INFORME FINAL AUDITORÍA GUBERNAMENTAL …cdc.gov.co/files/informes de...

1

INFORME FINAL

AUDITORÍA GUBERNAMENTAL CON ENFOQUE INTEGRAL MODALIDAD ESPECIAL A LOS SISTEMAS DE INFORMACIÓN

ALCALDÍA DE SAN VICENTE DEL CAGUÁN OFICINA DE TRIBUTOS Y RENTAS VIGENCIA 2012 Y CORRIDO DE 2013

CDC No. 023

Florencia, Enero de 2014

2

Contralor Departamental del Caquetá: Gustavo Espinosa Ferla Director Técnico de Control Fiscal: Gloria Villalba Gonzalez Equipo Auditor: Líder de Auditoria Danny López Segura Auditores Andrés Felipe Torres Soto Andrey Fabián Tovar Lopera

3

TABLA DE CONTENIDO

1. HECHOS RELEVANTES .............................................................................................................................. 4 2. CARTA DE CONCLUSIONES ...................................................................................................................... 5 3. RESULTADOS DE LA AUDITORIA ............................................................................................................. 8 Anexo 1 Matriz de Hallazgos ............................................................................................................................. 17 Anexo 2 Matriz de Controversias....................................................................................................................... 23

4

1. HECHOS RELEVANTES

La Contraloría Departamental del Caquetá en desarrollo de su función constitucional y legal y en cumplimiento de su plan General de Auditoria, proyectado para la vigencia 2013, orientado a medir la forma económica, eficiente y efectiva en las que las entidades sujetas a su fiscalización utilizan los recursos asignados para alcanzar las metas y objetivos propuestos, determina la necesidad de ejecución del proceso auditor en la Modalidad Especial, dirigida principalmente a evaluar los Sistemas de Información que apoyan la gestión tributaria de la Oficina de Tributos del Municipio de San Vicente del Caguán, a fin de evaluar y verificar su integridad, disponibilidad y funcionamiento. El proyecto se formula tomando como base el Plan General de Auditoria vigencia 2013 de la Contraloría Departamental del Caquetá, donde se establecen los lineamientos, normas, políticas y procedimientos de la auditoria. Si bien es cierto que para las organizaciones la información se ha convertido en un valioso activo que facilita no solo la toma de decisiones sino muchas estrategias tanto organizacionales como competitivas, donde el que posea el activo, posee el poder, se deben tomar medidas suficientes para salvaguardar y manejarla con los mejores recursos tanto humanos como técnicos que se tengan y más aún cuando la información es de carácter social y económico propiedad de una entidad del estado. Razón por la cual a fin de evitar consecuencias a causa de la mala gestión de la información, tales como perdida de datos, inconsistencia y robo de la información, duplicación de datos y fraudes, se precisa la necesidad de evaluar el funcionamiento y la administración de estos sistemas, con el fin de verificar y monitorear su correcto desempeño dentro de la organización. Además, cabe destacar que hasta el momento no se ha realizado ningún tipo de auditoría informática a los sistemas de información en la alcaldía de San Vicente del Caguán.

5

Doctor

DOMINGO PÉREZ CUELLAR Alcalde del Municipio de San Vicente del Caguán Caquetá

Asunto: Carta de Conclusiones

La Contraloría Departamental del Caquetá, con fundamento en las facultades otorgadas por el artículo 267 de la Constitución Política, practicó Auditoría Gubernamental con Enfoque Integral Modalidad Especial a la Alcaldía del Municipio de San Vicente del Caguán, a través de la evaluación de los principios de confiabilidad, disponibilidad e integridad de los sistemas de información, con los cuales administra los tributos de impuesto predial unificado e industria y comercio. La auditoría comprobó que los sistemas de información para la gestión de los mencionados tributos no garantizan los principios de confiabilidad, disponibilidad e integridad de la información. De igual manera hace falta cumplir con ciertos procesos administrativos, de planeación y de control interno primordiales que deberán ser implementados para el mejoramiento de los procesos, llevando a que se cumpla de mejor forma las disposiciones legales y requerimientos de la alcaldía. Es responsabilidad de la administración el contenido de la información suministrada y analizada por el ente auditor. La responsabilidad de la Contraloría Departamental del Caquetá consiste en producir un informe integral que contenga el pronunciamiento sobre los sistemas de información, con fundamento, primero, en el concepto sobre la gestión adelantada por la administración municipal, en las áreas o procesos auditados, que incluye conceptos sobre el acatamiento a las disposiciones legales y segundo la opinión sobre la confiabilidad, disponibilidad e integridad de los sistemas de información. La evaluación se llevó a cabo de acuerdo con normas de auditoría generalmente aceptadas, con políticas y procedimientos de auditoría establecidos por la Contraloría Territorial, consecuentes con las de general aceptación; por lo tanto requirió acorde con ellas, de planeación y ejecución del trabajo de manera que el examen proporcione una base razonable para fundamentar nuestro concepto. La auditoría incluyó el examen sobre la base de pruebas selectivas de las evidencias y documentos que soportan la gestión de la entidad, y el cumplimiento de las disposiciones legales, así como la adecuada implementación y funcionamiento del sistema de control interno; los estudios y análisis se encuentran debidamente documentados en papeles de trabajo, los cuales reposan en los archivos de la Contraloría Departamental del Caquetá. Los procedimientos de auditoría seleccionados dependen del juicio profesional del auditor, incluyendo la evaluación de los riesgos de integridad, relación, acceso y utilidad de los sistemas de información tributarios y de la gestión y los resultados de la gestión tributaria. En la evaluación del riesgo, el auditor considera el control interno de la entidad como relevante para todos sus propósitos, con el fin de diseñar procedimientos de auditoría que sean apropiados en las circunstancias y acorde a las necesidades de autocontrol que requieren el componente de Información definidos por el MECI. Por lo anterior, se considera que la auditoría proporciona una base razonable para expresar el concepto y la opinión emitidos en este informe.

6

ALCANCE DE LA AUDITORIA En la auditoria Gubernamental con Enfoque Integral Modalidad Especial a los sistemas de Información de la oficina de tributos se examinó de manera selectiva la gestión de la Alcaldía de San Vicente del Caguán con el siguiente alcance: Sistemas de información.

Evaluación integral a la seguridad de los sistemas que administran la información tributaria en la entidad y la eficiencia, eficacia y confiabilidad de los reportes generados desde estos sistemas como base fundamental en la toma de decisiones sobre las políticas fiscales, conforme a lo ordenado por el estatuto tributario, compilado municipal y demás leyes aplicables. Se seleccionaron los siguientes sistemas de información:

Sistemas de información para impuesto predial.

Sistema de información para Industria y Comercio.

Gestión contractual. Evaluación integral y sistemática del proceso de contratación de la entidad durante la vigencia 2012 y 2013, con recursos propios, correspondiente a los sistemas de información. Para este efecto, se tuvo en cuenta los informes de contratación presentados por la Alcaldía de San Vicente del Caguán, Caquetá, a través del Sistema Integrado de Auditoría SIA, adoptado por la Contraloría para la rendición de cuentas e informes de los sujetos de control correspondientes a la vigencia 2012 y 2013. La muestra para la línea de auditoría de gestión contractual de recursos propios vigencia 2012 y 2013, fue seleccionada a criterio del auditor. Teniendo en cuenta las limitaciones de tiempo y de personal, se tomaron trece (13) contratos como objeto de análisis, los cuales se celebraron para la prestación de servicios y suministros de implementos tecnológicos. CONCEPTO SOBRE EL ANÁLISIS EFECTUADO La Contraloría Departamental del Caquetá como resultado de la auditoría a los sistemas de información que se administran en la oficina de tributos del Municipio de San Vicente del Caguán, durante las vigencias 2012 y 2013, pudo determinar que se encuentran falencias en la confiabilidad, integridad y seguridad de los sistemas de información tributarios. Además no se cuenta con una infraestructura de transmisión de datos acorde, que facilite el trabajo de los empleados en la oficina de la Secretaria de Hacienda, también se presentan fallas en el fluido eléctrico e igualmente humedad en algunas oficinas de la entidad. Después de realizar un estudio de los hallazgos encontrados, la Contraloría Departamental del Caquetá determinó que los sistemas de información no están acordes a lo dispuesto por el Ministerio de Hacienda. Se evidencia que la administración del municipio de San Vicente del Caguán, Caquetá, presenta fallas en infraestructura tecnológica como es el caso del cableado estructurado para la trasmisión de datos y la ubicación de servidores, la utilización de sistemas de información o software para el cobro del impuesto predial e industria y

7

comercio; la manipulación y seguridad de la información, entre otros, con deficientes políticas de control interno. Para la calificación de la gestión de la auditoria Especial, sobre las líneas de la tecnología de la información dentro de la cual se evalúo la gestión contractual, se utilizó la MATRIZ DE EVALUACIÓN PARA LA GESTIÓN FISCAL implementada por la Contraloría Departamental del Caquetá, adoptada en la guía de auditoria territorial mediante la resolución 408 del 2013, dándole un peso del 70% a la calificación de los diferentes procedimientos adoptados por el Municipio para el manejo de la tecnologías de información, teniendo en cuenta en especial los criterios de integridad, disponibilidad y confiabilidad y el 30% a la calificación de la muestra de trece (13) contratos seleccionados de las vigencias 2012 y 2013, por valor total de $134.531.628, cuyos objetos se relacionan con el manejo y la adquisición de las tecnologías de la información. Como resultado de la evaluación se obtuvo una calificación favorable para la gestión contractual con un porcentaje de cumplimiento del 93,0% dado el cumplimiento de las especificaciones técnicas, objeto contractual, asignación de supervisión y liquidación de los contratos, sin embargo se presentan falencias e ineficiencias en procesos de contratación tales como publicación en la página del SECOP y la utilización de cláusulas de confidencialidad para la manipulación de la información de los contribuyentes del impuesto de predial. Con relación a los resultados para las tecnologías de la información y las comunicaciones, se obtuvo una calificación desfavorable para este factor con un porcentaje de cumplimiento del 26.9% dado la ausencia de controles y el incumplimiento frente a criterios como integridad, disponibilidad y seguridad de la información, por lo tanto, se obtuvo una calificación total desfavorable del control de gestión en el área de la tecnología de la información del 46,6%. RELACIÓN DE HALLAZGOS. En el desarrollo de la presente auditoria se establecieron diez (10) hallazgos administrativos de los cuales (1) tiene presunta incidencia disciplinaria. PLAN DE MEJORAMIENTO. La Alcaldía de San Vicente del Caguán deberá elaborar el Plan de Mejoramiento que se encuentre desarrollando con acciones y metas que permitan solucionar las deficiencias comunicadas en el proceso auditor y que se describen en el presente informe. El Plan de Mejoramiento deberá entregarse a la Contraloría Departamental del Caquetá dentro de los quince (15) días hábiles siguientes al recibo del informe final, conforme a lo establecido en los artículos 14, 26, 27 de la Resolución No.120 del 18 de septiembre de 2008, de la Contraloría Departamental del Caquetá. Cordialmente,

8

3. RESULTADOS DE LA AUDITORÍA

La Contraloría Departamental del Caquetá, adelantó el Proceso de Auditoría Gubernamental con Enfoque Integral en la Modalidad Especial para evaluar los principios de confiabilidad, disponibilidad e integridad de los sistemas de información, con los cuales administra los tributos de impuesto predial unificado e industria y comercio de la vigencia 2012 y lo corrido de 2013. HALLAZGO N°01 Seguridad, Integridad de la Información en el sistema de información para el recaudo del impuesto de Industria y Comercio – Hallazgo Administrativo Se identificó que para el recaudo del impuesto de Industria y Comercio se utiliza un sistema de información desarrollado en DOS-CLIPPER implementado desde el año 2004. Este aplicativo no cumple totalmente con lo descrito por el Ministerio de Hacienda para ser catalogado como Sistema de Información, dado que esta aplicación no ejecuta bajo ambiente web, no utiliza un SGBD, es monousuario, la información está sin protección y utiliza únicamente una contraseña para el ingreso. Dentro del proceso auditor se pudo determinar lo siguiente:

No poseen políticas de privacidad y seguridad estipulada de manera escrita por la entidad, por ende, no existe ningún control para el sistema de información que garantice resistencia al sabotaje.

