informe final 199-10 subsecretaría de desarrollo regional y
Anuncio
CONTRALORÍA GENERAL DE LA REPÚBLICA División Auditoría Administrativa Área Administración General y Defensa Nacional Informe Final Subsecretaría de Desarrollo Regional y Administrativo. Fecha: 28 de diciembre de 2010. Informe N°: 199/10 CONTRALORÍA GENERAL DE LA REPÚBLICA DIVISIÓN AUDITORÍA ADMINISTRATIVA ÁREA ADMINISTRACIÓN GENERAL Y DEFENSA NACIONAL 26-111-1.921 CHILE. DAA. N° 1.858/2010 Remite Informe Final N° 199 de 2010, sobre Auditoría de Sistemas en la Subsecretaría de Desarrollo Regional y Administrativo. 2 8. Dic o SANTIAGO, *078705 Cumplo con enviar a Ud. para su conocimiento y fines pertinentes, copia del Informe Final N° 199 de 2010, con el resultado de la auditoría de sistemas practicada por un funcionario de esta División, en la Subsecretaría de Desarrollo Regional y Administrativo. Sobre el particular, corresponde que ese Servicio implemente las medidas señaladas, cuya efectividad, conforme a las políticas de esta Contraloría General sobre seguimiento de los programas de fiscalización, se comprobarán en una próxima visita a la entidad. Saluda atentamente a Ud., POR ORDEN DEL CONTRALOR GENERAL icia Arriagada Villou a JEF ABO AL SEÑOR SUBSECRETARIO DE DESARROLLO REGIONAL Y ADMINISTRATIVO PRESENTE Ref.: 217.477/2010 IVISIÓN ITORI TIVA CONTRALORÍA GENERAL DE LA REPÚBLICA DIVISIÓN AUDITORIA ADMINISTRATIVA ÁREA ADMINISTRACIÓN GENERAL Y DEFENSA NACIONAL 26 I:[ DAA. N° 1.860/2010 Remite Informe Final N° 199 de 2010, sobre Auditoría de Sistemas en la Subsecretaría de Desarrollo Regional y Administrativo. SANTIAGO, 28.D1C1 O*0 >I8701 Cumplo con enviar a Ud. para su conocimiento, copia del Informe Final N° 199 de 2010, con el resultado de la auditoría de sistemas practicada por un funcionario de esta División, en la Subsecretaría de Desarrollo Regional y Administrativo. Saluda atentamente a Ud., HAINIIIP4r.; !VII! CONTRALOR GEN AL SEÑOR MINISTRO DEL INTERIOR PRESENTE Ref 217.477/2010 1902 ZUÑIGA L E LA REPÚBLICA CONTRALORÍA GENERAL DE LA REPÚBLICA DIVISIÓN AUDITORÍA ADMINISTRATIVA ÁREA ADMINISTRACIÓN GENERAL Y DEFENSA NACIONAL 26 1:1 1927 CHILE DAA. N° 1.859/2010 Remite Informe Final N° 199 de 2010, sobre Auditoría de Sistemas en la Subsecretaría de Desarrollo Regional y Administrativo. SANTIAGO, 28.0IC 10*078706 Cumplo con enviar a Ud. para su conocimiento, copia del Informe Final N° 199 de 2010, con el resultado de la auditoría de sistemas practicada por un funcionario de esta División, en la Subsecretaría de Desarrollo Regional y Administrativo. Saluda atentamente a Ud., R ORDEN DEL CONTRALOR GENERAL cia Arriagada Villout DIVISI AL SEÑOR JEFE UNIDAD AUDITORÍA INTERNA SUBSECRETARÍA DE DESARROLLO REGIONAL Y ADMINISTRATIVO PRESENTE Ref.: 217.477/2010 Wvv- i\11 ryy,C,E9 OGADO FE NISTRATIVA IA CONTRALORÍA GENERAL DE LA REPÚBLICA DIVISIÓN DE AUDITORIA ADMINISTRATIVA ÁREA ADMINISTRACIÓN GENERAL Y DEFENSA NACIONAL PMET 13 165 INFORME FINAL N°199 DE 2010, SOBRE AUDITORÍA DE SISTEMAS EN LA SUBSECRETARÍA DE DESARROLLO REGIONAL Y ADMINISTRATIVO. SANTIAGO, 2 8 DIC. 2010 En cumplimiento del plan de fiscalización de esta Contraloría General para el año 2010, se efectuó una auditoría de sistemas en la Subsecretaría de Desarrollo Regional y Administrativo, SUBDERE, con el objetivo de revisar, entre otros aspectos, la seguridad informática. Objetivo La auditoría tuvo por finalidad revisar y evaluar aspectos que se relacionan con las políticas, normas, prácticas y procedimientos de control vinculados con los Sistemas de Tecnologías de la Información y las Comunicaciones, TIC. Metodología La revisión se efectuó en conformidad con las principales normas y procedimientos aceptados por esta Entidad Fiscalizadora, incluyendo pruebas de validación y otros medios técnicos considerados necesarios en las circunstancias. Universo y muestra El examen comprendió la revisión de normativas de las TIC, de conformidad con lo dispuesto en los decretos supremos del Ministerio Secretaría General de la Presidencia, MINSEGPRES: • N° 77 de 2004: Norma técnica sobre eficiencia de las comunicaciones electrónicas entre órganos de la Administración del Estado y entre éstos y los ciudadanos. • N° 81 de 2004: Norma técnica para los órganos de la Administración del Estado sobre interoperabilidad del documento electrónico. A LA SEÑORITA JEFA DE LA DIVISIÓN DE AUDITORÍA ADMINISTRATIVA PRESENTE /‘ ► JON D._ ',PUPA UNISTRATIVA CONTRALORÍA GENERAL DE LA REPÚBLICA DIVISIÓN DE AUDITORIA ADMINISTRATIVA ÁREA ADMINISTRACIÓN GENERAL Y DEFENSA NACIONAL • N° 83 de 2004: Norma técnica para los órganos de la Administración del Estado sobre seguridad y confidencialidad del documento electrónico. • N° 93 de 2006: Norma técnica para minimizar la recepción de mensajes electrónicos masivos no deseados en las casillas electrónicas de los Órganos de la Administración del Estado y de sus funcionarios. • N° 100 de 2006: Norma técnica para el desarrollo de sitios web de los Órganos de la Administración del Estado. Asimismo, la auditoría incluyó la revisión de controles generales y específicos implementados para los siguientes sistemas: • • • Sistema del Programa de Mejoramiento Urbano y Equipamiento Comunal - PMU. Sistema Documental. Sistema Administrativo de Gestión y Control de Presupuestos, Methasys. Resultado del examen Mediante oficio N° 65.611, del 4 de noviembre de 2010, esta Contraloría General remitió a la Subsecretaría de Desarrollo Regional y Administrativo el Preinforme de Observaciones N° 199, de 2010, con el objeto que informar respecto de las situaciones observadas, quien dio respuesta a través del oficio ordinario N° 3.833, de 2010, cuyo análisis y antecedentes aportados sirvieron de base para la elaboración del presente Informe Final. DEPARTAMENTO DE INFORMÁTICA. El Departamento de Informática, DI, de la SUBDERE, depende de la División de Administración y Finanzas, de la cual además, dependen los Departamentos de Recursos Humanos, de Planificación y Control de Gestión, y de Administración y Finanzas. El DI centra su trabajo en las labores que a continuación se señalan: • • • • • • • Redes, seguridad de las comunicaciones y servicios anexos. Soporte a usuarios (Hardware, software, servicio técnico y telefonía). Comunicaciones o Interconectividad (correo electrónico, internet, telefonía). Desarrollo de sistemas o aplicaciones (considera las mantenciones y nuevos desarrollos). Proyectos y evaluaciones. Telefonía tradicional y servicios de datos y comunicaciones GPRS. Programa de Mejoramiento de la Gestión, PMG, de Gobierno electrónico. Estas áreas son cubiertas por cuatro profesionales más la jefatura, quienes realizan en forma habitual las labores antes señaladas. El negocio del Departamento de Informática está orientado básicamente hacia la informática interna, considerando como los clientes, a los usuarios que utilizan los diversos servicios que el Departamento of ntiene. Ver detalle en Anexo N° 1. 2 CONTRALORÍA GENERAL DE LA REPÚBLICA DIVISIÓN DE AUDITORIA ADMINISTRATIVA ÁREA ADMINISTRACIÓN GENERAL Y DEFENSA NACIONAL En la actualidad existen 293 usuarios informáticos en el edificio de Morandé, pisos 7, 10, 11 y 12. Además de efectuar el soporte para el Gabinete, se agregaron 12 redes nacionales (desde la primera a la décima región, esto implica soporte de las redes, acceso a la intranet SUBDERE, creación y mantención de usuarios, junto con dar los servicios de internet y correo electrónico), soporte telefónico y remoto a 95 funcionarios de las Unidades Regionales SUBDERE, URS, señaladas. No obstante lo anterior, en lo que dice relación a la política de delegación de responsabilidades, cabe señalar que dentro de las políticas de seguridad, no existe un tópico que indique dicha acción, como tampoco, un procedimiento para ejecutar acciones de emergencia en los sistemas y los procedimientos correspondientes, de acuerdo a lo indicado por el decreto supremo N° 83 de 2004, del MINSEGPRES, en su artículo 37. 1. Procedimiento de respaldo. En lo referente a los procedimientos de respaldos, se puede señalar que no se efectúan en forma automática, tampoco se utiliza algún tipo de software especializado, ni se tiene una periodicidad predefinida para cada uno de los respaldos que deben realizarse. Es así que, éstos son efectuados por una sola persona, la cual se encarga de llevar el control de la periodicidad de acuerdo a lo que corresponda para cada caso. No obstante, los respaldos están sujetos a la disponibilidad del funcionario y no existe un subrogante oficial para cumplir dicha función. Los respaldos se encuentran ubicados en dependencias externas a la salas de servidores, sobre las cuales se pudo observar las siguientes deficiencias: a. El acceso físico al edificio y a las oficinas no cumple con las condiciones mínimas de seguridad requeridas para este tipo de dependencias, como cámaras de vigilancia y guardias, entre otros factores. b. La base de la cajonera donde se encuentran los respaldos (DVD-disco externo) no tiene fondo, ello, sumado a que no es de grandes dimensiones, permite girarla y sacar los respaldos sin necesidad de abrirla. Asimismo, es posible que ésta sea fácilmente transportable, de manera que es factible extraer el mueble completo. Cabe señalar, que en la visita a terreno se constató la pérdida de respaldos, etiquetados como "caja Respaldo CD-DVD oficina de partes 2008" (en total 9 discos), situación que, de acuerdo a lo señalado por personal del Servicio, se pudo haber producido al momento del traslado de los respaldos a las dependencias actuales, debido al daño recibido por las anteriores por el terremoto de febrero de 2010. Lo anterior, permite corroborar las deficientes medidas de seguridad implementadas para el almacenamiento de los respaldos. En su respuesta la SUBDERE reconoce que no cuenta con un equipamiento y software que permita realizar respaldos automáticos. Sin embargo, agrega que se implementó un procedimiento de respaldo manual, el cual, en síntesis, consiste en que cada encargado de sistemas entrega al funcionario información necesaria, para don Ricardo Sepúlveda, mensual o trimestral reconoce además, que si que éste haga las acciones correspondiente 3 DIV1SION DE