Download Itau Chile Administradora General de Fondos SA
Document related concepts
Transcript
Itau Chile Administradora General de Fondos S.A. Informe con observaciones de control interno y recomendaciones de mejora Noviembre 2015 Santiago, 30 de noviembre de 2015 Señores Presidente y Directores Itaú Chile Administradora General de Fondos S.A. Como parte del proceso de planificación y ejecución de nuestra auditoría a los estados financieros de Itaú Chile Administradora General de Fondos S.A. al 31 de diciembre de 2015, consideramos su estructura de control interno para determinar la naturaleza, oportunidad y alcance de nuestros procedimientos de auditoría, con el propósito de expresar una opinión sobre los mencionados estados financieros. Por lo tanto, en este contexto, nuestra consideración de la estructura de control interno, no necesariamente cubre la totalidad de las debilidades eventualmente existentes en las áreas sujetas a revisión, ni se indican aquellos numerosos procedimientos correctamente establecidos. Si el objetivo de esta revisión hubiese sido expresar una opinión sobre los sistemas de control interno, los procedimientos de evaluación habrían sido más extensos y específicos que los practicados. Por lo anterior, no se ha probado el cumplimiento y continuidad de todos los controles vigentes en Itaú Chile Administradora General de Fondos S.A. y nuestras observaciones no incluyen necesariamente todas aquellas posibles sugerencias que se podrían poner de manifiesto por medio de un estudio especial sobre la materia. En el estudio y evaluación efectuado con el propósito antes descrito, notamos ciertos aspectos sobre el funcionamiento del control interno de la Sociedad, que consideramos deben ser incluidos en este informe, tanto para cumplir con normas de auditoría generalmente aceptadas en Chile, como para aportar a la administración elementos que puedan contribuir a salvaguardar en forma más efectiva los activos de la Sociedad, a mejorar la calidad de la información, a optimizar la eficiencia administrativa y a lograr una mejor adhesión a las políticas de la Sociedad. Es importante hacer presente que ningún sistema de control interno puede lograr eliminar totalmente el riesgo de que errores o irregularidades ocurran y no sean detectados oportunamente. Santiago, 30 de noviembre de 2015 Itaú Chile Administradora General de Fondos S.A. 2 Con el objeto de facilitar la lectura del presente informe, éste ha sido estructurado como sigue: I. Detalle de observaciones del año actual II. Detalle de observaciones de años anteriores III. Detalle de los riesgos mitigados parcialmente por la Administración Las recomendaciones incluidas en este memorándum han sido analizadas con los principales ejecutivos de cada área involucrada, cuyos comentarios se incluyen a continuación de cada observación. Este informe es únicamente para conocimiento y uso del Directorio y la Gerencia y, por lo tanto, no pretende ser un documento de carácter público. Queremos expresar nuestros agradecimientos tanto a los ejecutivos como al personal de Itaú Chile Administradora General de Fondos S.A., por la importante colaboración que nos han prestado durante el desarrollo de este trabajo. Fernando Orihuela B. Índice de contenidos I. Observaciones del año 2015 5 II. Observaciones de años anteriores 9 III. Riesgos mitigados parcialmente por la Administración 12 I. Observaciones del año actual 1.1. Deficiencias en el procedo de bajas de usuarios en las aplicaciones Unipass y SAP BO. Descripción del problema: Luego de la revisión de las muestras solicitadas de modificaciones y bajas de usuarios de las aplicaciones Unipass y SAP BO, evidencias de solicitudes y/o autorizaciones del requerimiento enviado. Los casos identificados son los siguientes: Bajas de Usuarios Unipass y SAP BO Fecha de Finiquito Días transcurridos entre el finiquito y la eliminación de acceso Observaciones