No existen procedimientos adecuados para los cambios periódicos de las contraseñas que incluyan tiempo de expiración, prohibiciones en la construcción de las nuevas contraseñas, controles implementados como mensajes de alerta de expiración, y bloqueos del sistema.

El código fuente de la aplicación es accesible para cualquiera que tenga un breve conocimiento y se encuentra expuesto a cambios o modificaciones que puedan vulnerarlo.

El sistema de información no cuenta con registros de auditoría donde se evidencie de manera escrita y especifica todos los accesos a las librerías del código fuente, lo que ocasiona que no se pueda llegar a saber quién realizó modificaciones al código fuente en caso de alguna falla o actualización al sistema.

No existen maneras alternas de ejecutar la aplicación en caso de que se presenten fallas, ni tampoco es posible verificar el registro de fallas a través de la aplicación. Además, tampoco se cuenta con planes de contingencia estipulados para la restauración del sistema.

No están documentados los procedimientos para el control de la información incluyendo, autorizaciones al equipo de cada sistema de información, revisión de las autorizaciones, registro de control de errores y excepciones.

La información de los contribuyentes se guarda en un archivo plano el cual se aloja en una carpeta de la aplicación, no posee usuarios y no utiliza contraseñas para acceder, por ende, no se puede garantizar la confiabilidad de la ejecución de las operaciones internas, al igual que la generación de datos e información dirigida a los grupos de interés externos.

El aplicativo para el recaudo del impuesto de industria y comercio no muestra controles ni reportes de auditoría necesarios que conduzcan eficazmente a determinar la situación real de la tributación y combatir la evasión y la elusión fiscal.

9

En cuanto a la integridad del sistema de información se identificó que no existe integridad referencial ni integridad de entidad, dado que no existe la implementación de una base de datos que permita establecer la conexión entre los datos, por el contrario, la información se está almacenando directamente en archivos planos la cual es fácil acceder y modificar con riesgo de insertar valores incorrectos.

No existe un adecuado rastro de auditoría de información para reconstruir cualquier transacción o evento durante un tiempo razonable.

De igual manera se determinó que a causa de la falta de una UPS en el equipo donde se maneja el sistema de información, los datos pueden perderse debido a un fallo en el suministro de energía.

Realizando la evaluación al sistema de información de Industria y Comercio de la manera en que están ejecutando el proceso, se concluye que el sistema no cumple con lo expuesto, pues no se han establecido mecanismos de control que contribuyan a garantizar la confiabilidad, seguridad e integridad de la información, por ende el sistema no cuenta con los requerimientos para asegurar la autenticidad y proteger la integridad de los datos, pues los riesgos de este sistema no son identificados y no tienen controles implementados. La anterior situación obedece a la ausencia de políticas sobre gestión en los sistemas de información, por la deficiencia del sistema de control interno y ausencia de seguimiento y verificación, cambio total o parcial a los procesos y herramientas de sistemas de información, configurándose como hallazgo administrativo. HALLAZGO N°02 Seguridad, Integridad de la Información en el sistema de información para el recaudo del impuesto predial – Hallazgo Administrativo Se identificó que para el recaudo del impuesto Predial se utiliza un sistema de información desarrollado en ambiente web, el cual permite la realización de cálculos evitando la ejecución de procesos manuales, es multiusuario, está desarrollado bajo lenguaje PHP y utiliza un SGBD PHPMYADMIN, posee veintiséis (26) tablas, pero no cuenta con el soporte que evidencie el modelo relacional de la base de datos. El código fuente de la aplicación es accesible para cualquiera que tenga el conocimiento y se encuentra expuesto a cambios o modificaciones. Se identifica que el acceso a la base de datos del sistema de información predial está abierto y no utiliza contraseñas para el ingreso, no poseen políticas de privacidad y seguridad estipuladas de manera escrita por la entidad, la base de datos contiene en todas las tablas el registro de modificación y creación de los datos, de igual manera se evidencia el responsable que realiza dicha acción, pero no muestra controles y reportes de auditoría que conduzcan eficazmente a determinar la situación real de la tributación y combatir la evasión y la elusión fiscal. El aplicativo de predial tiene acceso para cada usuario controlado por medio de roles, entre ellos se encuentran el rol de administrador y rol de usuario, cada uno con sus respectivas contraseñas. En la inspección ocular se identificó que el actual Secretario de Hacienda debería tener un rol de administrador como jefe de oficina, por el contrario posee un rol con pocos privilegios, lo que quiere decir que no existe un plan para la actualización de roles y contraseñas. Entre otras falencias que se puntualizan en:

El servidor donde se hospeda el sistema de información para el recaudo del Impuesto Predial no tiene contraseña de ingreso, por ende cualquier persona con conocimientos mínimos en PHPMYADMIN puede ingresar a la base de datos y fácilmente modificar, insertar, consultar y eliminar información importante.

El sistema de información para el recaudo del impuesto predial no permite realizar copias de seguridad por lo que es necesario utilizar aplicaciones externas para el uso de las mismas.

10

El sistema de información no cuenta con el respectivo manual de usuario que indique al operador del sistema como utilizarlo, tampoco existe el diccionario de datos para facilitar la interpretación de los campos, lo que repercute en la manipulación e interpretación de la información.

No existen procedimientos adecuados para los cambios periódicos de las contraseñas que incluyan tiempo de expiración, prohibiciones en la construcción de los nuevas contraseñas, controles implementados como mensajes de alerta de expiración y bloqueos del sistema.

No existe un adecuado rastro de auditoría dentro de la base de datos para reconstruir cualquier transacción o evento durante un tiempo razonable.

El sistema de información para el recaudo del impuesto predial debería exigir las resoluciones emitidas por el IGAC como soporte para la realización de cualquier cambio a la información y actualmente no se da cumplimiento.

No es posible verificar el registro de fallas a través de la aplicación, de igual manera no se cuenta con un centro de notificación, mesa de soporte que registre novedades y supervise cambios al sistema de información tributario.

La anterior situación obedece a la ausencia de políticas sobre gestión en los sistemas de información, por la deficiencia del sistema de control interno y ausencia de seguimiento y verificación, cambio total o parcial a los procesos y herramientas de sistemas de información, configurándose como hallazgo administrativo. Hallazgo Nº 03. Licenciamiento de Software – Hallazgo Administrativo La instalación o reproducción de programas de computador sin la oportuna autorización del titular (Licencia) infringe el derecho expresamente reconocido a dichos titulares por la legislación colombiana y tratados internacionales de los que el país es parte. Las infracciones relacionadas con el Derecho de Autor y Conexos están tipificadas en la República de Colombia como delito por el Código Penal, artículos 270, 271 y 272. La Ley 603 de 2000 regula que cada empresa debe indicar en el Informe de Gestión el tipo de software que utiliza la empresa y las licencias que lo amparan; un listado detallado de los programas instalados y números de licencias; la elaboración de un acta donde estén enumerados los programas utilizados, sus correspondientes facturas de adquisición y el número de licencia. De igual manera, la factura de venta y el número de licencia pueden ser mecanismos de control a utilizar para la elaboración del informe de gestión, teniendo en cuenta que al adquirir computadores que lleven programas incorporados deben solicitarse las licencias de uso respectivas. Se identificó de manera directa en la inspección ocular que siete (7) de los ocho (8) equipos asignados a la oficina de tributos presentan ilegalidad en el sistema operativo. La Gestión de los diferentes sistemas, la implementación de políticas y controles para el uso de software, hardware y afines, la supervisión y demás actividades que garanticen y soporten el uso de tecnologías, son responsabilidad del personal encargado de las Tecnologías de Información. La anterior situación obedece a la ausencia de políticas de protección de la propiedad intelectual y derechos de autor, configurándose por lo tanto hallazgo administrativo.

11

Hallazgo Nº 04. Infraestructura Tecnológica – Hallazgo Administrativo La Secretaria de Hacienda de la alcaldía de San Vicente del Caguán no cuenta con una infraestructura tecnológica (hardware, software, redes de datos) definida, ni tampoco adecuada para la ejecución de labores que en cada una de las dependencias se desarrolla. Prueba de ello está en que no se hallaron diseños del diagrama de estructura de red, se evidenció la mala instalación en las canaletas de transmisión de datos, no existe un espacio físico para alojar el servidor web, por el contrario se instaló en un rincón de la oficina con carencia de seguridad dado que tiene una puerta abierta sin llave y láminas de cielo raso faltantes, que evidencian la instalación inadecuada de la red. La carencia de apoyo en los recursos tecnológicos entorpece no solo el desempeño de las funciones de cada uno de los empleados, sino también de manera directa la calidad del servicio prestado por la entidad, toda vez que afecta los sistemas de información tributarios y contables. Igualmente se halló falencias a falta de terminales de suministro eléctrico como tomas de corriente. La anterior situación obedece a la ausencia de políticas para los sistemas de información, configurándose por lo tanto hallazgo administrativo. Hallazgo Nº 05. Deficiencias del Control Interno – Hallazgo Administrativo El ente de control reconoce que existe un plan de auditorías para la vigencia 2013, en donde claramente se evidencia el procedimiento de auditoria para los procesos de recaudo, fiscalización, liquidación, discusión y cobro de impuestos en el municipio de San Vicente del Caguán. Así mismo se resalta la existencia de un mapa de riesgos de corrupción en el que se consideran los temas de falta de sistematización, internet y virus informático, como una acción de importancia a tener en cuenta para atender las fallas en los sistemas de información, por último se evidencia la existencia de un plan de capacitación. En consideración a lo anterior el ente de control observo que:

El plan de auditoría aún no cuenta con un procedimiento de auditoria establecido EXCLUSIVAMENTE para controlar y ayudar a la mejora de los sistemas de información de la oficina de tributos.

Dentro del mapa de riesgo de corrupción no se encuentran las medidas de control necesarias que proporcionen un apoyo eficiente al momento de presentarse algún tipo de falla que comprometa los sistemas de información dentro de la oficina de tributos, por este motivo el ente de control considera que el mapa de riesgos de corrupción NO es estrategia suficiente y viable, por el mismo hecho de que no está específicamente dedicado al control o prevención de fallas.

El ente de control determina que el plan de formación y capacitación presentado por el ente auditado NO es considerado como un programa que favorezca el fortalecimiento de inducción y reinducción a los procesos y procedimientos para el cobro del impuesto predial e industria y comercio, ya que no tiene como objeto fundamental de capacitación en temas que induzcan al manejo eficiente de los sistemas de información utilizados por la oficina de tributos.

Si bien es cierto que el ente auditado no cumple a cabalidad con lo previamente manifestado, también es, que en la controversia describen el cumplimiento de una serie de actividades establecidas y tiene a consideración acciones de importancia para los procesos de facturación y recaudo de impuestos dentro del plan de mejoramiento, por lo tanto, el presente hallazgo se mantiene como Hallazgo Administrativo.

12

Hallazgo Nº 06. Políticas de seguridad de la información – Hallazgo Administrativo La información es un recurso que tiene valor para la comunidad y por consiguiente debe ser debidamente protegida, garantizando la continuidad de los sistemas de información, minimizando los riesgos de daño y contribuyendo de esta manera, a una mejor gestión. Como objetivo se plantea el proteger los recursos de información del municipio y la tecnología utilizada para su procesamiento, frente a amenazas internas o externas, deliberadas o accidentales, con el fin de asegurar el cumplimiento de la confidencialidad, integridad disponibilidad y confiabilidad de la información. El grupo encargado de la seguridad informática no está cumpliendo con lo estipulado en el manual de políticas de seguridad de la información del municipio de San Vicente del Caguán dado que:

No existe evidencia de la señalización que impida y prohíba el acceso a personas no autorizadas a las instalaciones de la Secretaria de Hacienda.