AUDITOR1A AD 1NISTRAT CONTRALORÍA GENERAL DE LA REPÚBLICA DIVISIÓN DE AUDITORIA ADMINISTRATIVA ÁREA ADMINISTRACIÓN GENERAL Y DEFENSA NACIONAL bien es efectivo que a la fecha no existe formalmente designado un funcionario subrogante, se procederá al nombramiento oficial del funcionario titular responsable, como asimismo, del funcionario que lo subroga. Por otro lado, complementa lo indicado por esta Entidad de Control con motivo de la visita a terreno realizada, señalando que en dicha ocasión, la Unidad Regional Metropolitana se encontraba ubicada en dependencias que fueron arrendadas con posterioridad al terremoto acaecido el 27 de febrero de 2010, cuyo contrato tuvo vigencia hasta el mes de septiembre del año 2010. Añade, que actualmente estas oficinas se encuentran situadas en forma estable en dependencias del Edificio del Ministerio de Relaciones Exteriores, ubicado en calle Bandera 46, piso 5. Confirma además, que en el momento que funcionarios de la Contraloría realizaron la visita a la Unidad Regional Metropolitana, ésta no contaba con las normas mínimas de seguridad respecto del acceso. No obstante, las nuevas dependencias ofrecen las condiciones de seguridad necesarias. En relación con la cajonera, en la cual se guardaban los CD de respaldos, además de las medidas de seguridad necesarias, ésta se encuentra fijada a la pared. Respecto a la pérdida de los DVD con la información de los usuarios, el Servicio señala que el profesional a cargo de esta actividad mantiene copia de la información en otro tipo de medio magnético: disco duro externo de almacenamiento masivo en dependencias de la Subsecretaría y que además, cuenta con copia en disco duro externo de 1TB(Terabyte), ubicado en las dependencias de la Unidad Regional Metropolitana. Por lo tanto, la pérdida de estos DVD, no implica pérdida de la información, ya que se encuentra con respaldos que la hacen totalmente recuperable. Sin embargo, añade, que a fin de subsanar las observaciones formuladas por el Órgano de Control, a partir de enero del año 2011, esta Subsecretaría utilizará parte de la infraestructura del Ministerio del Interior, quienes a contar de la fecha señalada facilitarán lo necesario para realizar el respaldo de la información en forma programada y automatizada, con mayores niveles de control de cambio. Se considera respaldar: sistemas y sus bases de datos, correo electrónico e información institucional de todos los funcionarios de SUBDERE. Agrega, que a la fecha de la fiscalización, el Departamento de Informática se encontraba en pleno desarrollo del proyecto "Cambio de Plataforma SUBDERE", el cual finalizó el mes de junio de 2010. El proyecto consistió en el cambio de 17 servidores físicos hacia servidores virtuales con un sistema de réplica a nivel de storage (unidad de almacenamiento masivo) y servidor de contingencia, donde se identificaron los servicios críticos para lograr el funcionamiento en caso de desastre o catástrofe que impida operar el data center. Las medidas tomadas por el Servicio se consideran adecuadas, sin perjuicio de la validación del cumplimiento de algunas de éstas en la correspondiente visita de seguimiento. 2. Plan de Contingencia En relación con esta materia, se puede señalar que hasta la fecha de finalización de la auditoría, el Servicio no contaba con un documento sobre un plan de contingencia oficial, no obstante, de acuerdo a lo ZAGq 4 DiViSION DE frO AD hl° . <ATIVA -9 CONTRALORÍA GENERAL DE LA REPÚBLICA DIVISIÓN DE AUDITORIA ADMINISTRATIVA ÁREA ADMINISTRACIÓN GENERAL Y DEFENSA NACIONAL señalado por éste, en el marco del desarrollo del proyecto cambio de plataforma SUBDERE, se tiene considerado dicho plan. Al respecto, el Servicio señala que en el mes de junio de 2010 finalizó el proyecto "Cambio de Plataforma SUBDERE", del cual se deriva la implementación de un plan de contingencia, que se oficializará mediante el respectivo acto administrativo, el que, entre otras materias, considera la duplicidad de los servidores críticos. En el mes de marzo de 2011, el Departamento de Informática desarrollará la política de un plan de continuidad operacional de los servicios críticos. La aplicación del señalado plan de continuidad operacional será verificada en la próxima visita a la Entidad. 3. Control interno Se estableció que en la actualidad no se cuenta con personal idóneo para la revisión de los temas relacionados con las Tecnologías de la Información, como tampoco existe una periodicidad en la ejecución de este tipo de exámenes. En su respuesta, la SUBDERE señala que en la actualidad se encuentra en proceso de formalización, la formación de un Comité Informático, de carácter inter-divisional, el cual tendrá incidencia y opinión respecto a todas las iniciativas TIC que pudieran levantar unidades o departamentos de la Institución. Asimismo, permitirá establecer mejoras en los planes y nuevos proyectos en el ámbito de las TIC y desarrollará las bases para mejorar las actuales políticas informáticas en los ámbitos de desarrollo y seguridad informática. Las medidas señaladas por el Servicio, serán materia de revisión por parte de esta Entidad de Control, en una próxima visita. 4. Otras Si bien es cierto que se informa a los usuarios los aspectos informáticos necesarios a través de correo electrónico masivo, y mensajes Pop-UP enviados directamente a los propios equipos, no existe un registro histórico de mensajes y/o instrucciones referentes al manejo, uso y cuidados que deben tener los funcionarios al momento de usar TIC, al cual se pueda acceder en caso de tener alguna consulta. Por otro lado, se estableció que no existe, necesariamente, una dependencia del Departamento de Informática respecto de los sistemas existentes al interior del Servicio, es decir, una unidad podría implementar un sistema informático en el cual, dicho Departamento, no haya participado ni siquiera como contraparte técnica. Sobre el particular, el Servicio responde que, cabe consignar que las normas sobre esta materia se encuentran en el documento oficial "Políticas de Uso de los Recursos Informáticos y de la Infraestructura de Red en SUBDERE y Regiones", no obstante, corresponderá al Comité Informático adoptar nuevas medidas para normar el buen uso de los recursos inf•áticos por parte de los funcionarios. 5 CONTRALORÍA GENERAL DE LA REPÚBLICA DIVISIÓN DE AUDITORIA ADMINISTRATIVA ÁREA ADMINISTRACIÓN GENERAL Y DEFENSA NACIONAL Se mantiene la observación, en tanto el comité Informático no adopte las medidas correspondientes. II. PROGRAMA DE MEJORAMIENTO URBANO Y EQUIPAMIENTO COMUNAL — PMU 1. Descripción general del sistema El PMU es una fuente de financiamiento del Ministerio del Interior, administrado por la SUBDERE, que es utilizado para programas y proyectos de inversión en infraestructura menor urbana y equipamiento comunal, adicionalmente, busca colaborar en la generación de empleo y en el mejoramiento de la calidad de vida de la población más pobre del país. Su dependencia es de la División Municipalidades de la SUBDERE. 2. Control de acceso Respecto al control de acceso de este sistema, en lo que atañe al decreto supremo N° 83 de 2004, del MINSEGPRES, en sus artículos 37g y 37 f, se puede señalar lo siguiente: a. No se encuentran documentadas las políticas de control de acceso al sistema. b. No existe un procedimiento formal para eliminar usuarios, no obstante, cuando el administrador se entera que un funcionario no utilizará el sistema (por cambio de funciones o desvinculación de la institución), es deshabilitado. Por otro lado, se presenta la situación de que existen usuarios fuera de la institución, como municipios y gobiernos regionales, para los cuales el seguimiento de los usuarios activos es compleja, presentando un riesgo para la seguridad de la información. c. No se encontró registro de la existencia de una verificación y/o remoción periódica de las cuentas redundantes. d. La Dirección no cuenta con un proceso formal y frecuente de revisión de permisos de acceso de los usuarios, el cual, de acuerdo a lo señalado por el mencionado decreto, debiera de tener una frecuencia de revisión de 6 meses para usuarios normales y 3 meses para los con permiso de administrar y/o eliminar. e. Pese a existir una revisión de los registros de errores importantes en el sistema, éste no se encuentra documentado ni existe una periodicidad predeterminada. Ahora bien, en lo que dice relación con el artículo 28, las deficiencias son: f. Cuando se crea un usuario, éste no es obligado en el primer ingreso al sistema a cambiar inmediatamente su contraseña temporal inicialmente otorgada. g. Del mismo modo, no se encuentra habilitado el cambio de contraseñas a intervalos regulares. Tampoco el registro histórico de contraseñas, para evitar la reutilización de contraseñas antiguas. 6 CONTRALORÍA GENERAL DE LA REPÚBLICA DIVISIÓN DE AUDITORIA ADMINISTRATIVA ÁREA ADMINISTRACIÓN GENERAL Y DEFENSA NACIONAL En su respuesta el Servicio señala que para efectos de subsanar lo observado en los puntos a, b y e, se elaborará un manual de procedimiento durante el primer semestre del año 2011. En lo que dice relación al punto c, se establecerá un calendario para la verificación. Agregando, que es necesario precisar que la remoción de cuentas debe considerar la historia de éstas en el sistema. Para lo indicado en el punto d, la SUBDERE señala que se elaborará un manual de procedimiento en marzo de 2011 y establecerá la periodicidad para la revisión y auditoría de las tablas de acceso, como asimismo para la revisión de permisos no autorizados. Las fechas de revisión serán calendarizadas. Además, manifiesta que las instrucciones respecto a lo observado en el punto f, forman parte de la política institucional y se adecuarán técnicamente al Sistema de Autentificación para el primer semestre del año 2011. En cuanto a lo observado en el punto g, se realizarán las acciones pertinentes a partir de marzo de 2011. De acuerdo a lo anteriormente expuesto, se mantienen las observaciones, hasta que el Servicio implemente las medidas enunciadas. 