. Informática.
•
Ingeniero en Gestión
•
•
•
•
•
Secretaria
Jocelyne Uribe
Zamorano
•
•
•
28
Funciones
Encargado del soporte a
usuarios y en especial usuarios
de Gabinete en el Palacio de
La Moneda.
Encargado de respaldos de
sistemas (Personal,
remuneraciones, SINIM, PMU,
PMB, Calificaciones,
Methasys).
Gestión
contratos
con
empresas proveedoras.
Generación
de
términos
técnicos de referencia o bases
administrativas
para
la
contratación de servicios o
productos.
Apoyo a la gestión del PMG de
gobierno electrónico.
Encargado de la administración
de la central telefónica.
Dirigir el Departamento de
Informática.
Mantención
de
sistemas
desarrollados con anterioridad.
Encargado
del
PMG
de
Gobierno
Electrónico,
de
generar proyectos, políticas y
planificación del Departamento
de Informática al interior de la
SUBDERE.
Contraparte técnica en la mesa
digital del PMG de Gobierno
Electrónico Local.
Jefe de proyectos ante la
Comunidad
Económica
Europea.
Administrador de contratos y
servicios relacionados con el
área informática.
Encargada de la elaboración de
documentación
interna
y
externa
(Memorándum,
Inventario, entre otros.)
Agendar videoconferencias e
informar de éstas.
Realizar llamadas internas y
externas, solicitar materiales
para
el
departamento
y
organizar reuniones.
Apoyo en materias de gestión
documental y computacional.
Apoyo en la gestión de
facturas.
Apoyo
al
Departamento
Planificación y Gestión de
Control.
CONTRALORÍA GENERAL DE LA REPÚBLICA
DIVISIÓN DE AUDITORIA ADMINISTRATIVA
ÁREA ADMINISTRACIÓN GENERAL Y DEFENSA NACIONAL
Anexo N° 2
Proveedores
Consulta Contratistas
Buscar Contratistas o Provéédores
RAU..
0Í[ Ok
I
Sigla
Rut
Nombre
13-0
Smartdraw.com
2.7
3-5
Coleo Acosta Gloria
~Ricardo L. Avidano Di Giorgio
11-6
Rojas Caceres
Nombre:
Ok
Giro
Representa
1<
Contabilidad
Compromisos, Estados de Pago, Garantías
Comprobantes Contables
Tp. Número
Tipo de Doc.
• 001 Analisis
Fecha
Tp.Gasto
Cuenta
Debe
Num
Consulta Por Documento
29
Haber
Documento
Fec.Docto
A
CONTRALORÍA GENERAL DE LA REPÚBLICA
DIVISIÓN DE AUDITORIA ADMINISTRATIVA
ÁREA ADMINISTRACIÓN GENERAL Y DEFENSA NACIONAL
Anexo N° 3
Reporte de salida
De un reporte de la región de Los Lagos, y el
tipo de compromisos "contrato" se presentan las deficiencias descritas. Cabe señalar,
que la tabla posee 54 campos, los cuales serán distribuidos en las páginas
subsiguientes.
Esa.
Proyecto
Etapa
Numero
fecha
tipo
docto
numero
docto
fecha
docto
neto
docto
10
300292570
1
1018
04/10/2005
Boleta De
Venta
52636
21/02/2004
-3025
10
300292570
1
1018
04/10/2005
Boleta De
Venta
52636
21/02/2004
0
10
300046610
1
80
27/03/2008
Factura
0
26/11/2007 -8403361
10
300046610
1
80
27/03/2008
Factura
0
26/11/2007
0
10
300292570
1
958
09/09/2005
Boleta De
Venta
52636
21/02/2004
-3025
10
300292570
1
958
09/09/2005
Boleta De
Venta
52636
21/02/2004
0
10
300292570
1
1017
26/09/2005
Factura
37893036
02/04/2004
-3193
10
300292570
1
1017
26/09/2005
Factura
37893036
02/04/2004
0
10
300292550
1
1019
07/10/2005
Boleta De
Venta
139971
20/04/2004
-2891
10
300292550
1
1019
07/10/2005
Boleta De
Venta
139971
20/04/2004
0
10
300397220
1
441
17/07/2006
Rendición.