No se implementan medidas escritas para proteger la información manejada por el personal en las oficinas, en el marco normal de sus labores habituales.

El equipo donde se hospeda el sistema de información de industria y comercio no cuenta con un equipamiento que proteja la información con respecto a las posibles fallas en el suministro de energía u otras anomalías eléctricas.

Se impide el acceso no autorizado a los sistemas de información por medio de técnicas de autenticación, pero no a la base de datos donde reposa la información del impuesto predial, por ende, está desprotegida ante cualquier amenaza.

El ente de control reconoce las mejoras que se han hecho con respecto al seguimiento de las políticas de seguridad para el manejo de la información, por lo tanto determina que no existe implicación legal dentro de los procesos establecidos por la entidad auditada con respecto a las políticas de seguridad, pero enfatiza en que no se ha corregido de manera completa las causas que determinan y denotan lo descrito en el presente hallazgo, lo que afecta de manera directa el cumplimiento de los lineamientos de control y aspectos como integridad, disponibilidad y seguridad de los sistemas de información. Por lo expuesto anteriormente, se evidencia el incumplimiento a las políticas de seguridad de la información, configurándose por lo tanto hallazgo administrativo. Hallazgo No 07. Políticas y Procedimientos – Hallazgo Administrativo Toda entidad pública debe implementar estrategias de desarrollo transparente, eficiente y eficaz para el fortalecimiento del control interno y el cumplimiento de la gestión de la calidad.

La entidad auditada ha diseñado una política institucional para la creación, manejo y recuperación de copias de seguridad (backup) de la información, pero no se da cumplimiento a cabalidad por parte del personal responsable de dicho procedimiento, dado que no se garantiza la seguridad y recuperación de la información para el servicio de la administración municipal y de los procesos de la entidad, toda vez que la Ley 1266 de 2008 establece en su artículo 4 inciso a) y f) los principios de la administración de los datos y la implementación de las medidas técnicas necesarias para garantizar la seguridad de los registros evitando su adulteración, perdida, consulta o uso no autorizado.

13

La entidad no cuenta con un PLAN DE CONTINGENCIA ante la ausencia, falla o interrupción de los sistemas de información que responda a los riesgos que implica la inoperancia de los sistemas de información tributarios e incluya cada una de las actividades para el restablecimiento o mantenimiento de los procesos de gestión tributaria.

La alcaldía de San Vicente del Caguán no cuenta con un MANUAL INTERNO DE MANEJO DE LA TECNOLOGÍA que estimule las buenas prácticas, para el uso y aprovechamiento de las herramientas tecnológicas y de informática con las que cuenta el municipio, como lo es correo electrónico, equipos de cómputo, dispositivos de red, entre otros.

La anterior situación obedece a la ausencia de políticas que permitan implementar sobre la gestión de la calidad en cuanto al manejo eficiente y eficaz que evidencie el buen uso de los sistemas de información. Por todo lo expuesto anteriormente, esto conlleva a que el municipio pueda estar expuesto a posibles fallas dentro del sistema de información por el uso indebido e ineficiente, ya que no existen políticas o procedimientos que respalden dicho uso. Hallazgo No 08. Cláusula de confidencialidad – Hallazgo Administrativo La información que reposa en los equipos de la Secretaria de Hacienda contiene información clasificada de uso privado, por ende los funcionarios tienen el deber de salvaguardar y no divulgar dicha información al público. Dado que cualquier mal manejo puede incurrir al incumplimiento de los objetivos organizacionales. Se identificó que el sistema de información para el cobro del impuesto predial fue suministrado por medio de un acuerdo verbal entre la persona encargada de la administración del mismo y el actual Alcalde del Municipio de San Vicente del Caguán, más no por un contrato formal, lo que conlleva a la inexistencia de una cláusula de confidencialidad de la información de la oficina de tributos que recaiga sobre la persona encargada de dar soporte y mantenimiento al software de la Secretaria de Hacienda para constatar la privacidad de la información del sistema de Predial. Del mismo modo, la entidad no ha dado cumplimiento a lo establecido en los artículos 583 y 586 del Decreto 624 de 1989, dado que no se contempló una cláusula de confidencialidad de la información tributaria suministrada a la contratista Diana Carolina Pedraza Marroquín, para el desarrollo del objeto contractual “ACTUALIZACIÓN DE BASE DE DATOS Y PROGRAMAS PARA EL COBRO DE IMPUESTO PREDIAL Y DE INDUSTRIA Y COMERCIO DEL MUNICIPIO DE SAN VICENTE DEL CAGUÁN CAQUETÁ” en virtud del Contrato de Prestación de Servicios Nº 040 celebrado el 15 de febrero de 2012, con valor inicial de $9.000.000, con el fin de garantizar la absoluta reserva de la información tributaria y de los contribuyentes. La anterior situación obedece a la falta de control administrativo en los procesos de contratación, configurándose por lo tanto hallazgo administrativo. Hallazgo Nº 09. Estrategias de gobierno en línea - Hallazgo Administrativo. Mediante acta de reunión del 28 de Noviembre de 2013, el equipo auditor verificó el cumplimiento de la Estrategia de Gobierno en Línea para el Municipio de San Vicente del Caguán y definir las acciones que permitan el correcto avance en la ejecución de las Fases tomando como base el MANUAL 3.0 PARA LA IMPLEMENTACIÓN DE LA ESTRATEGIA DE GOBIERNO EN LINEA EN LAS ENTIDADES DEL NIVEL NACIONAL DE LA REPUBLICA DE COLOMBIA.

14

El equipo auditor junto con el técnico de mantenimiento JAHIR ANDRES GUARNIZO OSORIO se reúne con el fin de verificar el cumplimiento de las Estrategias de Gobierno en Línea (GEL), e identifica:

No existen planos de red para respaldar la estructura misma de los equipos involucrados dentro de esta, así mismo se logra evidenciar de manera irrefutable que debido a esta falta no se puede verificar el buen funcionamiento de la red, haciendo un debido seguimiento al tráfico de la información.

Para realizar promociones a los servicios que ofrece la página web, el técnico encargado sustenta que la alcaldía Municipal de San Vicente del Caguán posee una página en Facebook y realiza promociones por dicha página, la cual actualiza semanalmente manejando todo tipo de contenido tales como imágenes y publicación de noticias.

Del mismo modo, se pudo determinar que el técnico encargado no conoce las estrategias de gobierno en línea, tampoco tiene conocimiento del manual de gobierno en línea donde se establecen los lineamientos que permiten masificar el uso de las tecnologías de información para aumentar la calidad y fomentar la competitividad dentro del sector productivo.

La entidad no da cumplimiento a lo ordenado por los artículos 2, 3, 4, 5, 6, 7 y 8 del Decreto 134 del 25 de Septiembre de 2013, toda vez que el objetivo del comité de gobierno en línea de la Alcaldía de San Vicente del Caguán es garantizar la adecuada implementación de la estrategia de GEL por parte de la entidad y hacer cumplimiento a lo siguiente:

Los integrantes del comité de GEL o invitados permanentes deben definir y dar cumplimiento a los mecanismos relacionados con el GEL tales como la Ley 962 de 2005, Ley 1150 de 2007 y los Decretos 066 y 1151 de 2008.

Liderar, bajo los lineamientos de la estrategia de GEL, la elaboración del diagnóstico y la formulación y seguimiento al plan de acción de GEL de la entidad

El comité deberá hacer seguimiento a la implementación de las estrategias de GEL cada tres (3) meses.

Los miembros del comité deberán apoyar y ser partícipes de los reportes de avances y resultados de la gestión del comité al representante legal de la entidad.

El líder de gobierno en línea deberá informar al menos una vez al semestre, el avance y resultado de las acciones interinstitucionales de GEL realizadas con los líderes de GEL de las entidades que integren el sector.

La anterior situación obedece a la ausencia de políticas sobre gestión en las Estrategias de Gobierno en Línea, lo cual evidencia el incumplimiento por parte del comité de GEL y desconocimiento por parte de los invitados permanentes, esto infiere de manera directa en los lineamientos que permiten masificar el uso de las tecnologías de información para aumentar la calidad y fomentar la competitividad dentro del sector productivo. Lo anterior se configura como hallazgo administrativo.

15

Hallazgo Nº 10. Publicación de contratos al SECOP - Hallazgo Administrativo y Disciplinario El equipo auditor constató en la página de SECOP la publicación de los trece (13) contratos y procedió a verificar si hay evidencia del cumplimiento de esta obligación, según el artículo 223 de Decreto 019 de 2012. Dentro del proceso de verificación se encontró que: Contrato de suministro No. 079 con (Publicación SECOP MC-SVTE-022): El ente de control verifico la publicación en la página del SECOP y evidencio inconsistencias en la cuantía publicada con respecto a la establecida en el contrato físico. Cuantía Publicada: $16.578.360 Cuantía Contrato Físico: $16.498.360 Diferencia de: $80.000 Contrato de suministro No. 224 con (Publicación SECOP MC-SVTE-099): El ente de control verifico la publicación en la página del SECOP y evidencio inconsistencias en la cuantía publicada con respecto a la establecida en el contrato físico. Cuantía Publicada: $8.030.000 Cuantía Contrato Físico: $6.528.000 Diferencia de: $1.502.000 El ente control argumenta que no existe evidencia de la aceptación de la oferta y la oferta seleccionada. Contrato de suministro No. 206 con (Publicación SECOP MC-SVTE-099): El ente de control verifico la publicación en la página del SECOP y evidencio inconsistencias en la cuantía publicada con respecto a la establecida en el contrato físico. Cuantía Publicada: $ 8.715.000 Cuantía Contrato Físico: $8.477.000 Diferencia de: $238.000 El ente control argumenta que no existe evidencia de la aceptación de la oferta y la oferta seleccionada. Contrato de suministro No. 171 con (Publicación SECOP MC-SVTE-055): Una vez verificado en la página del SECOP se evidencia que el contrato publicado no corresponde al contrato físico No. 171 (Suministro de materiales y equipos eléctricos para la adecuación de las salas de informática como apoyo al programa computadores para educar). Contrato de suministro No. 068 con (Publicación SECOP MC-SVTE-011): Una vez verificado en la página del SECOP se evidencia que el contrato publicado no corresponde al contrato físico No. 068 (Suministro de computadores. Impresoras. Equipos y accesorios de cómputo con destino a la alcaldía municipal de san Vicente del Caguán. Caquetá). Contrato de suministro No. 070 con (Publicación SECOP MC-SVTE-015): El ente de control verifico la publicación en la página del SECOP y evidencio inconsistencias en la cuantía publicada con respecto a la establecida en el contrato físico. Cuantía Publicada: $ 16.573.868 Cuantía Contrato Físico: $16.503.868

16

Diferencia de: $70.000 Contrato de suministro No. 097 con (Publicación SECOP MC-SVTE-026): El ente de control verifico la publicación en la página del SECOP y evidencio inconsistencias en la cuantía publicada con respecto a la establecida en el contrato físico. Una vez verificado en la página del SECOP se evidencia que el contrato publicado no corresponde al contrato físico No. 097 (Suministro de materiales y equipos eléctricos para la adecuación de las salas de informática para las escuelas rurales como apoyo al programa computadores para educar). El equipo auditor concluye que el cumplimiento de esta obligación se está llevando a cabo de manera incompleta y no se están siguiendo los lineamientos de control, la anterior situación obedece a la ausencia de políticas para los sistemas de información, configurándose por lo tanto hallazgo administrativo y disciplinario por el mismo hecho de que no se está haciendo cumplimiento al artículo 223 del Decreto 019 de 2012, y se evidencia un desconocimiento de la normatividad.

17

ANEXO No. 1.