3. Integridad del sistema Sobre esta materia, cabe señalar que en el registro de usuarios vigentes de PMU se encontraron 50 de éstos, con el dígito verificador del RUT inválido. Dichos antecedentes se listan a continuación. RUT 3118158 4333287 5282693 5409966 5589926 6045837 6447610 6638538 6735099 6772216 6843649 6853775 7020915 7346861 7486497 7881062 8050568 8074889 8424799 8478288 8918022 DV según Sistema DV según algoritmo SRCeI 8 k 8 K k 6 9 2 8 4 0 0 5 k 4 k 7 0 9 0 4 5 2 4 5 6 5 6 8 5 7 4 4 2 2 K 9 K 2 5 2 8 Nombre Pf nombre Luis Ramón Minardi de La Torre Operador PMU Municipal Isabel Ivonne Morales Urra Operador PMU Municipal Operador PMU Municipal Héctor Figueroa Ramírez Miguel Silva Rodríguez Visador de Proyectos PMU Sergio Galilea Ocón Visador de Proyectos PMU Patricio Negrón Ríos Visador de Proyectos PMU Jorge Núñez Rius Operador PMU Municipal Nelson Águila Serpa Operador PMU Municipal José Enrique Neira Neira Operador PMU Municipal Jorge Herrera Valderrama Operador PMU Municipal Manuel Jesús Vera Delgado Operador PMU Municipal María Angélica Vega Pinto Operador PMU Municipal Rudecinda Galáz Ortiz Operador PMU Municipal Gloria Aliaga Segura Operador PMU Municipal Fernando Callahan Giddings Operador PMU Municipal Luisa Cumian Rival Operador PMU Municipal Leonardo Cañoles Manríquez Visador de Proyectos PMU José Guerrero Venegas Operador PMU Municipal Emilio Rafael González Burgos Operador PMU Municipal Igor Garafulic Olivares ,-3 ,pádor de Proyectos PMU Luis Reyes Alvarez ,„-----60jádor PMU Municipal 7 CONTRALORÍA GENERAL DE LA REPÚBLICA DIVISIÓN DE AUDITORIA ADMINISTRATIVA ÁREA ADMINISTRACIÓN GENERAL Y DEFENSA NACIONAL RUT 9069574 9372309 9698188 10599452 10669087 10690177 10740976 11212325 11231218 11233431 11496936 11956048 12183888 12366266 12775165 12787232 12870969 13171055 13292362 13315206 13349717 13398353 13454866 13733369 14051784 14403699 15318699 15331355 16125137 DV según Sistema 5 5 8 6 k 2 8 9 k 3 7 3 8 8 0 k 9 4 4 1 6 3 0 k k 0 0 6 0 DV según algoritmo SRCeI 6 0 0 4 1 5 9 3 8 9 2 9 5 0 K 5 K 0 0 7 K 8 5 4 4 9 5 5 2 Pf nombre Nombre Operador PMU Municipal Operador PMU Municipal Operador PMU Municipal Operador PMU Municipal Operador PMU Municipal Operador PMU Municipal Operador PMU Municipal Operador PMU Municipal Operador PMU Municipal Operador PMU Municipal Operador PMU Municipal Operador PMU Municipal Operador PMU Municipal Operador PMU Municipal Operador PMU Municipal Operador PMU Municipal Operador PMU Municipal Operador PMU Municipal Operador PMU Municipal Operador PMU Municipal Operador PMU Municipal Operador PMU Municipal Operador PMU Municipal Operador PMU Municipal Operador PMU Municipal Operador PMU Municipal Operador PMU Municipal Operador PMU Municipal Operador PMU Municipal Ricardo Donoso Núñez Yéssica Sprohnle Becerra Fredy Antonio Barrueto Viveros Valeria Arancibia Jaque Luis del Carmen Zasso Paoa Margarita Jiménez Jiménez Limbana Améstica Roque Dimitri Riquelme Arellano Isabel Martínez Rojas Rafael Valenzuela Díaz Marisol Hernández Astete Sandro Ismael Norambuena Ríos César Escobar Jorquera Guillermo Hernán Reyes Vidal Yolanda Catalán Marin Claudio Pucher Lizama Paula Carrión Henríquez Lorena Choque Condore Erick Rodrigo Mercado Catalán Carlos Chaer Cosloski Paulina Donoso Pavez Wilson Monzón Riquelme Eduardo Poblete Aedo Viviana Torres Torres Mario Arturo Santelices Urrea Miguel Vargas Henríquez Mirta Cecilia Barría Mella Carla Valenzuela Ríos Eduardo Andrés Jara Núñez El Servicio indica en su respuesta, que esta circunstancia se produjo como consecuencia de una carga masiva realizada a la base de datos al inicio de la marcha blanca del sistema. Actualmente, se debe ingresar por el "Módulo de Administración del Sistema", donde se valida el dígito verificador, evitando errores e inconsistencia de datos. Los antecedentes entregados por la SUBDERE, no permiten dar por superada la observación, toda vez que no se señalan acciones para regularizar lo observado. Asimismo, se pudo observar duplicidad de una cuenta, según se indica: Lo gin Nombre 12118629 Verónica 12118629 Verónica Apellido Paterno Muñoz Muñoz Apellido Materno Labbé Labbé RUT DV pf nombre 12118629 12118629 2 2 Visador de Proyectos PMU Visador de Proyectos PMU Al respecto, el Servicio informa que en la revisión del administrador de la Base de Datos, se eliminó la duplicidad. Lo anterior, permite dar por superada la observación. #1.AGitc, 8 CONTRALORÍA GENERAL DE LA REPÚBLICA DIVISIÓN DE AUDITORIA ADMINISTRATIVA ÁREA ADMINISTRACIÓN GENERAL Y DEFENSA NACIONAL Por otro lado, en la tabla de marcha blanca, además de no tener información respecto al DV del RUT, se pudo observar falta de validación de los mismos de acuerdo al algoritmo del "módulo 11" utilizado por el Servicio de Registro Civil e Identificación, dada la inconsistencia en 6 RUT, los cuales se presentan a continuación. NOMBRE ALDR¿?N GINO GINO GINO FERNANDO APELLIDO PATERNO MARTOQ SALGUERO ARMIJO ALBORNOZ MATELUNA APELLIDO MATERNO AHUMADA IPINZA ARMIJO ALBORNOZ MATELUNA ROLES Ciudadano Ciudadano Ciudadano Ciudadano Ciudadano RUT 1 2 4 5 6 FECHA REGISTRO 2009-03-21 2009-03-21 2009-03-21 2009-03-21 2009-03-21 MUNICIPALIDAD I.M. de Putre I.M. de Conchalí I.M. de Chillán I.M. de Cerrillos I.M. de La Ligua Sobre el particular, la SUBDERE señala en su respuesta que la tabla de "marcha blanca" presentada, no corresponde al sistema PMU auditado, ya que éste no maneja Roles Ciudadano. Respecto al párrafo precedente, se debe señalar que esta Entidad de Control referenció las tablas con el nombre que el propio Servicio le indicó, por ende, se mantiene la observación. III. SISTEMA DE GESTIÓN DOCUMENTAL. 1. Descripción general del sistema. Este sistema es utilizado para el manejo de toda la documentación interna y externa del Servicio, utiliza firma electrónica simple y avanzada, asimismo, permite la refrendación de algunos actos administrativos como resoluciones o decretos. Cabe precisar, que el sistema funciona en directa relación con la cuenta de correo electrónico y para su administración, depende de la División de Administración y Finanzas. 2. Control de acceso. Como se indicó, el sistema de gestión documental, trabaja en conjunto con la cuenta de correo electrónico, por lo tanto, las deficiencias que se mencionan a continuación son aplicables para ambos casos. En lo que atañe al decreto supremo N° 83, de 2004, del MINSEGPRES, en sus artículos 37g y 37 f, se puede señalar: a. No se encuentran documentadas las políticas de control de acceso. Al respecto, la SUBDERE responde que el Departamento de Informática, en conjunto con la unidad TIC de la División de Administración y Finanzas, elaborarán el documento a más tardar en el mes de enero del año 2011. Se validarán—i?s, medidas adoptadas por el ora. Servicio, en una próxima visita de esta Enti •zr DIVISION DE L. 1.-. AUDITORIA r 01 'ADMINISTRA O CONTRALORÍA GENERAL DE LA REPÚBLICA DIVISIÓN DE AUDITORIA ADMINISTRATIVA ÁREA ADMINISTRACIÓN GENERAL Y DEFENSA NACIONAL b. No existe un procedimiento formal para eliminar usuarios, no obstante, cuando el administrador se entera que un funcionario no utilizará el sistema (por cambio de funciones o desvinculación de la institución), éste es deshabilitado. Sobre el particular, el Servicio señala que los funcionarios no pueden ser eliminados del sistema por cuanto de esta manera se conserva la historia de los actos administrativos que pueden servir de base para la determinación de eventuales responsabilidades administrativas, los cuales son resguardados en su repositorio documental durante un período mínimo de 5 años. En virtud de los señalado precedentemente, el procedimiento utilizado es la desvinculación o deshabilitación, el cual se efectúa con el mérito de la información que entregan los sistemas informáticos existentes, como: Reloj Control, Control de Asistencia, Sistema documental (días administrativos y vacaciones), Cometidos Funcionales, Personal (Licencias Médicas, Cursos y Otros). Los antecedentes aportados no permiten dar por superada la observación, por cuanto, en los sistemas informáticos señalados, no se observa un procedimiento formal establecido en caso de desvinculación o deshabilitación de usuarios. c. No existe una verificación ni remoción periódica de las cuentas redundantes. Sobre la materia, la SUBDERE aclara que el Departamento de Informática cuenta con un software denominado OPENLDAP, el cual no permite mantener cuentas redundantes. De hecho, cuando el funcionario se autentifica o conecta a la red SUBDERE, su usuario y contraseña claves son únicas e irrepetibles. Como parte de la política de desarrollo, todo sistema debe autenticarse contra ese servicio. Lo anterior, permite dar por superada la observación. d. La Dirección no cuenta con un proceso formal y frecuente de revisión de permisos de acceso de los usuarios, 6 meses para usuarios normales y 3 meses para los con permiso de administrar y/o eliminar. El Servicio indica en su respuesta, que el Departamento de Informática implementará los procedimientos necesarios para desarrollar los procesos formales y frecuentes de revisión de permisos de accesos a los usuarios, a contar del mes de marzo de 2011. La observación se mantiene, en tanto el Servicio no implemente tales medidas. e. No se revisan los registros de errores importantes del sistema, para asegurar que éstos se resuelvan satisfactoriamente. Al respecto, la SUBDERE señala que cuenta con dos profesionales, don Mauricio Romo y don Mauricio Núñez, quienes son responsables de las labores de soporte y mantención del sistema documental y además, deben velar por el correcto funcionamiento -iVaititétfciones correctivas, 10 DIVISION DE AliDi7ORIA AOLQNIS CONTRALORÍA GENERAL DE LA REPÚBLICA DIVISIÓN DE AUDITORIA ADMINISTRATIVA ÁREA ADMINISTRACIÓN GENERAL Y DEFENSA NACIONAL tanto para software como para Hardware. Indica que los mecanismos para determinar las fallas del sistema, consisten en que las transacciones realizadas diariamente son revisadas por los encargados de mantener el sistema y se almacenan en un LOG, que es un archivo plano que registra cada una de las transacciones realizadas sobre las bases de datos que intervienen en el SGDOC. No obstante lo anterior, se encuentra en proceso de implementación un software denominado NAGIOS, cuya función es el monitoreo proactivo de servicios y