Eliminación no oportuna Aplicación Fecha de bloqueo ¿Existe una solicitud para la eliminación de acceso? CRVE9015 SAP BO 15-04-2015 (Fecha obtenida de las evidencias enviadas, ya que el Sistema no la guarda) Si 20-03-2015 26 CMTH9061 Unipass 21-01-2015 Si 10-11-2014 2 meses y 11 días CGCD0040 Unipass 30-01-2015 No 11-12-2014 1 mes y 19 días CJSS3953 Unipass 30-01-2015 No 21-12-2014 1 mes y 9 días Eliminación no oportuna CCDP8806 Unipass 18-04-2015 No 28-02-2015 1 mes y 21 días Eliminación no oportuna CIQQ2531 Unipass 22-04-2015 ID Usuario PwC No se enviaron evidencias del caso, el ejecutor ya no está en el área no se pudo obtener los PST (Archivo Outlook) Eliminación no oportuna Eliminación no oportuna No se obtuvo evidencias 6 1.1. Deficiencias en el procedo de bajas de usuarios en las aplicaciones Unipass y SAP BO. Descripción del problema: (continuación) Bajas de Usuarios Unipass y SAP BO ¿Existe una solicitud para la eliminación de acceso? Fecha de Finiquito Días transcurridos entre el finiquito y la eliminación de acceso Observaciones ID Usuario Aplicación Fecha de bloqueo CXGC2851 Unipass 18-08-2015 No 02-03-2015 5 meses y 16 días Eliminación no oportuna CMVP3469 Unipass 18-08-2015 No 19-03-2015 4 meses y 29 días Eliminación no oportuna CBGG9400 Unipass 19-08-2015 No 27-03-2015 4 meses y 21 días Eliminación no oportuna Riesgos: - Posibilidad de realizar acciones de modificaciones, bloqueo o eliminaciones de usuarios en la aplicación sin las debidas autorizaciones. - Accesos de usuarios no autorizados a la aplicación. - Acceso a información sensible de la empresa. Acciones / Recomendaciones: Implementar controles que aseguren una baja oportuna de usuarios. PwC Comentarios de la Administración: Existió un problema detectado de los conectores de ITIM que fue abordado en agosto de 2015, existe un proyecto en desarrollo (Upgrade del sistema ITIM) que considera la actualización y corrección de todos los conectores incluyendo alertas en caso de fallas. Los casos antes observados por auditoría corresponden a regularizaciones hechas por control COBIT dado el problema de los conectores. 7 1.2. Efectuar un mantenimiento correctivo a la configuración del sistema operativo Windows. Descripción del problema: En la revisión del sistema operativo Windows del servidor CLSTGBLSRVP05 que soporta la Aplicación Unipass, se observó que el parámetro "Audit Policy Change" no se encontraba configurado para ser registrado. Esta configuración determina si el sistema operativo registra los cambios en la política de auditorÍa, tales como: - Cambio de la política de auditoría del sistema. Registro y eliminación de eventos de auditoría. Cambios en la configuración de auditoría por usuario. Como consecuencia de lo anterior, no existe un control de monitoreo para asegurar que no existen cambios de la política de auditoría sin revisión. Riesgos: - Eventuales accesos no autorizados al sistema operativo. - Actividades no autorizadas no serán detectadas y solucionadas de manera oportuna. Acciones / Recomendaciones: Comentario de la Administración: La administración activó el parámetro de auditoría correspondiente el día 25-11-2015. Se reforzará el control de monitoreo sobre servidores para asegurar la permanencia de las políticas de auditoría. el control de monitoreo, incluyendo el log de -Recomendamos Inadecuada fortalecer segregación de funciones auditoría de SO del servidor CLSTGBLSRVP05, con la finalidad de - Acceso a funcionalidades críticas del sistema y de la BD Cabe mencionar que la observación fue regularizada durante el proceso de auditoría. asegurar que no existen cambios en la política de auditoría que no sean autorizados. PwC 8 II. Observaciones de años anteriores 2.1. No es posible registrar la fecha de creación, modificación y eliminación de las cuentas en el sistema SAP Bussines One. Descripción del problema: Durante nuestra revisión al proceso de