Matriz de Hallazgos

CONTRALORÍA DEPARTAMENTAL DEL CAQUETÁ Dirección Técnica de Control Fiscal Integral

ENTIDAD AUDITADA: Alcaldía de San Vicente del Caguán VIGENCIA: 2012 y corrido de 2013 MODALIDAD AUDITADA: Auditoria Gubernamental con Enfoque Integral Modalidad Especial

No. Descripción del Hallazgo Traslado Página Informe

Cuantía en $

Administrativo Fiscal Disciplinario Penal

1 Se identificó que para el recaudo del impuesto de Industria y Comercio se utiliza un sistema de información desarrollado en DOS-CLIPPER y este fue implementado desde el año 2004, este aplicativo no cumple totalmente con lo descrito por el Ministerio de Hacienda para ser catalogado como Sistema de Información, dado que esta aplicación no se ejecuta bajo ambiente web, no utiliza un SGBD, es monousuario, el acceso a la información del sistema es de fácil acceso y utiliza únicamente una contraseña para el ingreso.

X 8

2 Se identificó que para el recaudo del impuesto Predial se utiliza un sistema de información desarrollado en ambiente web, el cual permite la realización de cálculos evitando la realización de procesos manuales, es multiusuario, está desarrollado bajo

X 9

18

lenguaje PHP y utiliza un SGBD PHPMYADMIN, Se identifica que el acceso a la base de datos del sistema de información predial está abierto y no utiliza contraseñas para el ingreso, no poseen políticas de privacidad y seguridad estipuladas de manera escrita por la entidad, la base de datos contiene en todas las tablas el registro de modificación y creación de los datos, de igual manera se evidencia el responsable que realiza dicha acción, pero no muestra controles y reportes de auditoría que conduzcan eficazmente a determinar la situación real de la tributación y combatir la evasión y la elusión fiscal.

3

Se identificó de manera directa en la inspección ocular que siete (7) de los ocho (8) equipos asignados a la oficina de tributos presentan ilegalidad en el sistema operativo. La Gestión de los diferentes sistemas, la implementación de políticas y controles para el uso de software, hardware y afines, la supervisión y demás actividades que garanticen y soporten el uso de tecnologías, son responsabilidad del personal encargado de las Tecnologías de Información.

X 10

4 La Secretaria de Hacienda de la alcaldía de San Vicente del Caguán no cuenta con una infraestructura tecnológica (hardware, software, redes de datos) definida, ni tampoco adecuada para la ejecución de labores que en cada una de las dependencias se desarrollan. Prueba de ello está en que no se hallaron diseños del diagrama de estructura de red, se evidenció la mala instalación en las canaletas de transmisión de datos, no existe un espacio físico para alojar el servidor web, por el contrario se instaló en un rincón de la oficina con carencia de seguridad, dado que tiene una puerta abierta sin llave y láminas de cielo raso faltantes que evidencian la instalación inadecuada de la red.

X 11

19

5 El ente de control observó que: El plan de auditoría aún no cuenta con un procedimiento de auditoria establecido EXCLUSIVAMENTE para controlar y ayudar a la mejora de los sistemas de información de la oficina de tributos. Dentro del mapa de riesgo de corrupción no se encuentran las medidas de control necesarias que proporcionen un apoyo eficiente al momento de presentarse algún tipo de falla que comprometa los sistemas de información dentro de la oficina de tributos, por este motivo el ente de control considera que el mapa de riesgos de corrupción NO es estrategia suficiente y viable, por el mismo hecho de que no está específicamente dedicado al control o prevención de fallas. El ente de control determina que el plan de formación y capacitación presentado por el ente auditado NO es considerado como un programa que favorezca el fortalecimiento de inducción y reinducción a los procesos y procedimientos para el cobro del impuesto predial e industria y comercio, ya que no tiene como objeto fundamental de capacitación en temas que induzcan al manejo eficiente de los sistemas de información utilizados por la oficina de tributos. Si bien es cierto que el ente auditado no cumple a cabalidad con lo previamente manifestado, también es, que en la controversia describen el cumplimiento de una serie de actividades establecidas y tiene a consideración acciones de importancia para los procesos de facturación y recaudo de impuestos dentro del plan de mejoramiento, por lo tanto, el presente hallazgo se mantiene como Hallazgo Administrativo.

X 11

20

6 El ente de control reconoce las mejoras que se han hecho con respecto al seguimiento de las políticas de seguridad para el manejo de la información, por lo tanto determina que no existe implicación legal dentro de los procesos establecidos por la entidad auditada con respecto a las políticas de seguridad, pero enfatiza en que no se ha corregido de manera completa las causas que determinan y denotan lo descrito en el presente hallazgo, lo que afecta de manera directa el cumplimiento de los lineamientos de control y aspectos como integridad, disponibilidad y seguridad de los sistemas de información. Por lo expuesto anteriormente, se evidencia el incumplimiento a las políticas de seguridad de la información, configurándose por lo tanto hallazgo administrativo.

X 12

7 La entidad auditada ha diseñado una política institucional para la creación, manejo y recuperación de copias de seguridad (backup) de la información, pero no se da cumplimiento a cabalidad por parte del personal responsable de dicho procedimiento, dado que no se garantiza la seguridad y recuperación de la información para el servicio de la administración municipal y de los procesos de la entidad, toda vez que la Ley 1266 de 2008 establece en su artículo 4 inciso a) y f) los principios de la administración de los datos y la implementación de las medidas técnicas necesarias para garantizar la seguridad de los registros evitando su adulteración, perdida, consulta o uso no autorizado.

X 12

8

Se identificó que el sistema de información para el cobro del impuesto predial fue suministrado por medio de un acuerdo verbal entre la persona encargada de la administración del mismo y el actual Alcalde del municipio de San Vicente del Caguán, más no por un contrato formal, lo que conlleva a la

X 13

21

inexistencia de una cláusula de confidencialidad de la información de la oficina de tributos recaiga sobre la persona encargada de dar soporte y mantenimiento al software de la Secretaria de Hacienda para constatar la privacidad de la información del sistema de Predial. Del mismo modo, la entidad no ha dado cumplimiento a lo establecido en los artículos 583 y 586 del Decreto 624 de 1989, dado que no se contempla una cláusula de confidencialidad de la información tributaria suministrada al contratista Diana Carolina Pedraza Marroquín, para el desarrollo del objeto contractual “ACTUALIZACIÓN DE BASE DE DATOS Y PROGRAMAS

PARA EL COBRO DE IMPUESTO PREDIAL Y DE INDUSTRIA Y COMERCIO

DEL MUNICIPIO DE SAN VICENTE DEL CAGUÁN CAQUETÁ” en el Contrato de Prestación de Servicios Nº 040 celebrado el 15 de febrero de 2012, con valor inicial de $9.000.000, con el fin de garantizar la absoluta reserva de la información tributaria y de los contribuyentes.

9 Mediante acta de reunión del 28 de Noviembre de 2013, el

equipo auditor permite verificar el cumplimiento exitoso de la Estrategia de Gobierno en Línea para el municipio de San Vicente del Caguán y definir las acciones que permitan el correcto avance en la ejecución de las Fases tomando como base el MANUAL 3.0 PARA LA IMPLEMENTACIÓN DE LA ESTRATEGIA DE GOBIERNO EN LINEA EN LAS ENTIDADES DEL NIVEL NACIONAL DE LA REPUBLICA DE COLOMBIA.

X 13

10 El ente de control realizó nuevamente una revisión exhaustiva para los contratos de suministro de tecnología encontrando que, si bien es cierto que existe evidencia por parte de la

X X 15

22

entidad auditada con respecto a los contratos de suministro No. 144 (Proceso MC- SVTE-047), No. 172 (Proceso MC- SVTE-058) y No. 097 (Proceso MC- SVTE-029) publicados en el SECOP, también es cierto que se evidencia el hecho de que existen diferencias que comprometen la cuantía a contratar en los contratos enviados físicamente a la entidad de control y a los publicados en la página del SECOP. Con respecto a la publicación de los contratos restantes se evidencia de igual

manera que no existe copia o anexo de alguna evidencia verídica que ratifique que las publicaciones corresponden debidamente a los contratos dentro del presente hallazgo, por lo tanto sigue en pie el incumplimiento del artículo 223 del decreto 019 de 2012 y se mantiene el presente hallazgo como Administrativo y Disciplinario.

23

ANEXO No. 2

Matriz de Controversia

CONTRALORÍA DEPARTAMENTAL DEL CAQUETÁ Dirección Técnica de Control Fiscal Integral

ENTIDAD AUDITADA: Alcaldía de San Vicente del Caguán VIGENCIA: 2012 y corrido de 2013 MODALIDAD AUDITADA: Auditoria Gubernamental con Enfoque Integral Modalidad Especial

NO. DESCRIPCIÓN DEL HALLAZGO CONTROVERSIA CONCLUSIÓN

1 HALLAZGO N°01 Seguridad, Integridad de la Información en el sistema de información para el recaudo del impuesto de Industria y Comercio – Hallazgo Administrativo Se identificó que para el recaudo del impuesto de Industria y Comercio se utiliza un sistema de información desarrollado en DOS-CLIPPER y este fue implementado desde el año 2004. Este aplicativo no cumple totalmente con lo descrito por el Ministerio de Hacienda para ser catalogado como Sistema de Información, dado que esta aplicación no ejecuta bajo ambiente web, no utiliza un SGBD, es monousuario, la información está sin protección y utiliza únicamente una contraseña para el ingreso. Dentro del proceso auditor se pudo determinar lo siguiente:

No poseen políticas de privacidad y seguridad estipulada de manera escrita por la entidad, por ende, no existe ningún control para el sistema de información que garantice resistencia al sabotaje.

No existe controversia por parte de la entidad auditada. Se mantiene el hallazgo como se presentó en el informe preliminar.

24


No existen procedimientos adecuados para los cambios periódicos de las contraseñas que incluyan tiempo de expiración, prohibiciones en la construcción de las nuevas contraseñas, controles implementados como mensajes de alerta de expiración, y bloqueos del sistema.

El código fuente de la aplicación es accesible para cualquiera que tenga un breve conocimiento y se encuentra expuesto a cambios o modificaciones que puedan vulnerarlo.

El sistema de información no cuenta con registros de auditoría donde se evidencie de manera escrita y especifica todos los accesos a las librerías del código fuente, lo que ocasiona que no se pueda llegar a saber quién realizó modificaciones al código fuente en caso de alguna falla o actualización al sistema.

No existen maneras alternas de ejecutar la aplicación en caso de que se presenten fallas, ni tampoco es posible verificar el registro de fallas a través de la aplicación. Además, tampoco se cuenta con planes de contingencia estipulados para la restauración del sistema.

No están documentados los procedimientos para el control de la información incluyendo, autorizaciones al equipo de cada sistema de información, revisión de las autorizaciones, registro de control de errores y excepciones.

La información de los contribuyentes se guarda en un archivo plano el cual se aloja en una carpeta de la aplicación, no posee usuarios y no utiliza contraseñas para acceder, por ende, no se puede garantizar la confiabilidad de la ejecución de las

25


operaciones internas, al igual que la generación de datos e información dirigida a los grupos de interés externos.

El aplicativo para el recaudo del impuesto de industria y comercio no muestran controles ni reportes de auditoría necesarios que conduzcan eficazmente a determinar la situación real de la tributación y combatir la evasión y la elusión fiscal.

En cuanto a la integridad del sistema de información se identificó que no existe integridad referencial ni integridad de entidad, dado que no existe la implementación de una base de datos que permita establecer la conexión entre los datos, por el contrario, la información se está almacenando directamente en archivos planos la cual es fácil acceder y modificar con riesgo de insertar valores incorrectos.

No existe un adecuado rastro de auditoría de información para reconstruir cualquier transacción o evento durante un tiempo razonable.

De igual manera se determinó que a causa de la falta de una UPS en el equipo donde se maneja el sistema de información, los datos pueden perderse debido a un fallo en el suministro de energía.

Realizando la evaluación al sistema de información de Industria y Comercio de la manera en que están ejecutando el proceso, se concluye que el sistema no cumple con lo expuesto, pues no se han establecido mecanismos de control que contribuyan a garantizar la confiabilidad, seguridad e integridad de la información, por ende el sistema no cuenta con los

26


requerimientos para asegurar la autenticidad y proteger la integridad de los datos, pues los riesgos de este sistema no son identificados y no tienen controles implementados. La anterior situación obedece a la ausencia de políticas sobre gestión en los sistemas de información, por la deficiencia del sistema de control interno y ausencia de seguimiento y verificación, cambio total o parcial a los procesos y herramientas de sistemas de información, configurándose como hallazgo administrativo.