servidores dependiendo de la capa en que aplique el protocolo. El objeto es recoger y corregir los registros de errores. En una próxima visita de esta Contraloría General, se verificará la implementación del software NAGIOS, oportunidad en que se ponderará la observación. f. En relación a los errores y acciones de usuarios, no existe un registro de la persona que los gatilló. Como respuesta a esta observación, el Servicio indica que, mediante la revisión diaria al LOG de transacciones, se determina cuando existe un error en el sistema. Si bien no existe registro de la sesión del usuario, es posible la identificación del script que presentó la inconsistencia y en qué línea de la codificación se encuentra el problema. El usuario es identificado a través de los canales vía correo electrónico y asimismo, en forma presencial se identifica al usuario que representa el problema. Los antecedentes entregados, permiten dar por superada la observación. En lo concerniente al artículo 28, las deficiencias son las siguientes: g. Cuando se crea un usuario, éste no es obligado en el primer ingreso al sistema, a cambiar inmediatamente su contraseña temporal inicialmente otorgada. Al respecto el Servicio menciona que el Departamento de Informática actualizará los procedimientos para subsanar las observaciones realizadas en el mes de marzo de 2011. No obstante lo anterior, en el capítulo 13.9 de las actuales políticas informáticas, se informa sobre el uso de la herramienta de servicio OPENLDAP (protocolo de acceso a directorios ligeros), que cumple la función de centralizar las cuentas de accesos a los servicios TIC de la SUBDERE. La comprobación de la actualización de los procedimientos antes mencionados, será materia de una próxima visita de auditoría. h. Del mismo modo, no se encuentra habilitado el cambio de contraseñas a intervalos regulares, ni tampoco el registro histórico de contraseñas, para evitar la reutilización de contraseñas antiguas. El Servicio señala que se generarán los procedimientos para subsanar las observaciones realizadas en el mes de marzo de 2011, para ello se utilizará una herramienta que se conectará al servicio OPENLDAP, que centraliza las cuentas de accesos a los servicio e , de - UBDERE. 11 • 4 DE y 1 opv, 1 IN "illlx■ rv:¿./ CONTRALORÍA GENERAL DE LA REPÚBLICA DIVISIÓN DE AUDITORIA ADMINISTRATIVA ÁREA ADMINISTRACIÓN GENERAL Y DEFENSA NACIONAL Los procedimientos a implementar por el Servicio, serán validados en una próxima auditoría. Finalmente, se observó que no existe un registro formal de auditorías, de integridad de los registros del sistema, en conformidad a lo señalado en el artículo 23 del mencionado decreto supremo. La SUBDERE agrega que no cuentan con mecanismos que les permitan verificar la integridad de los datos contenidos en un expediente. Por otro lado, señala que respecto a las observaciones formuladas al Sistema de Gestión Documental, cabe consignar que se dictará la Resolución Administrativa correspondiente, al tenor de lo dispuesto en los artículos 37g y 37f del decreto supremo N° 83, de 2004, que reglamente las observaciones formuladas por el Órgano de Control. La emisión de dicha resolución y su implementación, será validada por esta Entidad Fiscalizadora, en la próxima visita al Servicio. IV. SISTEMA ADMINISTRATIVO DE GESTIÓN Y CONTROL PRESUPUESTARIO — METHASYS 1. Descripción general del sistema El Sistema Administrativo de Gestión y Control Presupuestario fue desarrollado por la empresa Methasys Limitada, a través de un contrato de adquisición de licencias de uso del sistema, según resolución N°1.355, del 26 de septiembre de 2003, de la SUBDERE. El Sistema registra la información financiera contable de los proyectos que llevan los diversos créditos, es un sistema cliente servidor, desarrollado en Visual Fox Pro, que depende de la División Desarrollo Regional. El relación al presente acápite, la SUBDERE señala que el uso de dicho Sistema Methasys se encuentra en etapa de término, por cuanto desde el mes de enero de 2010 se puso en funcionamiento paralelo el nuevo sistema denominado SUBDERE ON LINE, módulo programas de Inversión Regional, el cual desde enero de 2011 será, oficialmente, la nueva herramienta que se utilizará para llevar el control del gasto de los programas financiados por entidades crediticias. Indicando además, que este nuevo sistema subsana gran parte de las observaciones mencionadas más adelante. La implementación del sistema SUBDERE ON LINE, será revisado en una próxima visita a la Entidad. 12 CONTRALORÍA GENERAL DE LA REPÚBLICA DIVISIÓN DE AUDITORIA ADMINISTRATIVA ÁREA ADMINISTRACIÓN GENERAL Y DEFENSA NACIONAL 2. Control de acceso. Respecto al control de acceso del sistema Methasys, en lo que dice relación al decreto supremo N° 83, de 2004, del MINSEGPRES, en sus artículos 37g y 37f, se observó: a. Inexistencia de políticas de control de acceso documentadas. b. No existe un procedimiento formal para eliminar usuarios, no obstante, de acuerdo a lo señalado por el Servicio, cuando el administrador se entera que un funcionario no utilizará el sistema (por cambio de funciones o desvinculación de la institución), éste es deshabilitado. Posteriormente, en aproximadamente 3 meses, el usuario es eliminado. c. No están oficializadas las políticas de segregación de funciones, ni existe una verificación ni remoción periódica de las cuentas redundantes. d. El Servicio no cuenta con un proceso formal y frecuente de revisión de permisos de acceso de los usuarios. e. No se revisan los registros de errores importantes del sistema, de modo de validar que éstos se resuelvan satisfactoriamente. f. En relación a la configuración de la contraseña, pese a ser alfanumérica, no posee restricción de largo mínimo. g. No existe un registro histórico de contraseñas. h. No existe un procedimiento formal que recupere la condición inicial antes de efectuar los cambios, en caso de presentarse cambios no exitosos. i. Inexistencia de un procedimiento formal/oficial para eliminar usuarios. Tampoco existe registro de que se retiren inmediatamente los permisos de acceso de los usuarios a quienes cambiaron de función o dejaron la organización. J. No se observó la existencia de un proceso formal y frecuente de revisión de permisos de acceso de los usuarios. k. No existe un registro de los errores que ha efectuado el usuario dentro del sistema, por lo menos para los usuarios con privilegios especiales. I. Tampoco existe un registro de las acciones realizadas por el usuario dentro del sistema, por lo menos para los usuarios con privilegios especiales. Respecto a las observaciones formuladas en los puntos a, b, c, d, h, i y j, el Servicio responde que para efectos de subsanar dichas observaciones, se elaborará un manual de procedimiento durante el primer semestre del año 2011. En relación con la observación del punto e, la SUBDERE indica que la aplicación no cuenta con registro de errores, pero de todas formas se realizan chequeos de integridad del sistema. En cuanto a los puntos f y g, en su respuesta el Servicio señala que con el nuevo sistema SUBDERE ON LINE, se implementarán los cambios necesarios para la configuración de contraseñas, así como un registro de ellas. 13 CONTRALORÍA GENERAL DE LA REPÚBLICA DIVISIÓN DE AUDITORIA ADMINISTRATIVA ÁREA ADMINISTRACIÓN GENERAL Y DEFENSA NACIONAL Sobre lo señalado en los puntos k y I, la Entidad indica que el nuevo sistema SUBDERE ON LINE incluirá un registro de uso, en el cual se podrán monitorear errores producidos por los usuarios. Dado lo señalado por el Servicio, se mantienen las observaciones, para ser validadas por una próxima visita de esta Entidad de Control. Ahora bien, en lo que dice relación con el artículo 28 del decreto supremo N° 83, del MINSEGPRES, las deficiencias son: m. Cuando se crea un usuario, éste no es obligado a cambiar inmediatamente su contraseña temporal, inicialmente otorgada en el primer ingreso al sistema. n. Además, no se encuentra habilitado el cambio de contraseñas a intervalos regulares, ni tampoco el registro histórico de éstas, para evitar la reutilización de las mismas. En relación con lo indicado en los puntos m y n, la SUBDERE en su respuesta, menciona que para acceder al sistema existen 2 instancias donde el usuario se debe validar para ingresar: escritorio remoto y Methasys, la primera validación, exige modificar su clave en el primer acceso y periódicamente debe cambiarse. Los antecedentes entregados por el Servicio, permiten dar por subsanada la observación. 3. Integridad del sistema Sobre la materia, se estableció que existen a lo menos 63 registros con fechas erróneas, respecto de las cuales se observó que no existe una validación, cualquiera sea la fecha ingresada. Como se puede observar en el Anexo N° 2, el listado de contratistas o proveedores, no tiene campos obligatorios mínimos para permitir la identificación única de algún registro, tales como RUT y Nombre. Asimismo, se constató la ausencia de validación del RUT, a través del algoritmo de cálculo del "modulo 11". Al respecto, la SUBDERE responde que en el sistema se ingresan fechas pasadas, presentes y futuras, utilizando formato único de ingreso, por lo tanto, la única validación es visual, a través del contador nivel central en el momento de autorizar compromisos y pagos. Para la creación de nuevos contratistas o proveedores, la aplicación cuenta con un validador de RUT y campos mínimos obligatorios. Sin embargo, una carga inicial de datos en el año 2005, trajo información desde todos los Gobiernos Regionales, la cual no puede ser eliminada. No obstante, agrega, la condición no interfiere con el buen funcionamiento de la herramienta. Los antecedentes entregados no permiten dar por superada la observación. DMSION DE AUDITORIA ADMINISTRATIVA 14 CONTRALORÍA GENERAL DE LA REPÚBLICA DIVISIÓN DE AUDITORIA ADMINISTRATIVA ÁREA ADMINISTRACIÓN GENERAL Y DEFENSA NACIONAL De igual forma, se verificó que pese a la existencia de un procedimiento de control de cambio, éste no se encuentra oficializado. Respecto al control de cambios, el Servicio señala que se considerarán en políticas y procedimientos, ya mencionados. Como ya se señaló, se mantendrá la observación hasta que