Download Itau Chile Administradora General de Fondos SA

Itau Chile Administradora
General de Fondos S.A.
Informe con observaciones de control interno y
recomendaciones de mejora
Noviembre 2015
Santiago, 30 de noviembre de 2015
Señores
Presidente y Directores
Itaú Chile Administradora General de Fondos S.A.
Como parte del proceso de planificación y ejecución de nuestra auditoría a los estados financieros de Itaú Chile Administradora General de
Fondos S.A. al 31 de diciembre de 2015, consideramos su estructura de control interno para determinar la naturaleza, oportunidad y alcance de
nuestros procedimientos de auditoría, con el propósito de expresar una opinión sobre los mencionados estados financieros. Por lo tanto, en
este contexto, nuestra consideración de la estructura de control interno, no necesariamente cubre la totalidad de las debilidades eventualmente
existentes en las áreas sujetas a revisión, ni se indican aquellos numerosos procedimientos correctamente establecidos. Si el objetivo de esta
revisión hubiese sido expresar una opinión sobre los sistemas de control interno, los procedimientos de evaluación habrían sido más extensos y
específicos que los practicados. Por lo anterior, no se ha probado el cumplimiento y continuidad de todos los controles vigentes en Itaú Chile
Administradora General de Fondos S.A. y nuestras observaciones no incluyen necesariamente todas aquellas posibles sugerencias que se
podrían poner de manifiesto por medio de un estudio especial sobre la materia.
En el estudio y evaluación efectuado con el propósito antes descrito, notamos ciertos aspectos sobre el funcionamiento del control interno de la
Sociedad, que consideramos deben ser incluidos en este informe, tanto para cumplir con normas de auditoría generalmente aceptadas en Chile,
como para aportar a la administración elementos que puedan contribuir a salvaguardar en forma más efectiva los activos de la Sociedad, a
mejorar la calidad de la información, a optimizar la eficiencia administrativa y a lograr una mejor adhesión a las políticas de la Sociedad. Es
importante hacer presente que ningún sistema de control interno puede lograr eliminar totalmente el riesgo de que errores o irregularidades
ocurran y no sean detectados oportunamente.
Santiago, 30 de noviembre de 2015
Itaú Chile Administradora General de Fondos S.A.
2
Con el objeto de facilitar la lectura del presente informe, éste ha sido estructurado como sigue:
I.
Detalle de observaciones del año actual
II.
Detalle de observaciones de años anteriores
III. Detalle de los riesgos mitigados parcialmente por la Administración
Las recomendaciones incluidas en este memorándum han sido analizadas con los principales ejecutivos de cada área involucrada, cuyos
comentarios se incluyen a continuación de cada observación.
Este informe es únicamente para conocimiento y uso del Directorio y la Gerencia y, por lo tanto, no pretende ser un documento de carácter
público.
Queremos expresar nuestros agradecimientos tanto a los ejecutivos como al personal de Itaú Chile Administradora General de Fondos S.A., por
la importante colaboración que nos han prestado durante el desarrollo de este trabajo.
Fernando Orihuela B.
Índice de contenidos
I. Observaciones del año 2015
5
II. Observaciones de años anteriores
9
III. Riesgos mitigados parcialmente por la Administración
12
I. Observaciones del año actual
1.1.
Deficiencias en el procedo de bajas de usuarios en las aplicaciones Unipass y SAP BO.
Descripción del problema:
Luego de la revisión de las muestras solicitadas de modificaciones y bajas de usuarios de las aplicaciones Unipass y SAP BO, evidencias de
solicitudes y/o autorizaciones del requerimiento enviado. Los casos identificados son los siguientes:
Bajas de Usuarios Unipass y SAP BO
Fecha de Finiquito
Días transcurridos
entre el finiquito y la
eliminación de
acceso
Observaciones
Eliminación no oportuna
Aplicación
Fecha de bloqueo
¿Existe una solicitud
para la eliminación de
acceso?