2

HALLAZGO N°02 Seguridad, Integridad de la Información en el sistema de información para el recaudo del impuesto predial – Hallazgo Administrativo Se identificó que para el recaudo del impuesto Predial se utiliza un sistema de información desarrollado en ambiente web, el cual permite la realización de cálculos evitando la ejecución de procesos manuales, es multiusuario, está desarrollado bajo lenguaje PHP y utiliza un SGBD PHPMYADMIN, posee veintiséis (26) tablas, pero no cuenta con el soporte que evidencie el modelo relacional de la base de datos. El código fuente de la aplicación es accesible para cualquiera que tenga el conocimiento y se encuentra expuesto a cambios o modificaciones. Se identifica que el acceso a la base de datos del sistema de información predial está abierto y no utiliza contraseñas para el ingreso, no poseen políticas de privacidad y seguridad estipuladas de manera escrita por la entidad, la base de datos contiene en todas las tablas el registro de modificación y creación de los datos, de igual manera se evidencia el responsable que realiza dicha acción, pero no muestra controles y reportes de auditoría que conduzcan eficazmente a determinar la situación real de la tributación y combatir la evasión y la elusión fiscal.

No existe controversia por parte de la entidad auditada.

Se mantiene el hallazgo como se presentó en el informe preliminar.

27


El aplicativo de predial tiene acceso para cada usuario controlado por medio de roles, entre ellos se encuentran el rol de administrador y rol de usuario, cada uno con sus respectivas contraseñas. En la inspección ocular se identificó que el actual Secretario de Hacienda debería tener un rol de administrador como jefe de oficina, por el contrario posee un rol con pocos privilegios, lo que quiere decir que no existe un plan para la actualización de roles y contraseñas. Entre otras falencias que se puntualizan en:

El servidor donde se hospeda el sistema de información para el recaudo del Impuesto Predial no tiene contraseña de ingreso, por ende cualquier persona con conocimientos mínimos en PHPMYADMIN puede ingresar a la base de datos y fácilmente modificar, insertar, consultar y eliminar información importante.

El sistema de información para el recaudo del impuesto predial no permite realizar copias de seguridad por lo que es necesario utilizar aplicaciones externas para el uso de las mismas.

El sistema de información no cuenta con el respectivo manual de usuario que indique al operador del sistema como utilizarlo, tampoco existe el diccionario de datos para facilitar la interpretación de los campos, lo que repercute en la manipulación e interpretación de la información.

No existen procedimientos adecuados para los cambios periódicos de las contraseñas que incluyan tiempo de expiración, prohibiciones en la construcción de los nuevas contraseñas, controles implementados como mensajes de alerta de expiración, y bloqueos del sistema.

28


No existe un adecuado rastro de auditoría dentro de la base de datos para reconstruir cualquier transacción o evento durante un tiempo razonable.

El sistema de información para el recaudo del impuesto predial debería exigir las resoluciones emitidas por el IGAC como soporte para la realización de cualquier cambio a la información y actualmente no se da cumplimiento.

No es posible verificar el registro de fallas a través de la aplicación, de igual manera no se cuenta con un centro de notificación, mesa de soporte que registre novedades y supervise cambios al sistema de información tributario.

La anterior situación obedece a la ausencia de políticas sobre gestión en los sistemas de información, por la deficiencia del sistema de control interno y ausencia de seguimiento y verificación, cambio total o parcial a los procesos y herramientas de sistemas de información, configurándose como hallazgo administrativo.

3

Hallazgo Nº 03. Licenciamiento de Software – Hallazgo Administrativo La instalación o reproducción de programas de computador sin la oportuna autorización del titular (Licencia) infringe el derecho expresamente reconocido a dichos titulares por la legislación colombiana y tratados internacionales de los que el país es parte. Las infracciones relacionadas con el Derecho de Autor y Conexos están tipificadas en la República de Colombia como delito por el Código Penal, artículos 270, 271 y 272. La Ley 603 de 2000 regula que cada empresa debe indicar en el Informe de Gestión el tipo de software que utiliza la empresa y las licencias que lo amparan; un listado detallado de los

No existe controversia por parte de la entidad auditada.

Se mantiene el hallazgo como se presentó en el informe preliminar.

29


programas instalados y números de licencias; la elaboración de un acta donde estén enumerados los programas utilizados, sus correspondientes facturas de adquisición y el número de licencia. De igual manera, la factura de venta y el número de licencia pueden ser mecanismos de control a utilizar para la elaboración del informe de gestión, teniendo en cuenta que al adquirir computadores que lleven programas incorporados deben solicitarse las licencias de uso respectivas. Se identificó de manera directa en la inspección ocular que siete (7) de los ocho (8) equipos asignado a la oficina de tributos presentan ilegalidad en el sistema operativo. La Gestión de los diferentes sistemas, la implementación de políticas y controles para el uso de software, hardware y afines, la supervisión y demás actividades que garanticen y soporten el uso de tecnologías, son responsabilidad del personal encargado de las Tecnologías de Información. La anterior situación obedece a la ausencia de políticas de protección de la propiedad intelectual y derechos de autor, configurándose por lo tanto hallazgo administrativo.

4

Hallazgo Nº 04. Infraestructura Tecnológica – Hallazgo Administrativo La Secretaria de Hacienda de la alcaldía de San Vicente del Caguán no cuenta con una infraestructura tecnológica (hardware, software, redes de datos) definida, ni tampoco adecuada para la ejecución de labores en cada una de las dependencias se desarrolla. Prueba de ello está en que no se hallaron diseños del diagrama de estructura de red, se evidenció la mala instalación en las canaletas de transmisión de datos, no existe un espacio físico para alojar el servidor web, por el contrario se instaló en un rincón de la oficina con carencia de seguridad dado que tiene una puerta abierta sin llave y


30


láminas de cielo raso faltantes, que evidencian la instalación inadecuada de la red. La carencia de apoyo en los recursos tecnológicos entorpece no solo el desempeño de las funciones de cada uno de los funcionarios, sino que también afectan de manera directa la calidad del servicio prestado por la entidad, toda vez que afecta los sistemas de información tributarios y contables. Igualmente se halló falencias a falta de terminales de suministro eléctrico como tomas de corriente. La anterior situación obedece a la ausencia de políticas para los sistemas de información, configurándose por lo tanto hallazgo administrativo.

5

Hallazgo Nº 05. Deficiencias del Control Interno – Hallazgo Administrativo y Disciplinario La Alcaldía de San Vicente del Caguán no dio cumplimiento al Decreto 1599 de 2005, a los artículos 2,3,6 y 9 de la Ley 87 de 1993, los artículos 2 y 3 del Decreto 1537 del 2001, el artículo 21 del Decreto 1876 de 1994, el artículo 9 de la Ley 1474 de 2011 y los numerales 1, 2, 10 y 24 del artículo 34 de la Ley 734 de 2002, toda vez que el fin de un sistema de gestión o control interno, no se ha enmarcado dentro de un proceso técnico de dirección, acompañamiento, asesoría, verificación, evaluación y seguimiento al cumplimiento de las actividades, operaciones y actuaciones de la oficina de Tributos Municipales que garanticen el control sobre los procesos realizados por los operarios de los sistemas de información tributarios, en procura del desarrollo eficiente de la misión de la entidad y de las funciones de los cargos de la misma, tal como se describe a continuación:

La oficina de control interno no posee un plan de auditorías destinado exclusivamente a controlar y ayudar a mejorar los sistemas de información para

En consideración del hallazgo número 05, denominado Deficiencias del Control Interno – Hallazgo administrativo y disciplinario, comedidamente me permito presentar las respectivas controversias a la afirmación del ente de control que expresa: • La oficina de control interno no posee un plan de auditorías destinado exclusivamente a controlar y ayudar a mejorar los sistemas de información, los cuales son importantes para el recaudo de impuestos. De acuerdo con el Plan de Auditoría para la vigencia 2013, presentado en el mes de abril del mismo año, dentro del procedimiento de auditoría se plantea: -Auditoría a los procesos de recaudo, fiscalización, liquidación, discusión y cobro de los impuestos en el Municipio de San Vicente del Caguán, Caquetá. Esto indica que esta oficina tuvo en cuenta los procesos referentes al tema destacado como hallazgo por este órgano de control; plan que fue entregado a la comisión de auditoría de la Contraloría Departamental, que hizo

El ente de control reconoce que existe un plan de auditorías para la vigencia 2013, en donde claramente se evidencia el procedimiento de auditoria para los procesos de recaudo, fiscalización, liquidación, discusión y cobro de impuestos en el municipio de San Vicente del Caguán. A si mismo se resalta la existencia de un mapa de riesgos de corrupción en el que se consideran los temas de falta de sistematización, internet y virus informático, como una acción de importancia a tener en cuenta para atender las fallas en los sistemas de información, por último se evidencia la existencia de un plan de capacitación. En consideración a lo anterior el ente de control estipula que: -El plan de auditoría aún no cuenta con un procedimiento de auditoria establecido EXCLUSIVAMENTE para controlar y ayudar a la mejora de los sistemas de información de la oficina de tributos.

31


el cobro del impuesto predial e industria y comercio, por ende se presentan ciertas fallas en los sistemas de información los cuales son importantes para el recaudo de impuestos.

La oficina de control interno no ha implementado un plan de contingencias en caso de fallas en los sistemas de información lo cual conlleva a que estos continúen en desmejora, y existan problemas de ineficiencia, ineficacia que no contribuyen al proceso misional de la alcaldía municipal.

La inexistencia de un plan anual de capacitación a los sistemas de información según el artículo 7 del Decreto Ley 1567 de 1998 establece que los planes institucionales de cada entidad deben incluir obligatoriamente, además de programas de inducción, programas de reinducción, los cuales deberán hacerse por lo menos cada dos años, o antes, en el momento en que se produzcan los cambios. Esto conlleva al desconocimiento y desactualización de los procesos y procedimientos para el cobro del impuesto predial e industria y comercio, desmejorando la calidad de la prestación de los servicios a cargo del Estado, generando que algunas dependencias programen y ejecuten actividades de capacitación de forma desarticulada e independiente, dispersando la unidad de criterio frente a temas particulares de la Entidad.

La anterior situación obedece a la ausencia de políticas para mejorar el sistema de gestión de control interno, configurándose por lo tanto hallazgo administrativo, con presunto alcance disciplinario por incumplir lo dispuesto en la Ley 734 de 2002 articulo 34 en sus numerales 1, 2, 10 y 24.

presencia en el Municipio en el presente año, resaltando así la importancia que toma el tema para esta oficina en cumplimiento de lo ordenado por las leyes vigentes. De igual manera en la vigencia 2012, con fecha 22/11/2012, se presentó auditoría específica a los procesos de facturación y recaudo de impuestos a fin de determinar la eficiencia y eficacia de los procesos administrativos implementados en la respectiva área. En el mes de julio del presente año se presentó informe de avance del Plan de Mejoramiento Auditoria Financiera, donde se consideró los numerales 2, 3, 4, 5, 6 y 7 como acciones de importancia para los procesos de facturación y recaudo de impuestos. Este proceso de Plan de Mejoramiento viene siendo liderado y monitoreado por la Oficina de Control Interno, como una de sus metas de importancia. • La Oficina de Control Interno no ha implementado un plan de contingencias en caso de fallas en los sistemas de información, lo cual conlleva a que estos continúen en desmejora, y existan problemas de ineficiencia, ineficacia, que no contribuyen al proceso misional de la Alcaldía Municipal. Pese a que no se ha implementado un Plan de Contingencias en caso de fallas en los sistemas de información, se cuenta con un mapa de riesgos de corrupción en el que se consideran los temas de falta de sistematización, internet y virus informático, como una acción de importancia a tener en cuenta para atender las fallas en los sistemas de información. Es de resaltar que uno de los parámetros a tener en cuenta para la elaboración del Plan de Contingencia en caso de fallas en los sistemas de información, es contar

-Dentro del mapa de riesgo de corrupción no se encuentran las medidas de control necesarias que proporcionen un apoyo eficiente al momento de presentarse algún tipo de falla que comprometa a los sistemas de información dentro de la oficina de tributos, por este motivo el ente de control considera que el mapa de riesgos de corrupción NO es estrategia suficiente y viable, por el mismo hecho de que no está específicamente dedicado al control o prevención de fallas. -El ente de control determina que el plan de formación y capacitación presentado por el ente auditado NO es considerado como un programa que favorezca el fortalecimiento de inducción y reinducción a los procesos y procedimientos para el cobro del impuesto predial e industria y comercio, ya que no tiene como objeto fundamental de capacitación temas que induzcan al manejo eficiente de los sistemas de información utilizados por la oficina de tributos. Si bien es cierto que el ente auditado no cumple a cabalidad con lo previamente manifestado, también es cierto que en la controversia describen el cumplimiento de una serie de actividades establecidas y tiene a consideración acciones de importancia para los procesos de facturación y recaudo de impuestos dentro del plan de mejoramiento. Por lo tanto, el presente hallazgo no amerita la connotación de incidencia disciplinaria como se plantea en el informe preliminar, pero se concluye que se mantiene como Hallazgo Administrativo con el objeto de eliminar la causa de esa inconsistencia.