se validen las políticas y procedimientos indicadas por la SUBDERE. Por otro lado, se determinó que al momento de ingresar un nuevo pago, se modifica la información de todos los pagos referentes al saldo del contrato, y no sólo la concerniente al desembolso. La SUBDERE en su respuesta señala que, el saldo del compromiso, tiene por finalidad mostrar el control de los estados de pagos asociados a un contrato. Agrega, que al reflejarse el saldo por cada estado de pago, ayuda al seguimiento del contrato vinculado a la tipología de una matriz de financiamiento. Esto sirve para efectos de controlar una cartera de proyectos de una región, solicitudes de rendiciones y por último, para reportar un estado de inversión acumulado, que da cuenta como una radiografía del momento actual del crédito. Añade, que de ninguna manera los estados de pago son modificados, ya que son copia fiel del registro contable que efectúan los Gobiernos Regionales, que por lo demás, se valida en procesos por la Contraloría al contrastar la información de los GORES v/s el sistema vigente que utilizan. Adiciona, que la información contenida en sus bases es validada por la Contraloría General de la República con la toma de muestras, que son los respaldos físicos reportados por nuestras Unidades Regionales v/s los originales emanados de los GORES. Los antecedentes aportados por el Servicio, permiten dar por superada la observación. Asimismo, se observó que las eliminaciones efectuadas en el Sistema no quedan registradas. Al respecto, el Servicio indica que las eliminaciones del sistema sólo se pueden realizar antes de su aprobación, una vez aprobada o autorizada no es posible cursar eliminaciones, en todo caso, todo lo eliminado queda marcado en sus bases de datos correspondientes, pudiendo ser identificado solo por el administrador del sistema. Los antecedentes entregados, permiten dar por levantada la observación, no obstante la SUBDERE deberá mantener a disposición de esta Contraloría General, los registros de las eliminaciones. Otro aspecto observado, dice relación con que no existe registro del proceso de migración de los datos al momento de la puesta en marcha del actual Sistema. 15 CONTRALORÍA GENERAL DE LA REPÚBLICA DIVISIÓN DE AUDITORIA ADMINISTRATIVA ÁREA ADMINISTRACIÓN GENERAL Y DEFENSA NACIONAL De acuerdo a lo indicado en su respuesta, la SUBDERE señala que se migraron datos sólo del programa PIRDT al nuevo sistema, los cuales están siendo validados tanto a nivel central como Regional. Las validaciones y procesos de migración realizados por el Servicio, será materia de revisión en una próxima auditoría. 3.1 Cuentas de Usuario El listado de usuarios del sistema cuenta con el campo RUT, sin embargo, se encuentra vacío. La solución a esta observación de acuerdo a lo indicado por el Servicio en su respuesta, será subsanada con la puesta en operación del Sistema SUBDERE ON LINE. Con la implementación del nuevo sistema, se validará la solución planteada, en tanto, se mantiene la observación. En el caso de los usuarios con el privilegio de "ARRASTRE DE PROYECTOS", y de acuerdo a lo señalado por el Servicio, tenían una vigencia durante el mes de enero, no obstante, en una revisión del listado de usuarios actualizado a julio de 2010, se observó que los registros fueron eliminados, en lugar de modificar su estado a cuenta inactiva. Los registros se indican a continuación. Login CGONZALEZ2 ETORRES2 MPENA2 PBARAHONA2 RROMO2 SMENENDEZ2 Nombre usuario Apellido Usuario GONZÁLEZ TORRES PEÑA BARAHONA ROMO MENÉNDEZ CARMEN ERNESTINA MIGUEL PAOLA RODRIGO SANDRA En lo referente a las cuentas eliminadas y no puestas en estado inactiva, el Servicio señala en su respuesta que esto se debe a que no existe dicha opción, no obstante, el nuevo sistema también lo tiene considerado. Al igual que en el caso anterior, no se puede dar por superada la observación, dado que la solución depende de un sistema que se está implementando. 3.2 Reporte de sistemas Los reportes del sistema entregan valores monetarios negativos. Ver un caso en Anexo N° 3. Sobre el particular, la SUBDERE señala en su respuesta, que tales valores corresponden a ajustes realizados a algún estado de pago por distintas situaciones, entre ellas, un er • en fecha, digitación, etc. Los ajustes se producen una vez realizadas las a entidades crediticias o z. 16 DIVISION DE AUDITORIA t`' PQMi 1 1STRAT A O CONTRALORÍA GENERAL DE LA REPÚBLICA DIVISIÓN DE AUDITORIA ADMINISTRATIVA ÁREA ADMINISTRACIÓN GENERAL Y DEFENSA NACIONAL estados financieros, los cuales pueden tener errores, debiendo rectificar con valores negativos. Los antecedentes entregados por el Servicio permiten dar por superada la observación. En lo que dice relación al control de cambios, se puede indicar que pese a existir un procedimiento, éste no es formal y se observaron deficiencias. A modo de ejemplo, muchas veces se solicita una funcionalidad específica para el sistema, pero ésta es usada por un determinado período. Posteriormente, ésta queda en el sistema, presentando información incompleta, que lleva a emitir juicios erróneos. Respecto a este punto, el Servicio indica que, efectivamente, se realizan cambios al sistema, los cuales son usados de acuerdo a las necesidades de las nuevas jefaturas. Por ejemplo: nuevos campos a utilizar, éstas quedan en el sistema durante el tiempo, ya que las modificaciones son acumulativas, pero no afectan el buen funcionamiento de la aplicación y cada usuario está capacitado e informado periódicamente de cuáles son los módulos que debe poblar. Los antecedentes entregados por el Servicio no permiten dar por superada la observación. Se observó además, en el listado de contratistas, la existencia del RUT de éstos, pero no el DV correspondiente, situación que no permite validar el RUT existente en ese campo. La SUBDERE, en referencia al listado de contratistas, señala que si existe dígito verificador y que la herramienta si cuenta con validador de RUT. Los antecedentes aportados no se condicen con lo observado por la Comisión Fiscalizadora, lo que no permite dar por superada la observación. 3.3 Otros En el contrato con la empresa Methasys Limitada, no existe una cláusula que permita asegurar la devolución o destrucción de la información y bienes al final del mismo, o en su defecto, de común acuerdo, en una fecha durante la vigencia del mismo. Se mantiene la observación, debido a que el Servicio no se pronunció al respecto. V. SOBRE INCUMPLIMIENTO DE DECRETOS SUPREMOS DE GOBIERNO ELECTRÓNICO 1. Decreto supremo N° 77, de 2004, MINSEGPRES No se pudo compro_bar—la, existencia de un ministro de fe, el cual, al momento de realizar los resíe0C/ 1113 suales de las / DIVISION DE VNI ORRAITA 1,1b) AD1,4A i 17 A trk CONTRALORÍA GENERAL DE LA REPÚBLICA DIVISIÓN DE AUDITORIA ADMINISTRATIVA ÁREA ADMINISTRACIÓN GENERAL Y DEFENSA NACIONAL comunicaciones electrónicas contenidas en el repositorio, debería firma el respaldo con firma electrónica avanzada, según lo indicado en el artículo 7. El Servicio en su respuesta, indica que el artículo 24 de la Ley N° 18.575, Orgánica Constitucional de Bases de la Administración del Estado, cuyo texto refundido coordinado y sistematizado fue aprobado por el DFL-1 / ley N°19.653, previene que los Subsecretarios, entre otras funciones, tienen el carácter de Ministro de Fe. En consecuencia, se procederá a delegar esta función en un funcionario profesional de planta que éste designe, mediante el respectivo acto administrativo. Los antecedentes entregados por el Servicio permiten dar por superada la observación. 2. Decreto supremo N° 81, de 2004, MINSEGPRES No se observaron incumplimientos de los artículos de este decreto. 3. Decreto supremo N° 83, de 2004 MINSEGPRES 3.1 Control de bienes. En relación con este punto, no se observó la existencia de un registro que clasifique y etiquete los sistemas informáticos para indicar la necesidad, prioridad y grado de protección, según lo señala el artículo 13. Asimismo, no existe un inventario de los bienes importantes asociados a cada sistema de información, el cual identifique claramente, entre otros elementos, los bienes, sus dueños, clasifica su importancia y especifica su ubicación actual, de acuerdo a lo mencionado en el artículo 37c. El Servicio en su respuesta, indica que el Departamento de Informática cuenta con un registro de los sistemas informáticos debidamente clasificados, no obstante lo anterior, para el mes de enero de 2011 ajustará las observaciones realizadas respecto de la norma Chilena 2777. Los antecedentes puestos a disposición de esta Entidad de Control por la SUBDERE, permitieron dar por superada la observación. 3.2 Control de cambios. Según lo señalado en el decreto supremo que regula la materia, en el Servicio no se da cumplimiento a los siguientes artículos: • Artículo 22: Pese a que los funcionarios tienen una idea general de dónde solicitar ayuda, no existe información oficial y publicada de los contactos de apoyo, ante dificultades técnicas u operaci -inesperadas de sistemas informáticos. 