2
30/05/2004
-5E+07
10
300105370
1
955
08/09/2005
Factura
222
19/07/2004 -6170243
CONTRALORÍA GENERAL DE LA REPÚBLICA
DIVISIÓN DE AUDITORIA ADMINISTRATIVA
ÁREA ADMINISTRACIÓN GENERAL Y DEFENSA NACIONAL
periodo
rendicion
ren
neto
ren
impuesto
us
Paridad
rd
neto
-4,05
2
3
3
746,71
-0,77
-0,77
2
3
3
746,71
-13511,75
0
-13511,75
5
11
11
621,93
-1596639
0
-2567,23
-2567,23
5
11
11
621,93
0
-3025
-5,17
0
-5,17
0
999
999
585,28
-575
-575
0
-0,98
-0,98
0
999
999
585,28
0
-3193
-5,23
0
-5,23
5
11
11
610,55
-607
-607
0
-0,99
-0,99
5
11
11
610,55
0
-2891
-4,82
0
-4,82
5
11
11
599,36
-549
-549
0
-0,92
-0,92
0
999
999
599,36
-78950
0
-78950
4
6
6
634,81
-9575,62
0
-9575,62
0
999
999
644,37
total
impuesto ,
docto us docto us
impuesto
docto
total
docto
Neto
docto us
0
-3025
-4,05
O
-575
-575
0
0
-8403361
-1596639
O
0
50118248
-6170243
31
CONTRALORÍA GENERAL DE LA REPÚBLICA
DIVISIÓN DE AUDITORIA ADMINISTRATIVA
ÁREA ADMINISTRACIÓN GENERAL Y DEFENSA NACIONAL
us neto
rendido
s
i mpuesto
u
rendido
us total
rendido
Local
-4
0
-4
Local
Local
0
-1
-1
-8403361
Local
Local
-13512
0
-13512
-1596639
-1596639
Local
Local
0
-2567
-2567
0
0
0
Local
Local
O
O
O
585,28
0
0
0
Local
Local
O
O
O
610,55
-3193
0
-3193
Local
Local
-5
0
-5
610,55
0
-607
-607
Local
Local
0
-1
-1
599,36
-2891
0
-2891
Local
Local
-5
0
-5
599,36
0
0
0
Banco
Banco
O
O
O
634,81
-5E+07
0
Banco
Banco
-78950
0
-78950
644,37
0
0
Banco
Banco
O
O
O
tipo rend ; tipo rend
impto
I
neto
us paridad
impuesto
neto
rendido
Impuesto
rendido
total
rendido
746,71
-3025
0
-3025
Local
746,71
0
-575
-575
621,93
-8403361
0
621,93
0
585,28
50118248
0
32
CONTRALORÍA GENERAL DE LA REPÚBLICA
DIVISIÓN DE AUDITORIA ADMINISTRATIVA
ÁREA ADMINISTRACIÓN GENERAL Y DEFENSA NACIONAL
nro
compromiso
12840
12840
fecha
compromiso
02/08/2005
02/08/2005
contratista
tipo de
gasto
vigencia
7406275
7,406,275-K
Rosa Enedina
Vásquez
Guerrero
turismo
(restauración
patri)
2005
7406275
7,406,275-K
Rosa Enedina
Vásquez
Guerrero
turismo
(restauración
patri)
2005
Turismo
(Inversiones
de apoyo
para el de
2008
Egreso
Egreso
4930
18/09/2003
72443600
72 443 600-5
"
Conama
4930
18/09/2003
72443600
72 443,600-5
Conama
Turismo
(Inversiones
de apoyo
para el de
2008
7406275
7,406,275-K
Rosa Enedina
Vásquez
Guerrero
turismo
(restauración
patri)
2005
2005
12840
02/08/2005
12840
02/08/2005
7406275
7,406,275-K
turismo
Rosa Enedina
(restauración
Vásquez
patri)
Guerrero
8160
31/12/2004
94479000
94 479 000-4
'
'
Sodimac S.a.
turismo
(restauración
patri)
2005
8160
31/12/2004
94479000
94 479,000-4
'
'
Sodimac S.a.
turismo
(restauración
patri)
2005
8280
09/06/2005
4671473
4,671,473-3
Fabián
Gómez M.
turismo
(restauración
patri)
2005
8280
09/06/2005
4671473
4,671,473-3
Fabián
Gómez M.
Turismo
(restauración
patri)
2005
75378200
75,378,200-1
Fundación
Amigos De
Las Iglesias
De Chiloé
Turismo
(restauración
patri)
2006
12343542
12 343 542-7
"
Alex Santana
Turismo
(Inversiones
de apoyo
para el de
2005
13020
6010
23/09/2004
01/06/2004
tipo
comprobante
rut
33
Egreso
CONTRALORÍA GENERAL DE LA REPÚBLICA
DIVISIÓN DE AUDITORIA ADMINISTRATIVA
ÁREA ADMINISTRACIÓN GENERAL Y DEFENSA NACIONAL
numero
fecha
comprobante comprobante e
valor
contrato
pagado
contrato
saldo
financiamiento
contrato
0
0
O
Bid - Turismo
01
Indust.,comerc.,finanz.