creación, modificación y eliminación de cuentas, observamos que el sistema SAP Bussines One no registra la fecha de creación, modificación y eliminación de cuentas de usuarios. Sin embargo, la Administración está desarrollando de un proyecto de actualización de versión del sistema SAP BO, el cual fue puesto en producción el día 22 de noviembre de 2015. Esta actualización permitirá que el sistema pueda reflejar las fechas de creación, modificación y eliminación de los usuarios en la aplicación SAP BO. Riesgos: - Acceso a la aplicación de usuarios no autorizados. - Modificaciones de usuarios en la aplicación que no son registradas. Acciones / Recomendaciones: Comentarios de la Administración: Realizar un monitoreo sobre el proceso, una vez que se cuente con un reporte de altas, bajas y modificaciones de usuarios, directo del sistema SAP BO. Para resolver esta desviación se desarrolló un proyecto que consideró un upgrade de versión del sistema SAP, cuya versión registra las fechas de creación, eliminación y modificación de los usuarios. Esta nueva versión fue instalada en producción con fecha 22-11-2015. PwC 10 2.2. No se ha implementado la aprobación sistémica de los Vouchers contables en el sistema SAP BO. Descripción del problema: Durante nuestra revisión al proceso de registro de los vouchers contables al sistema SAP Business One observamos que no existe una aprobación posterior a la carga en el sistema. Riesgos: - Vouchers mal registrados. - Registros contables erróneos. Acciones / Recomendaciones: Comentarios de la Administración: Recomendamos finalizar la implementación de la aprobación sistémica de los vouchers contables en el sistema SAP BO que permita contar con una revisión y aprobación que certifique la integridad del proceso. Para resolver esta desviación se desarrolló un proyecto que consideró un upgrade de versión del sistema SAP, cuya versión permite la aprobación sistémica de los vouchers contables. Esta nueva versión fue instalada en producción con fecha 22-11-2015. PwC 11 III. Riesgos mitigados parcialmente por la Administración 3.1. No se efectúa un mantenimiento correctivo a la configuración del sistema operativo Windows. Descripción del problema: Durante nuestra revisión del sistema operativo Windows de los servidores CLSTGBLSRVP06, CLSTGSQLP18V9, CLSTGXBRP00V1 y el CLSTGDCSP00, que soporta la base de datos de la aplicación Unipass, la base de datos de la aplicación SAP BO, la aplicación SAP BO y el domain controler respectivamente, se observó que el parámetro "PasswordComplexity” se encuentra deshabilitado, por consiguiente no se exige una contraseña compleja. La Sociedad, siendo consciente del riesgo de no contar con contraseñas complejas considera que el mismo está parcialmente mitigado por la operación de ciertos controles compensatorios. En efecto, durante nuestra revisión, se observó la existencia y correcta operación de controles compensatorios, tales como: 1. 2. 3. 4. Configuración de bloqueo ante tres (3) intentos fallidos, Mínimo largo de la contraseña es de 8 caracteres, Máximo de días para cambio de contraseña en 90 y, Desbloqueo de cuentas sólo por el administrador. Riesgos: - Eventuales accesos no autorizados al sistema operativo. - Actividades no autorizadas no serán detectadas y solucionadas de manera oportuna. - Inadecuada configuración puede desencadenar en pérdida de información sensible. Acciones / Recomendaciones: Comentario de la Administración: Reevaluar periódicamente la necesidad de contar con contraseñas complejas de acuerdo al riesgo o criticidad del recurso informático afectado. La Sociedad conoce este riesgo, el cual fue aceptados en las instancias correspondientes según lo establece la gobernancia. PwC 13 3.2 Eliminar los privilegios de sysadmin y/o security admin en las bases de datos SQL Server para los usuarios del sistema operativo. Descripción del problema: a) Dentro del grupo