18 CONTRALORÍA GENERAL DE LA REPÚBLICA DIVISIÓN DE AUDITORIA ADMINISTRATIVA ÁREA ADMINISTRACIÓN GENERAL Y DEFENSA NACIONAL La SUBDERE señala en su respuesta, que desde el mes de marzo de 2010 se implementó un procedimiento que permite a los funcionarios de la Institución solicitar asistencia o soporte utilizando como medio el Sistema de Gestión Documental (SGDOC), a través del cual se remite el requerimiento al soporte usuario. Agrega, que el procedimiento fue informado, publicado en la lntranet y con correos masivos. Hasta el mes de junio, se habían desarrollado 700 requerimientos. Los antecedentes entregados por el Servicio permiten dar por superada la observación. • Artículo 24: De acuerdo a lo señalado por el Servicio, no se prueba la efectividad de los equipos de respaldo, al menos cada dos años como lo señala el artículo. La SUBDERE en su respuesta reconoce que, efectivamente, no se cuenta con equipos de respaldo. Sin embargo, se acordó con la División Informática del Ministerio del Interior, utilizar parte de su infraestructura (hardware, software y procedimientos) para ser implementada durante el mes de enero de 2011. • Artículo 35: No existe un plan de contingencia para asegurar la continuidad de operaciones críticas para la institución. El Servicio señala que en el desarrollo del proyecto "Cambio de plataforma SUBDERE", se implementaron las bases para generar un plan de contingencia que asegure la continuidad operacional, para los servicios críticos de la SUBDERE. Sin embargo, estos procedimientos deben ser debidamente documentados, validados por la autoridad, actividad que se compromete para enero de 2011. • Artículo 37i: Inexistencia de un plan oficial de contingencia aprobado por la Dirección, por lo tanto, tampoco existe una evaluación de riesgo para determinar el impacto en escala de daño y período de recuperación de las interrupciones a los procesos de negocio. El Servicio indica en su respuesta que en la actualidad, el Departamento de Informática SUBDERE está desarrollando las acciones necesarias de configuración y puesta en operación de un servidor, más un storage de almacenamiento que será ubicado en el Data Center de la División Informática del Ministerio del Interior. Estos trabajos deben estar terminados en marzo de 2011. Añade, que después de esta actividad se formulará y documentará un plan de contingencia que considere la evaluación de riesgo para determinar el impacto en la escala de daños y período de recuperación de las interrupciones a los procesos de negocio. Las soluciones a las observaciones señaladas precedentemente, serán verificadas en el seguimiento que se realice al efecto. AGA 19 CONTRALORÍA GENERAL DE LA REPÚBLICA DIVISIÓN DE AUDITORIA ADMINISTRATIVA ÁREA ADMINISTRACIÓN GENERAL Y DEFENSA NACIONAL 3.3 Política de seguridad Se determinó incumplimiento de los siguientes artículos: • Artículo 11: Pese a que existe una política de seguridad, ésta no se encuentra oficializada y aprobada por la Dirección. Respecto a este punto, el Servicio en su respuesta señala que con fecha 26 de febrero de 2010, mediante resolución exenta N° 774 de 2010, la Subsecretaría aprobó las "Políticas de uso de los Recursos Informáticos y de la infraestructura de red en SUBDERE y Regiones". Añade, que en el capítulo 13 se detallan los aspectos de seguridad informática, tomando como marco normativo el decreto N°83 de 2004, norma técnica para los órganos de la Administración del Estado sobre seguridad y confidencialidad del documento electrónico. Por los antecedentes aportados, se da por subsanada la observación. • Artículo 17: En cuanto a la protección física para los equipos informáticos que no se encuentran en la sala de servidores y que contienen información crítica, se observó que no cuentan con protecciones individuales, no obstante, cabe señalar que éstos se encuentran en el Palacio de La Moneda. La SUBDERE responde, que en el mes de enero de 2011 se instalará, para los equipos de Gabinete identificados como críticos, una UPS y un disco de respaldo externo en red, que permitirá mantener respaldos periódicos de los funcionarios de Gabinete. Las acciones tomadas por el Servicio, serán materia de una auditoría de seguimiento, por lo cual, la presente observación se mantiene. • Artículo 37a: Las revisiones de las políticas de seguridad, no se realizan según un cronograma, sólo se realiza una revisión cuando los encargados tienen tiempo de hacerlo. Por lo tanto, se carece de una evaluación de la efectividad de las políticas, el costo e impacto de los controles en la eficiencia del negocio y los cambios de tecnología. En su respuesta, el Servicio señala que en las políticas vigentes se establece, respecto a la actualización de las Políticas: "Las presentes instrucciones respecto de la política de uso de los recursos informáticos y de la infraestructura de la red en la SUBDERE, serán revisadas y actualizadas una vez cada año". Lo anterior permite dar por superada la observación, sin perjuicio de validar la aplicación de tales instrucciones, en la próxima visita a la Entidad. 4 NG4.b sr Z., - IO.N . D0 DIVIDS IT 20 '2-• .1 T -_-_, :.., 7- IVA O C's CONTRALORÍA GENERAL DE LA REPÚBLICA DIVISIÓN DE AUDITORIA ADMINISTRATIVA ÁREA ADMINISTRACIÓN GENERAL Y DEFENSA NACIONAL • Artículo 37e: No existen instrucciones formales para controlar el uso de medios de grabación (video, sonido, entre otros) en la sala de servidores. En cuanto al registro de entrada a la sala de servidores, se puede señalar que se deja consignado el motivo del acceso. Además, en el caso de las empresas prestadoras de servicios, Siemens e Interna (Punto zero clima), éstas dejan copia del formulario completado por ellos. No obstante, en el caso de Siemens, las órdenes de servicio no son llenadas a cabalidad, faltan datos del solicitante y si el trabajo fue realizado en conformidad a todos, falta fecha de actividad, entre otros. Además, no existe un registro propio del Servicio para anotar el personal que ingresa a la sala de servidores. En Servicio indica que en enero de 2011, se instalará una cámara de vigilancia para el control de acceso a la sala de servidores. Respecto del registro de entrada, se cuenta con un libro de registro con todos los accesos a la sala de servidores, se adjunta copia del Expediente. En cuanto a la seguridad física, el acceso al Departamento de Informática cuenta con una botonera con claves, por lo tanto, la entrada es restringida al personal de Departamento de Informática de la SUBDERE. Se evaluará la factibilidad de implementar una segunda botonera con clave de acceso en la sala de servidores, con el objetivo de aumentar los niveles de seguridad. Las acciones tomadas por el Servicio y los antecedentes entregados, permiten dar por superada la observación. Cabe señalar, que respecto a las medidas de seguridad física, éstas se centran en gran medida en las existentes para el Edificio Plaza de la Constitución, lugar donde se encuentran las dependencias de la SUBDERE. La última actualización de las señaladas políticas, de acuerdo a los antecedentes entregados, se realizó en agosto del 2004. 3.4 Seguridad del Personal • Artículo 37d: Pese a que en caso de mal funcionamiento del software o hardware, se informa a través de correo electrónico, y/o llamado telefónico, estas instrucciones fueron dadas a conocer verbalmente y no existe un procedimiento formal para dichos casos. Asimismo, según lo señalado por el Servicio, no existen mecanismos formales para monitorear y almacenar las estadísticas de los incidentes ocurridos, sus características, frecuencia, tipo, costos asociados y procedimientos de contingencia efectuados, y que dado los recursos, sólo se almacenan algunos casos con cierta información. Por otro lado, se observó que solamente para el caso de un alumno en práctica, la resolución señala las responsabilidades que debe cumplir, para otras situaciones de personal temporal 93,xterno, no se firma DIVISI 21 CONTRALORÍA GENERAL DE LA REPÚBLICA DIVISIÓN DE AUDITORIA ADMINISTRATIVA ÁREA ADMINISTRACIÓN GENERAL Y DEFENSA NACIONAL un acuerdo de confidencialidad o de no divulgación, tampoco en el contrato con la empresa. En su respuesta, la SUBDERE señala que en el marco del PMG de Seguridad de la Información, se implementarán los procedimientos necesarios para el registro de los incidentes de seguridad y/o el mal funcionamiento de software, tomando como base para la implementación la norma NCh 2.777, que es la norma chilena que reemplazará el decreto supremo N° 83 de 2004, que es la actual norma técnica que rige para los Órganos de la Administración del Estado, sobre seguridad y confidencialidad del documento electrónico. La implementación del PMG, y todas las acciones que éste conlleva, serán materia de una auditoría de seguimiento. 3.5 Incidentes de seguridad Artículo 37d: Inexistencia de procedimientos y/o instrucciones para informar incidentes de seguridad y/o mal funcionamiento del software. • Por lo tanto, no existe un mecanismo para monitorear y almacenar las estadísticas de los incidentes ocurridos, señalando, entre otros, su característica y frecuencia. Al respecto, el Servicio señala que se estima el desarrollo de la implementación para el segundo semestre del año 2011, con ello se podrá monitorear y almacenar las estadísticas y frecuencia de los diversos tipos de incidentes. Esta medida y su implementación será verificada en la visita de seguimiento respectiva. 3.6 Seguridad Organizacional • Artículo 37b: No existe un comité de gestión de seguridad de la información que se encargue, a lo menos, de revisar y monitorear los incidentes de seguridad de la información. La SUBDERE en su respuesta indica que se nombrará los responsables del Comité de Gestión de Seguridad de la Información, entidad que se encargará de generar las normativas necesarias para revisar y monitorear los incidentes de seguridad de la información. Los nombramientos señalados anteriormente, serán materia de revisión por parte de esta Entidad de Control. 4. Decreto supremo N° 93, de 2006 MINSEGPRES • Artículo 9: No se cuenta con un procedimiento oficial que rechace automáticamente los mensajes electrónicos dirigidos a la casilla institucional, al personal que ha cesado en funciones. 22 CONTRALORÍA GENERAL DE LA REPÚBLICA DIVISIÓN DE AUDITORIA ADMINISTRATIVA ÁREA ADMINISTRACIÓN GENERAL Y DEFENSA NACIONAL Asimismo, no existe un procedimiento que al momento de rechazar un correo entrante, se ponga a disposición de quienes hayan enviado dichos mensajes, una o más casillas electrónicas alternativas a las cuales redirigirse. Al respecto, el Servicio manifiesta que se establecerá la normativa interna necesaria con una fuerte coordinación entre los Departamentos de Informática y Recursos Humanos, con ellos se deben establecer los procedimientos oficiales para subsanar las observaciones realizadas. La observación se mantiene, en tanto no se adopten las medidas enunciadas. 