32


con el respectivo Manual de Comunicación actualizado, proceso que se ha venido recomendando a la actual administración que se elabore, el cual se encuentra en formulación. De igual manera dentro del informe pormenorizado del Estado de Control Interno, se recomendó: Con el fin de mejorar el proceso de información y comunicación a través de la Estrategia de Gobierno en línea y garantizar que cumplamos con la construcción de un estado más eficiente, más transparente y participativo, y que preste mejores servicios a los ciudadanos y a las empresas, a través del aprovechamiento de las Tecnologías de la Información y la Comunicación, la Oficina de Control Interno recomienda que cada Secretaria delegue en un funcionario la obligación de actualización de la página web, ya que se pudo detectar que en las secretarias y servicios administrativos no existen personas encargadas de esta función, y los secretarios de despacho tampoco la realizan. Informe que ha sido publicado en la página web del Municipio (www.sanvicentedelcaguan-caqueta.gov.co). • La inexistencia de un plan anual de capacitación a los sistemas de información, según el artículo 7 del Decreto Ley 1567 de 1998, establece que los planes institucionales de cada entidad, deben incluir obligatoriamente, además de programas de inducción, programas de Reinducción, los cuales deberán hacerse por lo menos cada dos años, o antes, en el momento que se produzcan los cambios. Esto conlleva al desconocimiento y desactualización de los procesos y procedimientos para el cobro del impuesto predial e industria y comercio, desmejorando la calidad de la prestación de los servicios a cargo del estado, generando que algunas dependencias programen y ejecuten actividades de capacitación de forma desarticulada e independiente, dispersando la unidad

33


de criterios frente a temas particulares de la entidad. El Municipio de San Vicente del Caguán, Caquetá, cuenta con un Plan Anual de Capacitación para la vigencia 2013, del cual se anexa copia. No obstante la Oficina de Control Interno ha venido recomendando la capacitación al personal y el fortalecimiento de inducción y Reinducción, los cuales se han tenido en cuenta por esta administración. Con lo anterior se demuestra que la oficina de Control Interno si ha efectuado seguimiento continuo a los procesos y múltiples falencias existentes en la oficina de recaudos al inicio de la actual administración, las cuales hacen parte del Plan de Mejoramiento suscrito con esa entidad y de lo cual hemos venido presentando los avances correspondientes. Si bien persisten fallas, consideramos que estas son de forma y en consecuencia no ameritan la connotación de inconsistencia disciplinaria como o ha catalogado el ente de Control. En consecuencia, se solicita excluir en el informe definitivo este hallazgo; toda vez, que como se demuestra la Oficina de Control Interno si ha considerado el área de recaudos en su plan de auditorías y se han efectuado los seguimientos pertinentes al cumplimiento del plan de mejoramiento existente.

34


6

Hallazgo Nº 06. Políticas de seguridad de la información – Hallazgo Administrativo y Disciplinario La información es un recurso que tiene valor para la comunidad y por consiguiente debe ser debidamente protegida, garantizando la continuidad de los sistemas de información, minimizando los riesgos de daño y contribuyendo de esta manera, a una mejor gestión. Como objetivo se plantea el proteger los recursos de información del municipio y la tecnología utilizada para su procesamiento, frente amenazas internas o externas, deliberadas o accidentales, con el fin de asegurar el cumplimiento de la confidencialidad, integridad disponibilidad y confiabilidad de la información. El grupo encargado de la seguridad informática no está cumpliendo con lo estipulado en el manual de políticas de seguridad de la información del municipio de San Vicente del Caguán dado que:

El técnico de sistemas no sigue los lineamientos de las políticas en materia de seguridad informática establecidos en la administración, operación, comunicación y mantenimiento de los sistemas de información.

No existe señalización que impida y prohíba el acceso a personas no autorizadas a las instalaciones de la Secretaria de Hacienda.

Se protege las copias de seguridad de la información relacionada al cobro del impuesto predial e industria y comercio en una caja fuerte, pero esta mantiene sin llave.

No se implementan medidas escritas para proteger la información manejada por el personal en las oficinas, en el marco normal de sus labores

El personal técnico encargado de los sistemas de información viene cumpliendo con lo estipulado en los manuales y políticas de la seguridad de la información. • Se realizan copias de seguridad de la información relacionada con el impuesto de industria y comercio en disco local y disco externo que se encuentra en la caja de seguridad, la cual permanece con la combinación debidamente cerrada. • Se realizan copias de seguridad de la información relacionada con el impuesto de predial unificado en disco local y disco externo que se encuentra en la caja de seguridad, la cual permanece con la combinación debidamente cerrada. • La Secretaria de Hacienda y Tesorería Municipal ya cuenta con la señalización para prohibir el acceso a personas no autorizadas. • Los equipos de la Secretaria de Hacienda cuenta con acceso restringidos con sus debidas contraseñas de usuarios autorizados. • Por parte del personal técnico encargado de los sistemas de información se están brindando capacitación mediante normas TIC basadas en el manual de Gobierno en Línea con el fin de concientizar a los usuarios de la responsabilidad sobre la seguridad de la información. • Adicionalmente adjunto los manuales y procedimientos estipulados con los cuales hacemos referencia. Si bien persisten fallas, consideramos que estas son de forma y en consecuencia no ameritan la connotación de inconsistencia disciplinaria como o ha catalogado el ente de Control.

El ente de control enfatiza en que no se ha corregido de manera completa las causas que determinan y denotan lo descrito en el presente hallazgo, lo que afecta de manera directa el cumplimiento de los lineamientos de control y aspectos como integridad, disponibilidad y seguridad de los sistemas de información. Pero también reconoce las mejoras que se han hecho con respecto al seguimiento de las políticas de seguridad para el manejo de la información, por lo tanto el ente de control determina que no existe implicación legal dentro de los procesos establecidos por la entidad auditada con respecto a las políticas de seguridad. En consecuencia a lo anterior, el presente hallazgo no amerita la connotación de incidencia disciplinaria como se plantea en el informe preliminar, pero se concluye que se mantiene como Administrativo con el objeto de eliminar la causa de esa inconsistencia.

35


habituales.

El equipo donde se hospeda el sistema de información de industria y comercio no cuenta con un equipamiento que proteja la información con respecto a las posibles fallas en el suministro de energía u otras anomalías eléctricas.

Se impide el acceso no autorizado a los sistemas de información por medio de técnicas de autentificación, pero no a la base de datos donde reposa la información del impuesto predial por ende, está esta desprotegida ante cualquier amenaza.

No se concientiza a los usuarios de los sistemas de información respecto a la responsabilidad frente a la utilización de contraseñas, estas están desactualizadas.

Los equipos de la Secretaria de Hacienda no restringen el acceso al personal por medio de técnicas de autentificación de usuarios.

La carencia de estas políticas de seguridad de la información afecta de manera directa la continuidad de los sistemas de información, debido a que no se lleva cumplimiento de los lineamientos de control. Por ende, la información queda expuesta frente amenazas internas o externas que puedan atentar contra el uso debido. Por todo lo expuesto anteriormente, se evidencia el incumplimiento a las políticas de seguridad de la información, configurándose por lo tanto como hallazgo administrativo.

Por lo anterior, respetuosamente se solicita ELIMINAR este hallazgo en la proyección del informe definitivo.

36


7

Hallazgo No 07. Políticas y Procedimientos – Hallazgo Administrativo Toda entidad pública debe implementar estrategias de desarrollo transparente, eficiente y eficaz para el fortalecimiento del control interno y el cumplimiento de la gestión de la calidad.

La entidad auditada ha diseñado una política institucional para la creación, manejo y recuperación de copias de seguridad (backup) de la información, pero no se da cumplimiento a cabalidad por parte del personal responsable de dicho procedimiento, dado que no se garantiza la seguridad y recuperación de la información para el servicio de la administración municipal y de los procesos de la entidad, toda vez que la Ley1266 de 2008 establece en su artículo 4 inciso a) y f) los principios de la administración de los datos y la implementación de las medidas técnicas necesarias para garantizar la seguridad de los registros evitando su adulteración, perdida, consulta o uso no autorizado.

La entidad no cuenta con un PLAN DE CONTINGENCIA ante la ausencia, falla o interrupción de los sistemas de información que responda a los riesgos que implica la inoperancia de los sistemas de información tributarios e incluya cada una de las actividades para el restablecimiento o mantenimiento de los procesos de gestión tributaria.

La alcaldía de San Vicente del Caguán no cuenta con un MANUAL INTERNO DE MANEJO DE LA TECNOLOGÍA que estimule las buenas prácticas, para el uso y aprovechamiento de las herramientas


37


tecnológicas y de informática con las que cuenta el municipio, como lo es correo electrónico, equipos de cómputo, dispositivos de red, entre otros.

La anterior situación obedece a la ausencia de políticas que permitan implementar sobre la gestión de la calidad en cuanto al manejo eficiente y eficaz que evidencie el buen uso de los sistemas de información. Por todo lo expuesto anteriormente, esto conlleva a que el municipio pueda estar expuesto a posibles fallas dentro del sistema de información por el uso indebido e ineficiente, ya que no existen políticas o procedimientos que respalden dicho uso.

8

Hallazgo No 08. Cláusula de confidencialidad – Hallazgo Administrativo La información que reposa en los equipos de la Secretaria de Hacienda contiene información clasificada de uso privado, por ende los funcionarios tienen el deber de salvaguardar y no divulgar dicha información al público. Dado que cualquier mal manejo puede incurrir al incumplimiento de los objetivos organizacionales. Se identificó que el sistema de información para el cobro del impuesto predial fue suministrado por medio de un acuerdo verbal entre la persona encargada de la administración del mismo y el actual Alcalde del Municipio de San Vicente del Caguán, más no por un contrato formal, lo que conlleva a la inexistencia de una cláusula de confidencialidad de la información de la oficina de tributos recaiga sobre la persona encargada de dar soporte y mantenimiento al software de la Secretaria de Hacienda para constatar la privacidad de la información del sistema de Predial. Del mismo modo, la entidad no ha dado cumplimiento a lo establecido en los artículos 583 y 586 del Decreto 624 de 1989, dado que no se contempló una cláusula de confidencialidad de la información tributaria suministrada a la contratista Diana


38


Carolina Pedraza Marroquín, para el desarrollo del objeto contractual “ACTUALIZACIÓN DE BASE DE DATOS Y PROGRAMAS PARA EL COBRO DE IMPUESTO PREDIAL Y DE INDUSTRIA Y COMERCIO DEL MUNICIPIO DE SAN VICENTE DEL CAGUÁN CAQUETÁ” en virtud del Contrato de Prestación de Servicios Nº 040 celebrado el 15 de febrero de 2012, con valor inicial de $9.000.000, con el fin de garantizar la absoluta reserva de la información tributaria y de los contribuyentes. La anterior situación obedece a la falta de control administrativo en los procesos de contratación para la celebración de los contratos, configurándose por lo tanto hallazgo administrativo.