CRVE9015
SAP BO
15-04-2015
(Fecha obtenida de las
evidencias enviadas,
ya que el Sistema no
la guarda)
Si
20-03-2015
26
CMTH9061
Unipass
21-01-2015
Si
10-11-2014
2 meses y 11 días
CGCD0040
Unipass
30-01-2015
No
11-12-2014
1 mes y 19 días
CJSS3953
Unipass
30-01-2015
No
21-12-2014
1 mes y 9 días
Eliminación no oportuna
CCDP8806
Unipass
18-04-2015
No
28-02-2015
1 mes y 21 días
Eliminación no oportuna
CIQQ2531
Unipass
22-04-2015
ID Usuario
PwC
No se enviaron evidencias del caso, el ejecutor ya no está en el área no se
pudo obtener los PST (Archivo Outlook)
Eliminación no oportuna
Eliminación no oportuna
No se obtuvo evidencias
6
1.1.
Deficiencias en el procedo de bajas de usuarios en las aplicaciones Unipass y SAP BO.
Descripción del problema: (continuación)
Bajas de Usuarios Unipass y SAP BO
¿Existe una
solicitud para la
eliminación de
acceso?
Fecha de Finiquito
Días transcurridos
entre el finiquito y la
eliminación de
acceso
Observaciones
ID Usuario
Aplicación
Fecha de
bloqueo
CXGC2851
Unipass
18-08-2015
No
02-03-2015
5 meses y 16 días
Eliminación no oportuna
CMVP3469
Unipass
18-08-2015
No
19-03-2015
4 meses y 29 días
Eliminación no oportuna
CBGG9400
Unipass
19-08-2015
No
27-03-2015
4 meses y 21 días
Eliminación no oportuna
Riesgos:
- Posibilidad de realizar acciones de modificaciones, bloqueo o eliminaciones de usuarios en la aplicación sin las debidas autorizaciones.
- Accesos de usuarios no autorizados a la aplicación.
- Acceso a información sensible de la empresa.
Acciones / Recomendaciones:
Implementar controles que aseguren una baja oportuna de usuarios.
PwC
Comentarios de la Administración:
Existió un problema detectado de los conectores de ITIM que fue abordado
en agosto de 2015, existe un proyecto en desarrollo (Upgrade del sistema
ITIM) que considera la actualización y corrección de todos los conectores
incluyendo alertas en caso de fallas. Los casos antes observados por
auditoría corresponden a regularizaciones hechas por control COBIT dado
el problema de los conectores.
7
1.2. Efectuar un mantenimiento correctivo a la configuración del sistema operativo Windows.
Descripción del problema:
En la revisión del sistema operativo Windows del servidor CLSTGBLSRVP05 que soporta la Aplicación Unipass, se observó que el parámetro
"Audit Policy Change" no se encontraba configurado para ser registrado.
Esta configuración determina si el sistema operativo registra los cambios en la política de auditorÍa, tales como:
-
Cambio de la política de auditoría del sistema.
Registro y eliminación de eventos de auditoría.
Cambios en la configuración de auditoría por usuario.
Como consecuencia de lo anterior, no existe un control de monitoreo para asegurar que no existen cambios de la política de auditoría sin
revisión.
Riesgos:
- Eventuales accesos no autorizados al sistema operativo.
- Actividades no autorizadas no serán detectadas y solucionadas de manera oportuna.
Acciones / Recomendaciones:
Comentario de la Administración:
La administración activó el parámetro de auditoría correspondiente el día
25-11-2015.
Se reforzará el control de monitoreo sobre servidores para asegurar la
permanencia de las políticas de auditoría.
el control
de monitoreo, incluyendo el log de
-Recomendamos
Inadecuada fortalecer
segregación
de funciones
auditoría de SO del servidor CLSTGBLSRVP05, con la finalidad de
- Acceso a funcionalidades críticas del sistema y de la BD
Cabe mencionar que la observación fue regularizada durante el proceso de
auditoría.
asegurar que no existen cambios en la política de auditoría que no sean
autorizados.
PwC
8
II.
Observaciones de años anteriores
2.1. No es posible registrar la fecha de creación, modificación y eliminación de las cuentas en el sistema SAP
Bussines One.