5. Decreto Supremo N° 100 de 2006 MINSEGPRES. Con respecto al desarrollo de sitios web de la SUBDERE, se determinó incumplimiento en los siguientes artículos: • Artículo 6: El administrador no documenta lo que ocurre con su audiencia del sitio web, ni adopta, de ser necesario, medidas preventivas y/o correctivas oportunas. Al respecto, se indica que la unidad de la SUBDERE encargada, en términos de administración y contenidos del sitio web, es el Centro de Documentación y Prensa (CEDOC), quienes, en conjunto con el Departamento de Informática establecerán la mejor manera de dar solución a las observaciones realizadas por el organismo técnico contralor. La observación se mantiene, hasta que las medidas señaladas sean tomadas. • Artículo 7: El administrador no cuenta con un plan de contingencia que contemple medidas a ejecutar en, al menos, los siguientes casos: que el sitio web deje de estar disponible para el público; el nivel de acceso disminuya o sea intermitente o que se vea comprometido por ataques externos. Respecto de esta observación, se debe establecer que SUBDERE consideró en la arquitectura del manejador de contenidos de la página web Institucional, los niveles de seguridad y resguardos necesarios, tomando como marco referencial los decretos y normativas vigentes. Por ello, se establecieron dos capas para el sitio web, www.subdere.gov.cl . La primera capa corresponde a un segmento de la DMZ donde se presentan las páginas estáticas IN-FRONT. La segunda capa es donde está el gestor de contenidos, el cual genera finalmente las páginas web, que son posteriores publicaciones de la página web hacia la capa pública de presentación. Con este diseño, si el sitio web SUBDERE es hackeado, en una hora puede ser republicado con el 100% de los contenidos procesados hasta la fecha y hora del incidente. En el caso que el data center SUBDERE sufra un incidente mayor, se establece un plazo máximo de 6 horas para restablecer todos los servicios informáticos críticos de SUBDERE. Para el caso del sitio web SUBDERE, puede llegar a tener un desfase de 12 horas. No obstante lo anteriormente descrito, la SUBDERE se compromete para el mes de febrero de 2011, documentar el plan de contingencia que contemple las medidas anteriormente descrit 23 CONTRALORÍA GENERAL DE LA REPÚBLICA DIVISIÓN DE AUDITORIA ADMINISTRATIVA ÁREA ADMINISTRACIÓN GENERAL Y DEFENSA NACIONAL Las medidas señaladas por el Servicio, serán validadas en una próxima visita de seguimiento, en tanto, la observación se mantiene. VI. CONCLUSIONES. La Subsecretaría de Desarrollo Regional y Administrativo ha aportado antecedentes y ha iniciado acciones que han permitido salvar algunas de las observaciones planteadas en el Preinforme de Observaciones N° 199, de 2010. Las situaciones pendientes, corresponden, en general, a debilidades que serán subsanadas en el futuro próximo, de acuerdo a lo manifestado por el propio Servicio, por lo tanto, se deberán implementar las medidas e impartir instrucciones en orden a dar cabal cumplimiento al compromiso contraído. Las principales acciones a considerar, dicen relación con las siguientes materias: 1) Punto 1.1. Nombrar oficialmente al funcionario titular y subrogante, encargados de los respaldos. Documentar las mencionadas condiciones de seguridad y las modificaciones realizadas al implementar el proyecto "Cambio de Plataforma SUBDERE" . 2) Punto 1.2. Cambiar la Plataforma SUBDERE y desarrollar la política de un plan de continuidad operacional de los servicios críticos, por parte del Departamento de Informática. 3) Punto 1.3. Formar el Comité Informático, con sus funciones y atribuciones. 4) Punto 1.4. Adoptar medidas, por parte del Comité Informático, respecto al buen uso de los recursos informáticos por parte de los funcionarios y sobre la dependencia hacia el Departamento de Informática de los sistemas existentes al interior del Servicio. 5) Punto 11.2. Elaborar el manual de procedimiento durante el primer semestre del año 2011; emitir los calendarios de verificación de cuentas. 6) Punto 11.3. Minimizar los errores de migración de datos para cualquiera de los sistemas que sean utilizados al interior del mismo. Solucionar los casos observados sobre la duplicidad de una cuenta y errores/falta del dígito verificador del RUT. 7) Punto III.2.b. Documentar el procedimiento para la desvinculación de un funcionario, dado que no se entregaron antecedentes suficientes para dar por superada la observación. 8) Punto III.2.e. Implementar el software denominado NAGIOS. 9) Punto III.2.d. Implementar los procedimientos necesarios para desarrollar los procesos formales y frecuentes de revisión de1109W de accesos a los usuarios. DIVISION DE r AUDITORIA 24 CONTRALORÍA GENERAL DE LA REPÚBLICA DIVISIÓN DE AUDITORIA ADMINISTRATIVA ÁREA ADMINISTRACIÓN GENERAL Y DEFENSA NACIONAL 10) Punto 111.2. g y h. Elaborar y actualizar los procedimientos que llevará a cabo el Servicio para subsanar las observaciones sobre cambio de clave al primer acceso al sistema y el cambio periódico de la misma. 11) Punto 111.2. Dictar la Resolución Administrativa correspondiente, al tenor de lo dispuesto en los artículos 37g y 37f, del decreto supremo N° 83 de 2004, del MINSEGPRES, que reglamente las observaciones formuladas por este Órgano de Control. 12) Punto 111.2. Implementar mecanismos que les permitan verificar la integridad de los datos contenidos en un expediente. 13) Punto IV.1. Mantener a disposición de esta Contraloría General los antecedentes del sistema SUBDERE ON LINE. 14) Punto IV.2. letras a, b, c, d, h, i y j. Elaborar el manual de procedimiento correspondiente. 15) Punto IV.2.e. Chequear la integridad del sistema, dejando documentado tanto el proceso como el procedimiento. 16) Punto IV.2. letras f, g, k y 1. Documentar las políticas y reglas de configuración de contraseñas, así como los errores producidos por los usuarios. 17) Punto IV.3. Implementar las validaciones necesarias para que las fechas estén, dentro de valores razonables, y no depender de una validación visual. En el caso de los contratistas o proveedores, con campos incompletos, éstos deberán ser regularizados. 18) Punto IV.3. Documentar las políticas y procedimientos implementados por el Servicio, respecto al control de cambios del Sistema Methasys. 19) Punto IV.3. Documentar las eliminaciones efectuadas en el Sistema, así como las validaciones y resultados obtenidos, en el proceso de migración de datos. 20) Punto IV.3.1. Verificar las funcionalidades del nuevo sistema SUBDERE ON LINE, referente a campo RUT vacío en el listado de usuario y las cuentas de éstos eliminadas. 21) Punto IV.3.2. Tomar medidas de control respecto al poblamiento de campos vacíos, debido a modificaciones del sistema. Además, en relación con la existencia de contratistas con RUT, pero sin el DV correspondiente, deberá tener disponibles las tablas con los campos correspondientes. 22) Punto IV.3.3. Considerar en sus próximos contratos y en la prórroga de éstos una cláusula que permita asegurar la devolución o destrucción de la información y bienes al final del mismo, o en su defecto, de común acuerdo, en una fecha durante la vigencia del mismo. 23) Punto V.3.2. Dar cumplimiento al artículo 24, según lo acordado entre la SUBDERE y la División Informática del Ministerio d e1-Er teri.ór. ~ DIVIS1ON DE rAUDITOR ■ DMINIST IVA o 25 ) CONTRALORÍA GENERAL DE LA REPÚBLICA DIVISIÓN DE AUDITORIA ADMINISTRATIVA ÁREA ADMINISTRACIÓN GENERAL Y DEFENSA NACIONAL 24) Punto V.3.2. Dar cumplimiento al artículo 35, en relación con los planes de contingencia implementados en el proyecto "Cambio de plataforma SUBDERE" y al artículo 37 i, sobre la gestión de continuidad del negocio. 25) Punto V.3.3. Cumplir con lo establecido en el artículo 17 del decreto supremo N°83, de 2004, MINSEGPRES. 26) Punto V.3.4. Implementar los procedimientos necesarios para el registro de los incidentes de seguridad y/o el mal funcionamiento de software. 27) Punto V.3.5. Impartir instrucciones para informar incidentes de seguridad y/o mal funcionamiento del software. 28) Punto V.3.6. Nombrar a los responsables del Comité de Gestión de Seguridad de la Información. 29) Punto V.4. Documentar la normativa interna implementada para subsanar las observaciones de este punto, relativas a las instrucciones acerca de la adecuada utilización de las casillas institucionales. 30) Punto V.5. Tomar las medidas para subsanar las observaciones relacionadas con lo dispuesto en el artículo 6 del decreto supremo N° 100 de 2006, del MINSEGPRES. La efectividad de las medidas adoptadas será validada en las próximas visitas que se realicen a la entidad, conforme a las políticas de este Organismo sobre seguimiento de los programas de fiscalización Saluda atentamente a Ud. F F'" ' 4 DE N 1TORIA ADMINISTRATIVA `<t--o, z --1. rr--, , .....,<A\Y MARIA CALDERON VIDAL JEFE AREA ADMINISTRACIÓN GENERAL Y DEFENSA NACIONAL DIVISIÓN DE AUDITORIA ADMINISTRATIVA 26 CONTRALORÍA GENERAL DE LA REPÚBLICA DIVISIÓN DE AUDITORIA ADMINISTRATIVA ÁREA ADMINISTRACIÓN GENERAL Y DEFENSA NACIONAL Anexo N° 1 Departamento de Informática A continuación se presenta un organigrama del Departamento de Informática, asimismo se debe señalar que el negocio del DI está orientado principalmente hacia la informática interna, considerando como los clientes a los usuarios que utilizan los diversos servicios que el Departamento ofrece y mantiene. Los clientes del Departamento de Informática se consideran los usuarios del nivel central y regional (URS, PRDUV, OPDP 2). El Departamento está compuesto de cuatro asesores, el jefe del departamento y una secretaria. Las principales funciones desarrolladas por cada uno de los profesionales son las siguientes: Cargo ASESOR ASESOR Nombre Jorge Sapag Escalante Mauricio Aguilera Perfil Profesional Analista Programador. Egresado de Ingeniería. Técnico. Programador. ASESOR Cristian Álvarez Toro Ingeniero de Ejecución Informática. Administrador de Redes. 2 Funciones • Soporte de oficinas centrales, y regionales. • Administrador y operador servicio de video conferencia. • Administrador suplente de red. • Operador del servicio de antivirus institucional. • Generación de términos técnicos de referencia o bases administrativas para la contratación de servicios o productos. • Encargado de la administración del sitio de transparencia institucional. • Mantener la Intranet con los contenidos remitidos por los departamentos que publican información. • Mantención de sistemas internos administrativos, soporte a usuarios. • Apoyo logístico en el área. • Apoyo al servicio de video conferencias y telefonía fija. • Encargado principalmente de la administración de los servicios de redes y comunicaciones. • Encargado de la seguridad del documento electrónico nombrado en resolución exenta N°250, de 4 de febrero del 2008. • Tiene a su cargo el desarrollo de las políticas de seguridad al interior de las instalaciones de la SUBDERE. la • Coordinar adecuada respuesta de incidentes computacionales. Programa de Recuperación y Desarrollo Urbano de Valparaíso. Oficina Provincial de Desarrollo Productivo. 