9

Hallazgo Nº 09. ESTRATEGIAS DE GOBIERNO EN LINEA - Hallazgo Administrativo. Mediante acta de reunión del 28 de Noviembre de 2013, el equipo auditor permite verificar el cumplimiento de la Estrategia de Gobierno en Línea para el Municipio de San Vicente del Caguán y definir las acciones que permitan el correcto avance en la ejecución de las Fases tomando como base el MANUAL 3.0 PARA LA IMPLEMENTACIÓN DE LA ESTRATEGIA DE GOBIERNO EN LINEA EN LAS ENTIDADES DEL NIVEL NACIONAL DE LA REPUBLICA DE COLOMBIA. El equipo auditor junto con el técnico de mantenimiento JAHIR ANDRES GUARNIZO OSORIO se reúnen con el fin de verificar el cumplimiento de las Estrategias de Gobierno en Línea, e identifica:

No existen planos de red para respaldar la estructura misma de los equipos involucrados dentro de esta, así mismo se logra evidenciar de manera irrefutable que debido a esta falta no se puede verificar el buen funcionamiento de la red, haciendo un debido seguimiento al tráfico de la


39


información.

Para realizar promociones a los servicios que ofrece la página web, el técnico encargado sustenta que la alcaldía Municipal de San Vicente del Caguán posee una página en Facebook y realiza promociones por dicha página, la cual actualiza semanalmente manejando todo tipo de contenido tales como imágenes y publicación de noticias.

Del mismo modo, se pudo determinar que el técnico encargado no conoce las estrategias de gobierno en línea, tampoco tiene conocimiento del manual de GEL donde se establecen los lineamientos que permiten masificar el uso de las tecnologías de información para aumentar la calidad y fomentar la competitividad dentro del sector productivo.

La entidad no da cumplimiento a lo ordenado por los artículos 2, 3, 4, 5, 6, 7 y 8 del Decreto 134 del 25 de Septiembre de 2013, toda vez que el objetivo del comité de gobierno en línea de la Alcaldía de San Vicente del Caguán es garantizar la adecuada implementación de la estrategia de GEL por parte de la entidad y hacer cumplimiento a lo siguiente:

Los integrantes del comité de GEL o invitados permanentes deben definir y dar cumplimiento a los mecanismos relacionados con el GEL tales como la Ley 962 de 2005, Ley 1150 de 2007 y los Decretos 066 y 1151 de 2008.

Liderar, bajo los lineamientos de la estrategia de GEL, la elaboración del diagnóstico y la formulación y seguimiento al plan de acción de GEL de la entidad

40


El comité deberá hacer seguimiento a la implementación de las estrategias de GEL cada tres (3) meses.

Los miembros del comité deberán apoyar y ser partícipes de los reportes de avances y resultados de la gestión del comité al representante legal de la entidad.

El líder de gobierno en línea deberá informar al menos una vez al semestre, el avance y resultado de las acciones interinstitucionales de GEL realizadas con los líderes de GEL de las entidades que integren el sector.

La anterior situación obedece a la ausencia de políticas sobre gestión en las Estrategias de Gobierno en Línea, lo cual evidencia el incumplimiento por parte del comité de GEL y desconocimiento por parte de los invitados permanentes, esto infiere de manera directa en los lineamientos que permiten masificar el uso de las tecnologías de información para aumentar la calidad y fomentar la competitividad dentro del sector productivo. Lo anterior se configura como hallazgo administrativo.

10 Hallazgo Nº 10. PUBLICACION DE CONTRATOS AL SECOP - Hallazgo Administrativo y Disciplinario El equipo auditor constató en la página de SECOP la publicación de los trece (13) contratos y procedió a verificar si hay evidencia del cumplimiento de esta obligación, según el artículo 223 de Decreto 019 de 2012. Dentro del proceso de verificación se encontró que: Dentro de los expedientes se observó que para los siguientes contratos existen certificaciones de publicación del SECOP, cada uno con su respectivo número, pero una vez verificados

A continuación nos permitimos hacer controversia a este hallazgo en los siguientes ítems: -Contrato de suministro No. 079 ( Publicación SECOP MC-SVTE-022) RESPUESTA HALLAZGO: Una vez verificado el proceso MC – SVTE – 022 en la página de www.colombiacompra.gov.co se puede establecer que dicho proceso fue publicado de forma correcta; por lo anterior nos permitimos anexar copia de la publicación en el SECOP de dicho proceso, al igual que la comunicación de aceptación.

El ente de control realizó nuevamente una revisión exhaustiva para los contratos de suministro de tecnología encontrando que, si bien es cierto que existe evidencia por parte de la entidad auditada con respecto a los contratos de suministro No. 144 (Proceso MC- SVTE-047), No. 172 (Proceso MC- SVTE-058) y No. 097 (Proceso MC- SVTE-029) publicados en el SECOP, también es cierto que se evidencia el hecho de que existen diferencias que comprometen la cuantía a contratar en los contratos enviados físicamente a la entidad de control y a los publicados en la página del

41


dentro de la página del SECOP, se evidencia que no corresponden al contrato si no a publicaciones de otros contratos, como por ejemplo:

Contrato de Suministro: No. 079 (Publicación SECOP MC-SVTE-022)


En los siguientes contratos se demuestra la certificación dentro de la página del SECOP, pero al verificar la publicación de estos contratos, se evidencia que en la mayoría de los casos hace falta el CONTRATO y EL ACTA ACEPTACION:





Al momento de verificar los siguientes contratos dentro de la página del SECOP no se encuentra dicha publicación, por lo tanto no hubo cumplimiento a la obligación según el artículo 223 del Decreto 019 de 2012:

Contrato de Suministro: No. 068 (Dentro de las consideraciones para la celebración del contrato de suministro, se afirma en el inciso 6 que: “El Municipio de San Vicente del Caguán adelanto el proceso de selección de Nº MC–SVTE-013 el cual fue publicado en el SECOP”, pero una vez se procede a la verificación de esta publicación, se evidencia que no hubo cumplimiento).

Contrato de Suministro: No. 070 (Dentro de las

-Contrato de suministro No. 144 ( Publicación SECOP MC-SVTE-047) RESPUESTA HALLAZGO: Una vez verificado el proceso MC – SVTE – 047 en la página de www.colombiacompra.gov.co se puede establecer que dicho proceso fue publicado de forma correcta; por lo anterior nos permitimos anexar copia de la publicación en el SECOP de dicho proceso, al igual que la comunicación de aceptación. -Contrato de suministro No. 172 ( Publicación SECOP MC-SVTE-058) RESPUESTA HALLAZGO: Una vez verificado el proceso MC – SVTE – 058 en la página de www.colombiacompra.gov.co se puede establecer que dicho proceso fue publicado de forma correcta; por lo anterior nos permitimos anexar copia de la publicación en el SECOP de dicho proceso, al igual que la comunicación de aceptación. Es de resaltar que en los procesos de mínima cuantía la comunicación de aceptación junto con la oferta constituye para todos los efectos el contrato celebrado. -Contrato de suministro No. 224 (Publicación SECOP MC-SVTE-099) RESPUESTA HALLAZGO: Una vez verificado el proceso MC – SVTE – 099 en la página de www.colombiacompra.gov.co se puede establecer que dicho proceso fue publicado de forma correcta, pero que por error involuntario se dejó de publicar la oferta seleccionada y la aceptación de la oferta; por lo anterior nos permitimos anexar copia de la publicación en el SECOP de dicho proceso, al igual que la comunicación de aceptación y la oferta seleccionada.

SECOP. Con respecto a la publicación de los contratos restantes se evidencia de igual manera que: Contrato de suministro No. 079 con (Publicación SECOP MC-SVTE-022): El ente de control verifico la publicación en la página del SECOP y evidencio inconsistencias en la cuantía publicada con respecto a la establecida en el contrato físico. Cuantía Publicada: $16.578.360 Cuantía Contrato Físico: $16.498.360 Diferencia de: $80.000 Contrato de suministro No. 224 con (Publicación SECOP MC-SVTE-099): El ente de control verifico la publicación en la página del SECOP y evidencio inconsistencias en la cuantía publicada con respecto a la establecida en el contrato físico. Cuantía Publicada: $8,030,000 Cuantía Contrato Físico: $6.528.000 Diferencia de: $1.502.000 El ente control argumenta que aún no existe evidencia de la aceptación de la oferta y la oferta seleccionada. Contrato de suministro No. 206 con (Publicación SECOP MC-SVTE-099): El ente de control verifico la publicación en la página del SECOP y evidencio inconsistencias en la cuantía publicada con respecto a la establecida en el contrato físico.

42


consideraciones para la celebración del contrato de suministro, se afirma en el inciso 7 que: “El Municipio de San Vicente del Caguán adelanto el proceso de selección de Nº MC–SVTE-015 el cual fue publicado en el SECOP”, pero una vez se procede a la verificación de esta publicación, se evidencia que no hubo cumplimiento).

Contrato de Suministro: No. 097 (Dentro de las consideraciones para la celebración del contrato de suministro, se afirma en el inciso 7 que: “El Municipio de San Vicente del Caguán adelanto el proceso de selección de Nº MC–SVTE-029 el cual fue publicado en el SECOP”, pero una vez se procede a la verificación de esta publicación, se evidencia que no hubo cumplimiento).

El equipo auditor concluye que el cumplimiento de esta obligación se está llevando a cabo de manera incompleta y no se están siguiendo los lineamientos de control, la anterior situación obedece a la ausencia de políticas para los sistemas de información, configurándose por lo tanto hallazgo administrativo y disciplinario por el mismo hecho de que no se está haciendo cumplimiento al artículo 223 del Decreto 019 de 2012, y se evidencia un desconocimiento de la normatividad.

Contrato de suministro No. 206 (Publicación SECOP MC-SVTE-087) RESPUESTA HALLAZGO: Una vez verificado el proceso MC – SVTE – 087 en la página de www.colombiacompra.gov.co se puede establecer que dicho proceso fue publicado de forma correcta, pero que por error involuntario se dejó de publicar la oferta seleccionada y la aceptación de la oferta; por lo anterior nos permitimos anexar copia de la publicación en el SECOP de dicho proceso, al igual que la comunicación de aceptación y la oferta seleccionada. -Contrato de suministro No. 171 (Publicación SECOP MC-SVTE-055) RESPUESTA HALLAZGO: Una vez verificado el proceso MC – SVTE – 055 en la página de www.colombiacompra.gov.co se puede establecer que dicho proceso fue publicado de forma correcta; por lo anterior nos permitimos anexar copia de la publicación en el SECOP de dicho proceso, al igual que la comunicación de aceptación. Es de resaltar que en los procesos de mínima cuantía la comunicación de aceptación junto con la oferta constituye para todos los efectos el contrato celebrado. -Contrato de Suministro No. 068 (Dentro de las consideraciones para la celebración del contrato de

suministro, se afirma en el inciso 6 que: “El Municipio

de San Vicente del Caguán adelantó el proceso selección de No. MC- SVTE-013 el cual fue publicado en el SECOP” pero una vez se procede la verificación de esta publicación, se evidencia que no hubo complimiento).