Descripción del problema:
Durante nuestra revisión al proceso de creación, modificación y eliminación de cuentas, observamos que el sistema SAP Bussines One no
registra la fecha de creación, modificación y eliminación de cuentas de usuarios.
Sin embargo, la Administración está desarrollando de un proyecto de actualización de versión del sistema SAP BO, el cual fue puesto en
producción el día 22 de noviembre de 2015. Esta actualización permitirá que el sistema pueda reflejar las fechas de creación, modificación y
eliminación de los usuarios en la aplicación SAP BO.
Riesgos:
- Acceso a la aplicación de usuarios no autorizados.
- Modificaciones de usuarios en la aplicación que no son registradas.
Acciones / Recomendaciones:
Comentarios de la Administración:
Realizar un monitoreo sobre el proceso, una vez que se cuente con un
reporte de altas, bajas y modificaciones de usuarios, directo del sistema
SAP BO.
Para resolver esta desviación se desarrolló un proyecto que consideró un
upgrade de versión del sistema SAP, cuya versión registra las fechas de
creación, eliminación y modificación de los usuarios.
Esta nueva versión fue instalada en producción con fecha 22-11-2015.
PwC
10
2.2. No se ha implementado la aprobación sistémica de los Vouchers contables en el sistema SAP BO.
Descripción del problema:
Durante nuestra revisión al proceso de registro de los vouchers contables al sistema SAP Business One observamos que no existe una
aprobación posterior a la carga en el sistema.
Riesgos:
- Vouchers mal registrados.
- Registros contables erróneos.
Acciones / Recomendaciones:
Comentarios de la Administración:
Recomendamos finalizar la implementación de la aprobación sistémica de
los vouchers contables en el sistema SAP BO que permita contar con una
revisión y aprobación que certifique la integridad del proceso.
Para resolver esta desviación se desarrolló un proyecto que consideró un
upgrade de versión del sistema SAP, cuya versión permite la aprobación
sistémica de los vouchers contables.
Esta nueva versión fue instalada en producción con fecha 22-11-2015.
PwC
11
III.
Riesgos mitigados parcialmente por la
Administración
3.1. No se efectúa un mantenimiento correctivo a la configuración del sistema operativo Windows.
Descripción del problema:
Durante nuestra revisión del sistema operativo Windows de los servidores CLSTGBLSRVP06, CLSTGSQLP18V9, CLSTGXBRP00V1 y el
CLSTGDCSP00, que soporta la base de datos de la aplicación Unipass, la base de datos de la aplicación SAP BO, la aplicación SAP BO y el
domain controler respectivamente, se observó que el parámetro "PasswordComplexity” se encuentra deshabilitado, por consiguiente no se exige
una contraseña compleja.
La Sociedad, siendo consciente del riesgo de no contar con contraseñas complejas considera que el mismo está parcialmente mitigado por la
operación de ciertos controles compensatorios. En efecto, durante nuestra revisión, se observó la existencia y correcta operación de controles
compensatorios, tales como:
1.
2.
3.
4.
Configuración de bloqueo ante tres (3) intentos fallidos,
Mínimo largo de la contraseña es de 8 caracteres,
Máximo de días para cambio de contraseña en 90 y,
Desbloqueo de cuentas sólo por el administrador.
Riesgos:
- Eventuales accesos no autorizados al sistema operativo.
- Actividades no autorizadas no serán detectadas y solucionadas de manera oportuna.
- Inadecuada configuración puede desencadenar en pérdida de información sensible.
Acciones / Recomendaciones:
Comentario de la Administración:
Reevaluar periódicamente la necesidad de contar con contraseñas
complejas de acuerdo al riesgo o criticidad del recurso informático
afectado.
La Sociedad conoce este riesgo, el cual fue aceptados en las instancias
correspondientes según lo establece la gobernancia.
PwC
13
3.2
Eliminar los privilegios de sysadmin y/o security admin en las bases de datos SQL Server para los usuarios del
sistema operativo.