Y Turismo
sector
0
21/02/2003
0
21/02/2003
0
0
0
Bid - Turismo
01
Indust.,comerc.,finanz.
Y Turismo
3855
26/11/2003
0
0
0
Bid - T u rismo
02
Multisectorial
3855
26/11/2003
O
O
O
Bid - T u rismo
02
Multisectorial
0
21/02/2004
0
0
0
o
Bid - Turismo
01
Indust.,comerc.,finanz.
Y Turismo
o
21/02/2004
0
0
0
0
Bid - Turismo
01
Indust.,comerc.,finanz.
Y Turismo
0
02/04/2004
0
77870
77870
0
Bid - Turismo
01
indust.,comerc.,finanz.
Y Turismo
0
02/04/2004
0
77870
77870
0
Bid - Turismo
01
Indust.,comerc.,finanz.
Y Turismo
0
20/04/2004
0
0
0
0
Bid - Turismo
01
Indust.,comerc.,finanz.
Y Turismo
0
20/04/2004
0
0
0
O
Bid - Turismo
01
Indust.,comerc.,finanz.
Y Turismo
2
30/05/2004
1
304055205 304055205
0
Bid - Turismo
01
Indust.,comerc.,finanz.
Y Turismo
4382
28/07/2004
21086968
O
Bid - Turismo
02
Indust.,comerc.,finanz.
Y Turismo
0
21086968
34
CONTRALORÍA GENERAL DE LA REPÚBLICA
DIVISIÓN DE AUDITORIA ADMINISTRATIVA
ÁREA ADMINISTRACIÓN GENERAL Y DEFENSA NACIONAL
fecha
duracion
fecha inicio
termino
compromiso compromiso compromiso
subsector
nombre
proyecto
año
contable
Prism
Turismo
Reparación
Iglesia
Chonchi
2003
CHA-0
21/02/2004
0
21/02/2004
Turismo
Reparación
Iglesia
Chonchi
2003
CHA-0
21/02/2004
0
21/02/2004
Capacitación
Multisector"
Capacitación
Comunidades
Tramo Piloto
Sendero De
Chile- Palena
2003
CHA-0
18/09/2003
403
25/10/2004
Capacitación
Multisector"
Capacitación
Comunidades
Tramo Piloto
Sendero De
Chile- Palena
2003
CHA-0
18/09/2003
403
25/10/2004
Turismo
Reparación
Iglesia
Chonchi
2004
CHA-0
21/02/2004
0
21/02/2004
Turismo
Reparación
Iglesia
Chonchi
2004
CHA-0
21/02/2004
o
21/02/2004
Turismo
Reparación
Iglesia
Chonchi
2004
CHA-0
03/02/2005
o
03/02/2005
Turismo
Reparación
Iglesia
Chonchi
2004
CHA-0
03/02/2005
0
03/02/2005
Turismo
Reparación
San Antonio
Colo
2004
CHA-0
20/04/2004
0
20/04/2004
Turismo
Reparación
San Antonio
Colo
2004
CHA-0
20/04/2004
0
20/04/2004
Turismo
Equipamiento
Escuela De
Carpinteros.
2004
CHA-0
01/09/2004
150
29/01/2005
Turismo
Instalación
Señalética
Turística En
La Comuna
De Curaco De
Vélez
2004
CHA-0
01/06/2004
80
20/08/2004
35
CONTRALORÍA GENERAL DE LA REPÚBLICA
DIVISIÓN DE AUDITORIA ADMINISTRATIVA
ÁREA ADMINISTRACIÓN GENERAL Y DEFENSA NACIONAL
avance
fisico
inversion
real
pagado
contratista
provincia
0
-3600
-3600
Interprovincial
0
-3600
-3600
Interprovincial
Interprovincial
Intercomuna
1
_
10000000
-10000000
Palena
Chaitén
1
_
10000000
-10000000
Palena
Chaitén
0
-3600
-3600
Interprovincial
Interprovincial
Intercomuna
0
-3600
-3600
Interprovincial
0
-3800
-3800
Interprovincial
Interprovincial
Intercomuna
0
-3800
-3800
Interprovincial
Interprovincial
Intercomuna
0
-3440
-3440
Interprovincial
0
-3440
-3440
Interprovincial
-50118248
Interprovincial
Interprovincial
I ntercomuna
-6170243
Chiloé
Curaco De
Vélez
O
0
50118248
-6170243
36
comuna
Interprovincial
intercomuna
Interprovincial
intercomuna
Interprovincial
intercomuna
Interprovincial
intercomuna
CONTRALORÍA GENERAL DE LA REPÚBLICA
División Auditoría Administrativa
Área Administración General y Defensa Nacional
Descargar