Cuantía Publicada: $ 8,715,000 Cuantía Contrato Físico: $8.477.000 Diferencia de: $238.000 El ente control argumenta que aún no existe evidencia de la aceptación de la oferta y la oferta seleccionada. Contrato de suministro No. 171 con (Publicación SECOP MC-SVTE-055): Una vez verificado en la página del SECOP se evidencia que el contrato publicado no corresponde al contrato físico No. 171 (Suministro de materiales y equipos eléctricos para la adecuación de las salas de informática como apoyo al programa computadores para educar). Contrato de suministro No. 068 con (Publicación SECOP MC-SVTE-011): Una vez verificado en la página del SECOP se evidencia que el contrato publicado no corresponde al contrato físico No. 068 (Suministro de computadores. Impresoras. Equipos y accesorios de cómputo con destino a la alcaldía municipal de san Vicente del Caguán. Caquetá). Contrato de suministro No. 070 con (Publicación SECOP MC-SVTE-015): El ente de control verifico la publicación en la página del SECOP y evidencio inconsistencias en la cuantía publicada con respecto a la establecida en el contrato físico.

43


RESPUESTA HALLAZGO: Una vez verificado el proceso MC – SVTE – 011 en la página de www.colombiacompra.gov.co se puede establecer que dicho proceso fue publicado de forma correcta, pero que por error involuntario en la minuta del contrato se hizo mención del proceso MC- SVTE-013 el cual no correspondía; por lo anterior nos permitimos anexar copia de la publicación en el SECOP de dicho proceso, al igual que la comunicación de aceptación. Igualmente al verificar el informe reportado en la plataforma SIA en el periodo 201304 se puede evidenciar el cumplimiento en la publicación de este proceso. -Contrato de Suministro No. 070 (Dentro de las consideraciones para la celebración del contrato de


de San Vicente del Caguán adelantó el proceso selección de No. MC- SVTE-015 el cual fue publicado en el SECOP” pero una vez se procede la verificación de esta publicación, se evidencia que no hubo complimiento). RESPUESTA HALLAZGO: Una vez verificado el contrato N° 70 de 2012 se pudo evidenciar que este no es un contrato de suministro si no de prestación de servicios el cual fue celebrado bajo la modalidad de contratación directa y su contratista es la señora UMAIDA KALA OSORIO. Es de resaltar que el Decreto 019 de 2012 en su artículo 223. ELIMINACIÓN DEL DIARIO UNICO DE CONTRATACIÓN. Establece que a partir del primero de junio de 2012, los contratos estatales sólo se publicaran en el Sistema Electrónico para la Contratación Pública -SECOP- que administra la Agencia Nacional de Contratación Pública-Colombia Compra Eficiente. En

Cuantía Publicada: $ 16,573,868 Cuantía Contrato Físico: $16.503.868 Diferencia de: $70.000 Contrato de suministro No. 097 con (Publicación SECOP MC-SVTE-026): El ente de control verifico la publicación en la página del SECOP y evidencio inconsistencias en la cuantía publicada con respecto a la establecida en el contrato físico. Una vez verificado en la página del SECOP se evidencia que el contrato publicado no corresponde al contrato físico No. 097 (Suministro de materiales y equipos eléctricos para la adecuación de las salas de informática para las escuelas rurales como apoyo al programa computadores para educar). El ente de control sustenta que no existe copia o anexo de alguna evidencia verídica que ratifique que las publicaciones corresponden debidamente a los contratos dentro del presente hallazgo, por lo tanto sigue en pie el incumplimiento del artículo 223 del decreto 019 de 2012 y se mantiene el presente hallazgo como Administrativo y Disciplinario.

44


consecuencia, a partir de dicha fecha los contratos estatales no requerirán de publicación en el Diario Único de Contratación y quedarán derogados el parágrafo 3 del artículo 41 de la Ley 80 de 1993, los artículos 59, 60, 61 y 62 de la ley 190 de 1995 y el parágrafo 2 del artículo 3 de la Ley 1150 de 2007. -Contrato de Suministro No. 097 (Dentro de las consideraciones para la celebración del contrato de


de San Vicente del Caguán adelantó el proceso selección de No. MC- SVTE-029 el cual fue publicado en el SECOP” pero una vez se procede la verificación de esta publicación, se evidencia que no hubo complimiento) RESPUESTA HALLAZGO: Una vez verificado el proceso MC – SVTE – 026 en la página de www.colombiacompra.gov.co se puede establecer que dicho proceso fue publicado de forma correcta, pero que por error involuntario en la minuta del contrato se hizo mención del proceso MC- SVTE-029 el cual no correspondía; por lo anterior nos permitimos anexar copia de la publicación en el SECOP de dicho proceso, al igual que la comunicación de aceptación. Por lo anterior, respetuosamente se solicita ELIMINAR este hallazgo en la proyección del informe definitivo.

11 Hallazgo Nº 11. Pago estampillas pro-cultura, pro- desarrollo Universidad de la Amazonía, pro-ancianato - Hallazgo Administrativo presunta incidencia disciplinaria y fiscal. El Concejo de San Vicente del Caguán, Caquetá, en uso de sus atribuciones legales y en especial las que le confiere el

Al respecto, comedidamente aclaramos que en cumplimiento del Estatuto Tributario Municipal y los Acuerdos proferidos por el Honorable Concejo Municipal y enunciados en el informe de la Contraloría, las estampillas no se descuentan de los contratos sino que el contratista las debe cancelar en la oficina de recaudos antes del giro correspondiente. En este sentido, los beneficiarios de los contratos descritos por

El ente de control retira el hallazgo, dado a que el municipio presenta el documento correspondiente que demuestra el recaudo correcto de los ingresos por concepto de estampillas de cada uno de los contratos estipulados en el presente hallazgo, de la siguiente manera:

45


artículo 38 de la Ley 397, la Ley 666 de 2001, el artículo 313 de la Constitución Política de Colombia, la Ley 136 de 1994, Ley 1551 de 2012 crea las estampillas:

Pro-cultura (Acuerdo Nº 014 de 28 de julio de 2004): creada con el fin de encargar al respectivo ente territorial, el fomento de la cultura, la promoción de la actividad física artística cultural, la investigación y fortalecimiento de las expresiones culturales, el manejo de los recursos que serán destinados a los proyectos acorde con los planes Nacionales y locales de cultura, estimulando así la creación, funcionamiento y mejoramiento de espacios públicos aptos para la realización de actividades culturales. El valor de la tarifa con que se gravan los diferentes actos sujetos a la estampilla pro-cultura corresponde al 1% del valor del hecho sujeto al grávame.

Pro- desarrollo Universidad de la Amazonia (Acuerdo Municipal Nº 019 de 31 de agosto de 2012): se contribuye en hecho generador del corbo de esta estampilla los contratos que se celebren con instituciones oficiales de educación superior y con entidades oficiales del orden nacional que funcionen en el departamento, se gravaran así: los contratos, renovaciones, adiciones o prorrogas de contratos u órdenes de servicios que celebre la administración municipal, se gravaran con el 0.5% del total del correspondiente contrato y/o respectiva adición.

Pro- Ancianato (Acuerdo Municipal Nº 017 de 24 de agosto de 2012): por medio del cual se modifica el acuerdo Nº17 del 23 de agosto de 2004. El valor de la tarifa con la que se gravan los diferentes actos sujetos a la estampilla pro- ancianato corresponde al 4% del valor del hecho sujeto a dicho gravamen, de acuerdo a lo establecido en los artículos 2 y 4 de

el ente de control pagaron en efectivo el valor de las estampillas previo a los correspondientes giros, aclarando que algunos por amortizarse de manera mensual, el pago de estampillas, igualmente se efectúa de forma mensual. Se anexa al presente, copia de los recibos de caja referenciados anteriormente como prueba de lo afirmado. Demostrado el recaudo correcto de los ingresos por concepto de estampillas de los contratos glosados por la Contraloría; respetuosamente se solicita ELIMINAR este hallazgo en la proyección del informe definitivo.

CONTRATO No 072 FECHA. DEL 16 DE MAYO DE 2012 VALOR. $ 4.800.000 CONTRATISTA. MAURICIO MONTOYA A este contratista se la efectuaron siete (7) pagos, en tal sentido, las estampillas fueron canceladas en igual número de cuotas tal como lo muestran los recibos de pago 16534, 16874, 17669, 18420, 19594, 20719, 21334 para la suma total por cada una de las estampillas: Por-Tercera edad: $192,002 Por-Cultura: $47,999 Por-Uniamazonia: $24,002 TOTAL: $264,000 CONTRATO No 040 FECHA. DEL 15 DE FEBRERO DE 2012 VALOR. $ 9.000.000 CONTRATISTA. DIANA CAROLINA PEDRAZA A este contratista se le efectuó un (1) pago de estampillas mediante el recibo de caja 1492 para la suma total por cada estampilla: Por-Tercera edad: $360,000 Por-Cultura: $90,000 Por-Uniamazonia: $45,000 TOTAL: $495,000 CONTRATO No 144 FECHA. DEL 11 DE OCTUBRE DE 2012 VALOR. $ 8.915.700 CONTRATISTA. BERNARDO CHICA MEJIA A este contratista se le efectuó un (1) pago de

46


la ley 1276 de 2009. En la revisión realizada a la gestión contractual y de acuerdo a los puntos anteriores, se identificó que no se hizo el descuento de las estampillas Pro-cultura, Pro-desarrollo Universidad de la Amazonía y Pro-Ancianato, de los siguientes contratos: El cuadro anterior incide para los siguientes contratos:

Nº 072 de 16 de mayo de 2012, Objeto: “MANTENIMIENTO Y REPARACIÓN EQUIPOS DE COMPUTO DEL MUNICIPIO DE SAN VICENTE DEL CAGUAN – CAQUETA”, Contratista: MAURICIO MONTOYA PALACIO, con cuantía de $4.800.000.

Nº 040 de 15 de febrero de 2012, Objeto: “ACTUALIZACIÓN DE BASE DE DATOS Y PROGRAMAS PARA EL COBRO DE IMPUESTO PREDIAL Y DE INDUSTRIA Y COMERCIO DEL MUNICIPIO DE SAN VICENTE DEL CAGUÁN CAQUETÁ”, Contratista: DIANA CAROLINA PEDRAZA MARROQUÍN, con cuantía de $9.000.000.

Nº 144 de 11 de octubre de 2012, Objeto: “SUMINISTRO DE MATERIALES PARA LA ADECUACIÓN DE LAS SALAS DE INFORMÁTICA PARA LAS ESCUELAS RURALES COMO APOYO AL PROGRAMA COMPUTADORES PARA EDUCAR”, Contratista: BERNARDO CHICA MEJIA, con cuantía de $8.915.700.

Nº 048 de 09 de febrero de 2013, Objeto: “DISEÑO DE CABLEADO Y PLANOS DE RED DE DATOS. INSTALACION Y ADECUACION DE CABLEADO DE DATOS Y SUMINISTRO DE MATERIALES”, Contratista: LIBARDO PEREZ FLOREZ, con

estampillas mediante el recibo de caja 18918 para la suma total por cada estampilla: Por-Tercera edad: $356,628 Por-Cultura: $89,157 Por-Uniamazonia: $44,578 TOTAL: $490,363 CONTRATO No 048 FECHA. DEL 09 DE FEBRERO DE 2013 VALOR. $ 9.930.000 CONTRATISTA. LIBARDO PEREZ FLOREZ A este contratista se le efectuó un (1) pago de estampillas mediante el recibo de caja 3478 para la suma total por cada estampilla: Por-Tercera edad: $397,200 Por-Cultura: $99,300 Por-Uniamazonia: $49,650 TOTAL: $546,150 El equipo auditor evidencia el pago por concepto de estampillas de los contratos anteriormente nombrados por una cuantía total de $1.795.513, por tal razón el ente de control retira el hallazgo del informe final.

47


cuantía de $9.930.000. El equipo auditor concluye que el cumplimiento de esta obligación se está llevando a cabo de manera incompleta y no se están siguiendo los lineamientos de administración y control, conllevando a la pérdida de recursos, por concepto de no realizar el respectivo descuento a los contratos cuestionados. Esto se configura, por lo tanto como un hallazgo administrativo con presunta incidencia disciplinaria y fiscal por cuantía de $1.795.513

Date post:	26-Sep-2018
Category:	Documents
Upload:	donhu
View:	215 times
Download:	0 times

INFORME FINAL AUDITORÍA GUBERNAMENTAL …cdc.gov.co/files/informes de...

Documents