administrador del sistema operativo Windows en el servidor CLSTGBLSRVP06 que soporta la base de datos de la aplicación Unipass, observamos al grupo CHL_84_19_1_D, del cual es miembro el usuario CRJZ7252 que corresponde a ROBERTO JIMENEZ ZUNIGA, Ingeniero de Sistemas, que cuenta con privilegios de “sysadmin” en el servidor, con lo cual puede llevar a cabo cualquier actividad en el servidor SQL y en el sistema operativo. b) Dentro del grupo administrador del sistema operativo Windows en el servidor CLSTGSQLP18V9 que soporta la base de datos de la aplicación SAP BO observamos al usuario CLRS3631 Administrador de Bases de Datos, el cual cuenta por su cargo con privilegios de “sysadmin”. La Administración indicó que es necesario que el usuario CLRS3631 Administrador de Bases de Datos, mantenga los permisos de administración en el sistema operativo y base de datos para poder desempeñar sus funciones, tales como: 1.- Conexión remota a los Servidores de Bases de Datos. 2.- Realizar análisis de los registros de Logs de las máquinas. 3.- Revisar mensajes de errores en cada una de las máquinas. 4.- Administrar tamaños y espacios en discos. Riesgos: - Eventuales accesos no autorizados al sistema operativo. - Actividades no autorizadas no serán detectadas y solucionadas de manera oportuna. - Inadecuada configuración puede desencadenar en accesos no autorizados y pérdida de información sensible. Acciones / Recomendaciones: Comentario de la Administración: La Administración eliminó el privilegio de “sysadmin” del usuario CRJZ7252, el día 06-11-2015. Quitar el acceso como administrador del Sistema Operativo del servidor CLSTGSQLP18V9 al usuario CLRS3631 Administrador de Base de Datos. Caso a): el usuario CRJZ7252 realiza funciones de Backup de DBA, por lo que necesita de esos accesos para poder realizar dicha función. Esta es una decisión de la Gerencia de IT para asegurar la continuidad de este servicio en caso de contingencia. Caso b): Para realizar sus funciones en forma integral, el DBA requiere accesos a nivel del sistema operativo (acceso remoto, revisión de logs, gestión del espacio en disco de los servidores de BD). La Gerencia de IT conoce y mitiga el riesgo asociado. PwC 14 3.3. Eliminar los privilegios de sysadmin y/o securityadmin en las bases de datos SQL server para los usuarios administradores del sistema operativo. Descripción del problema: Durante nuestra revisión de la base de datos SQL Server 2008 R2 del servidor CLSTGBLSRVP06 que soporta la aplicación Unipass, observamos que existen tres (3) usuarios: CJNE5122, CPAB7921 y CRAC1562, con privilegios de “securityadmin”, con lo cual pueden administrar la base de datos no siendo esto parte de sus funciones según su cargo dentro de la Sociedad. Riesgo: Accesos a información privilegiada por parte de personal no autorizado. Acciones / Recomendaciones: Comentarios de la Administración: El día 06-11-2015 La Administración eliminó los usuarios que no correspondían con privilegio de “Securityadmin”, dejando sólo aquellos que sus funciones corresponden: CRSA2376 >> Ramon Salas Alvear, Ingeniero de Sistemas. CFGA7526 >> Felipe Gutierrez Alfaro, Ingeniero de Sistemas. CFLA8025 >> Felipe Lira Alarcon, Ingeniero de Sistemas. CRJZ7252 >> Roberto Jiménez, Ingeniero de Sistemas. Los casos señalados corresponden a usuarios que necesitan dicho nivel de accesos para desempeñar sus funciones para la Sociedad, el cual corresponde a una definición de cargo establecida por la Gerencia. PwC El usuario CRJZ7252, necesita este nivel de accesos para realizar la función de backup de DBA. 15 © 2015, PricewaterhouseCoopers Consultores, Auditores y Compañía Limitada. Todos los derechos reservados. Prohibida su reproducción total o parcial. “PricewaterhouseCoopers” se refiere a la red de firmas miembros de PricewaterhouseCoopers International Limited, cada una de las cuales es una entidad legal separada e independiente.