Descripción del problema:
a) Dentro del grupo administrador del sistema operativo Windows en el servidor CLSTGBLSRVP06 que soporta la base de datos de la
aplicación Unipass, observamos al grupo CHL_84_19_1_D, del cual es miembro el usuario CRJZ7252 que corresponde a ROBERTO
JIMENEZ ZUNIGA, Ingeniero de Sistemas, que cuenta con privilegios de “sysadmin” en el servidor, con lo cual puede llevar a cabo cualquier
actividad en el servidor SQL y en el sistema operativo.
b) Dentro del grupo administrador del sistema operativo Windows en el servidor CLSTGSQLP18V9 que soporta la base de datos de la
aplicación SAP BO observamos al usuario CLRS3631 Administrador de Bases de Datos, el cual cuenta por su cargo con privilegios de
“sysadmin”.
La Administración indicó que es necesario que el usuario CLRS3631 Administrador de Bases de Datos, mantenga los permisos de administración
en el sistema operativo y base de datos para poder desempeñar sus funciones, tales como:
1.- Conexión remota a los Servidores de Bases de Datos.
2.- Realizar análisis de los registros de Logs de las máquinas.
3.- Revisar mensajes de errores en cada una de las máquinas.
4.- Administrar tamaños y espacios en discos.
Riesgos:
- Eventuales accesos no autorizados al sistema operativo.
- Actividades no autorizadas no serán detectadas y solucionadas de manera oportuna.
- Inadecuada configuración puede desencadenar en accesos no autorizados y pérdida de información sensible.
Acciones / Recomendaciones:
Comentario de la Administración:
La Administración eliminó el privilegio de “sysadmin” del usuario
CRJZ7252, el día 06-11-2015.
Quitar el acceso como administrador del Sistema Operativo del servidor
CLSTGSQLP18V9 al usuario CLRS3631 Administrador de Base de Datos.
Caso a): el usuario CRJZ7252 realiza funciones de Backup de DBA, por lo
que necesita de esos accesos para poder realizar dicha función. Esta es una
decisión de la Gerencia de IT para asegurar la continuidad de este servicio
en caso de contingencia.
Caso b): Para realizar sus funciones en forma integral, el DBA requiere
accesos a nivel del sistema operativo (acceso remoto, revisión de logs,
gestión del espacio en disco de los servidores de BD). La Gerencia de IT
conoce y mitiga el riesgo asociado.
PwC
14
3.3. Eliminar los privilegios de sysadmin y/o securityadmin en las bases de datos SQL server para los usuarios
administradores del sistema operativo.
Descripción del problema:
Durante nuestra revisión de la base de datos SQL Server 2008 R2 del servidor CLSTGBLSRVP06 que soporta la aplicación Unipass,
observamos que existen tres (3) usuarios: CJNE5122, CPAB7921 y CRAC1562, con privilegios de “securityadmin”, con lo cual pueden
administrar la base de datos no siendo esto parte de sus funciones según su cargo dentro de la Sociedad.
Riesgo:
Accesos a información privilegiada por parte de personal no autorizado.
Acciones / Recomendaciones:
Comentarios de la Administración:
El día 06-11-2015 La Administración eliminó los usuarios que no
correspondían con privilegio de “Securityadmin”, dejando sólo aquellos
que sus funciones corresponden:
CRSA2376 >> Ramon Salas Alvear, Ingeniero de Sistemas.
CFGA7526 >> Felipe Gutierrez Alfaro, Ingeniero de Sistemas.
CFLA8025 >> Felipe Lira Alarcon, Ingeniero de Sistemas.
CRJZ7252 >> Roberto Jiménez, Ingeniero de Sistemas.
Los casos señalados corresponden a usuarios que necesitan dicho nivel de
accesos para desempeñar sus funciones para la Sociedad, el cual
corresponde a una definición de cargo establecida por la Gerencia.
PwC
El usuario CRJZ7252, necesita este nivel de accesos para realizar la función
de backup de DBA.
15
© 2015, PricewaterhouseCoopers Consultores, Auditores y Compañía Limitada. Todos los derechos reservados. Prohibida su reproducción total o parcial.
“PricewaterhouseCoopers” se refiere a la red de firmas miembros de PricewaterhouseCoopers International Limited, cada una de las cuales es una entidad
legal separada e independiente.