27 CONTRALORÍA GENERAL DE LA REPÚBLICA DIVISIÓN DE AUDITORIA ADMINISTRATIVA ÁREA ADMINISTRACIÓN GENERAL Y DEFENSA NACIONAL Cargo Nombre Perfil Profesional • • ASESOR Ricardo Sepúlveda Valdés Ingeniero Ejecución en Informática • • • • • • • Programador. Jefe de Departamento José Hormazábal Ramírez Analista de Sistema. Ingeniero E. Informática. • Ingeniero en Gestión • • • • • Secretaria Jocelyne Uribe Zamorano • • • 28 Funciones Encargado del soporte a usuarios y en especial usuarios de Gabinete en el Palacio de La Moneda. Encargado de respaldos de sistemas (Personal, remuneraciones, SINIM, PMU, PMB, Calificaciones, Methasys). Gestión contratos con empresas proveedoras. Generación de términos técnicos de referencia o bases administrativas para la contratación de servicios o productos. Apoyo a la gestión del PMG de gobierno electrónico. Encargado de la administración de la central telefónica. Dirigir el Departamento de Informática. Mantención de sistemas desarrollados con anterioridad. Encargado del PMG de Gobierno Electrónico, de generar proyectos, políticas y planificación del Departamento de Informática al interior de la SUBDERE. Contraparte técnica en la mesa digital del PMG de Gobierno Electrónico Local. Jefe de proyectos ante la Comunidad Económica Europea. Administrador de contratos y servicios relacionados con el área informática. Encargada de la elaboración de documentación interna y externa (Memorándum, Inventario, entre otros.) Agendar videoconferencias e informar de éstas. Realizar llamadas internas y externas, solicitar materiales para el departamento y organizar reuniones. Apoyo en materias de gestión documental y computacional. Apoyo en la gestión de facturas. Apoyo al Departamento Planificación y Gestión de Control. CONTRALORÍA GENERAL DE LA REPÚBLICA DIVISIÓN DE AUDITORIA ADMINISTRATIVA ÁREA ADMINISTRACIÓN GENERAL Y DEFENSA NACIONAL Anexo N° 2 Proveedores Consulta Contratistas Buscar Contratistas o Provéédores RAU.. 0Í[ Ok I Sigla Rut Nombre 13-0 Smartdraw.com 2.7 3-5 Coleo Acosta Gloria ~Ricardo L. Avidano Di Giorgio 11-6 Rojas Caceres Nombre: Ok Giro Representa 1< Contabilidad Compromisos, Estados de Pago, Garantías Comprobantes Contables Tp. Número Tipo de Doc. • 001 Analisis Fecha Tp.Gasto Cuenta Debe Num Consulta Por Documento 29 Haber Documento Fec.Docto A CONTRALORÍA GENERAL DE LA REPÚBLICA DIVISIÓN DE AUDITORIA ADMINISTRATIVA ÁREA ADMINISTRACIÓN GENERAL Y DEFENSA NACIONAL Anexo N° 3 Reporte de salida De un reporte de la región de Los Lagos, y el tipo de compromisos "contrato" se presentan las deficiencias descritas. Cabe señalar, que la tabla posee 54 campos, los cuales serán distribuidos en las páginas subsiguientes. Esa. Proyecto Etapa Numero fecha tipo docto numero docto fecha docto neto docto 10 300292570 1 1018 04/10/2005 Boleta De Venta 52636 21/02/2004 -3025 10 300292570 1 1018 04/10/2005 Boleta De Venta 52636 21/02/2004 0 10 300046610 1 80 27/03/2008 Factura 0 26/11/2007 -8403361 10 300046610 1 80 27/03/2008 Factura 0 26/11/2007 0 10 300292570 1 958 09/09/2005 Boleta De Venta 52636 21/02/2004 -3025 10 300292570 1 958 09/09/2005 Boleta De Venta 52636 21/02/2004 0 10 300292570 1 1017 26/09/2005 Factura 37893036 02/04/2004 -3193 10 300292570 1 1017 26/09/2005 Factura 37893036 02/04/2004 0 10 300292550 1 1019 07/10/2005 Boleta De Venta 139971 20/04/2004 -2891 10 300292550 1 1019 07/10/2005 Boleta De Venta 139971 20/04/2004 0 10 300397220 1 441 17/07/2006 Rendición. 2 30/05/2004 -5E+07 10 300105370 1 955 08/09/2005 Factura 222 19/07/2004 -6170243 CONTRALORÍA GENERAL DE LA REPÚBLICA DIVISIÓN DE AUDITORIA ADMINISTRATIVA ÁREA ADMINISTRACIÓN GENERAL Y DEFENSA NACIONAL periodo rendicion ren neto ren impuesto us Paridad rd neto -4,05 2 3 3 746,71 -0,77 -0,77 2 3 3 746,71 -13511,75 0 -13511,75 5 11 11 621,93 -1596639 0 -2567,23 -2567,23 5 11 11 621,93 0 -3025 -5,17 0 -5,17 0 999 999 585,28 -575 -575 0 -0,98 -0,98 0 999 999 585,28 0 -3193 -5,23 0 -5,23 5 11 11 610,55 -607 -607 0 -0,99 -0,99 5 11 11 610,55 0 -2891 -4,82 0 -4,82 5 11 11 599,36 -549 -549 0 -0,92 -0,92 0 999 999 599,36 -78950 0 -78950 4 6 6 634,81 -9575,62 0 -9575,62 0 999 999 644,37 total impuesto , docto us docto us impuesto docto total docto Neto docto us 0 -3025 -4,05 O -575 -575 0 0 -8403361 -1596639 O 0 50118248 -6170243 31 CONTRALORÍA GENERAL DE LA REPÚBLICA DIVISIÓN DE AUDITORIA ADMINISTRATIVA ÁREA ADMINISTRACIÓN GENERAL Y DEFENSA NACIONAL us neto rendido s i mpuesto u rendido us total rendido Local -4 0 -4 Local Local 0 -1 -1 -8403361 Local Local -13512 0 -13512 -1596639 -1596639 Local Local 0 -2567 -2567 0 0 0 Local Local O O O 585,28 0 0 0 Local Local O O O 610,55 -3193 0 -3193 Local Local -5 0 -5 610,55 0 -607 -607 Local Local 0 -1 -1 599,36 -2891 0 -2891 Local Local -5 0 -5 599,36 0 0 0 Banco Banco O O O 634,81 -5E+07 0 Banco Banco -78950 0 -78950 644,37 0 0 Banco Banco O O O tipo rend ; tipo rend impto I neto us paridad impuesto neto rendido Impuesto rendido total rendido 746,71 -3025 0 -3025 Local 746,71 0 -575 -575 621,93 -8403361 0 621,93 0 585,28 50118248 0 32 CONTRALORÍA GENERAL DE LA REPÚBLICA DIVISIÓN DE AUDITORIA ADMINISTRATIVA ÁREA ADMINISTRACIÓN GENERAL Y DEFENSA NACIONAL nro compromiso 12840 12840 fecha compromiso 02/08/2005 02/08/2005 contratista tipo de gasto vigencia 7406275 7,406,275-K Rosa Enedina Vásquez Guerrero turismo (restauración patri) 2005 7406275 7,406,275-K Rosa Enedina Vásquez Guerrero turismo (restauración patri) 2005 Turismo (Inversiones de apoyo para el de 2008 Egreso Egreso 4930 18/09/2003 72443600 72 443 600-5 " Conama 4930 18/09/2003 72443600 72 443,600-5 Conama Turismo (Inversiones de apoyo para el de 2008 7406275 7,406,275-K Rosa Enedina Vásquez Guerrero turismo (restauración patri) 2005 2005 12840 02/08/2005 12840 02/08/2005 7406275 7,406,275-K turismo Rosa Enedina (restauración Vásquez patri) Guerrero 8160 31/12/2004 94479000 94 479 000-4 ' ' Sodimac S.a. turismo (restauración patri) 2005 8160 31/12/2004 94479000 94 479,000-4 ' ' Sodimac S.a. turismo (restauración patri) 2005 8280 09/06/2005 4671473 4,671,473-3 Fabián Gómez M. turismo (restauración patri) 2005 8280 09/06/2005 4671473 4,671,473-3 Fabián Gómez M. Turismo (restauración patri) 2005 75378200 75,378,200-1 Fundación Amigos De Las Iglesias De Chiloé Turismo (restauración patri) 2006 12343542 12 343 542-7 " Alex Santana Turismo (Inversiones de apoyo para el de 2005 13020 6010 23/09/2004 01/06/2004 tipo comprobante rut 33 Egreso CONTRALORÍA GENERAL DE LA REPÚBLICA DIVISIÓN DE AUDITORIA ADMINISTRATIVA ÁREA ADMINISTRACIÓN GENERAL Y DEFENSA NACIONAL numero fecha comprobante comprobante e valor contrato pagado contrato saldo financiamiento contrato 0 0 O Bid - Turismo 01 Indust.,comerc.,finanz. Y Turismo sector 0 21/02/2003 0 21/02/2003 0 0 0 Bid - Turismo 01 Indust.,comerc.,finanz. Y Turismo 3855 26/11/2003 0 0 0 Bid - T u rismo 02 Multisectorial 3855 26/11/2003 O O O Bid - T u rismo 02 Multisectorial 0 21/02/2004 0 0 0 o Bid - Turismo 01 Indust.,comerc.,finanz. Y Turismo o 21/02/2004 0 0 0 0 Bid - Turismo 01 Indust.,comerc.,finanz. Y Turismo 0 02/04/2004 0 77870 77870 0 Bid - Turismo 01 indust.,comerc.,finanz. Y Turismo 0 02/04/2004 0 77870 77870 0 Bid - Turismo 01 Indust.,comerc.,finanz. Y Turismo 0 20/04/2004 0 0 0 0 Bid - Turismo 01 Indust.,comerc.,finanz. Y Turismo 0 20/04/2004 0 0 0 O Bid - Turismo 01 Indust.,comerc.,finanz. Y Turismo 2 30/05/2004 1 304055205 304055205 0 Bid - Turismo 01 Indust.,comerc.,finanz. Y Turismo 4382 28/07/2004 21086968 O Bid - Turismo 02 Indust.,comerc.,finanz. Y Turismo 0 21086968 34 CONTRALORÍA GENERAL DE LA REPÚBLICA DIVISIÓN DE AUDITORIA ADMINISTRATIVA ÁREA ADMINISTRACIÓN GENERAL Y DEFENSA NACIONAL fecha duracion fecha inicio termino compromiso compromiso compromiso subsector nombre proyecto año contable Prism Turismo Reparación Iglesia Chonchi 2003 CHA-0 21/02/2004 0 21/02/2004 Turismo Reparación Iglesia Chonchi 2003 CHA-0 21/02/2004 0 21/02/2004 Capacitación Multisector" Capacitación Comunidades Tramo Piloto Sendero De Chile- Palena 2003 CHA-0 18/09/2003 403 25/10/2004 Capacitación Multisector" Capacitación Comunidades Tramo Piloto Sendero De Chile- Palena 2003 CHA-0 18/09/2003 403 25/10/2004 Turismo Reparación Iglesia Chonchi 2004 CHA-0 21/02/2004 0 21/02/2004 Turismo Reparación Iglesia Chonchi 2004 CHA-0 21/02/2004 o 21/02/2004 Turismo Reparación Iglesia Chonchi 2004 CHA-0 03/02/2005 o 03/02/2005 Turismo Reparación Iglesia Chonchi 2004 CHA-0 03/02/2005 0 03/02/2005 Turismo Reparación San Antonio Colo 2004 CHA-0 20/04/2004 0 20/04/2004 Turismo Reparación San Antonio Colo 2004 CHA-0 20/04/2004 0 20/04/2004 Turismo Equipamiento Escuela De Carpinteros. 2004 CHA-0 01/09/2004 150 29/01/2005 Turismo Instalación Señalética Turística En La Comuna De Curaco De Vélez 2004 CHA-0 01/06/2004 80 20/08/2004 35 CONTRALORÍA GENERAL DE LA REPÚBLICA DIVISIÓN DE AUDITORIA ADMINISTRATIVA ÁREA ADMINISTRACIÓN GENERAL Y DEFENSA NACIONAL avance fisico inversion real pagado contratista provincia 0 -3600 -3600 Interprovincial 0 -3600 -3600 Interprovincial Interprovincial Intercomuna 1 _ 10000000 -10000000 Palena Chaitén 1 _ 10000000 -10000000 Palena Chaitén 0 -3600 -3600 Interprovincial Interprovincial Intercomuna 0 -3600 -3600 Interprovincial 0 -3800 -3800 Interprovincial Interprovincial Intercomuna 0 -3800 -3800 Interprovincial Interprovincial Intercomuna 0 -3440 -3440 Interprovincial 0 -3440 -3440 Interprovincial -50118248 Interprovincial Interprovincial I ntercomuna -6170243 Chiloé Curaco De Vélez O 0 50118248 -6170243 36 comuna Interprovincial intercomuna Interprovincial intercomuna Interprovincial intercomuna Interprovincial intercomuna CONTRALORÍA GENERAL DE LA REPÚBLICA División Auditoría Administrativa Área Administración General y Defensa Nacional
