Pistrelli, Díaz y Asociados Firma Miembro de Arthur Andersen Harteneck López y Cía. Price Waterhouse Firma miembro de Firma miembro de INFORME DEL AUDITOR Buenos Aires, 6 de agosto de 2001 A los señores Presidente y Directores de Nación Seguros de Vida S.A. 1. Hemos efectuado un examen de auditoría de los balances generales de Nación Seguros de Vida S.A. al 30 de junio de 2001 y 2000, de los correspondientes estados de resultados y de evolución del patrimonio neto por los ejercicios terminados en esas fechas y de las notas 1 a 11 y anexos que los complementan. La preparación y emisión de los mencionados estados contables es responsabilidad de la Dirección de la Sociedad. Nuestra responsabilidad consiste en expresar una opinión sobre los mencionados estados contables, en base a las auditorías que efectuamos. 2. Nuestros exámenes fueron practicados de acuerdo con normas de auditoría y con lo requerido por los "Procedimientos Mínimos de Auditoría Contable" emitidos por la Superintendencia de Seguros de la Nación. Tales normas requieren que planifiquemos y realicemos nuestro trabajo con el objeto de obtener un razonable grado de seguridad de que los estados contables estén exentos de errores significativos. Una auditoría comprende el examen, en base a pruebas selectivas, de evidencias que respaldan los importes y las informaciones expuestas en los estados contables. Una auditoría también comprende una evaluación de las normas contables aplicadas y de las estimaciones significativas hechas por la Sociedad, así como una evaluación de la presentación general de los estados contables. Consideramos que las auditorías efectuadas constituyen una base razonable para fundamentar nuestra opinión. 3. La Sociedad no presenta, por no ser exigido por la Superintendencia de Seguros de la Nación, el estado de origen y aplicación de fondos ni la información comparativa con el ejercicio anterior en la información complementaria incluida en los anexos y notas a los estados contables, de acuerdo con lo requerido por la Resolución Técnica N° 8 de la Federación Argentina de Consejos Profesionales de Ciencias Económicas. Pistrelli, Díaz y Asociados Firma Miembro de Arthur Andersen Harteneck López y Cía. Price Waterhouse Firma miembro de Firma miembro de 4. Tal como se menciona en nota 9, la Sociedad mantiene una diferencia de interpretación con la Compañía Suiza de Reaseguros respecto de los términos en la contratación de la cesión de la cuota parte que le fuera oportunamente adjudicada a esta última por la Póliza Previsional Nº 6 de Invalidez y Fallecimiento. 5. En nuestra opinión, sujeto al ajuste, si lo hubiere, que pudiera derivar de la situación descripta en el párrafo 4., los estados contables mencionados en el párrafo 1. presentan razonablemente, en todos sus aspectos significativos, la situación patrimonial de Nación Seguros de Vida S.A. al 30 de junio de 2001 y 2000, y los resultados de sus operaciones y las variaciones en su patrimonio neto por los ejercicios terminados en esas fechas, de acuerdo con normas de la Superintendencia de Seguros de la Nación, y excepto por lo indicado en el párrafo 3. de acuerdo con normas contables profesionales vigentes en la República Argentina. 6. En cumplimiento de disposiciones legales vigentes y normas de la Superintendencia de Seguros de la Nación, informamos que: a) los estados contables mencionados en el párrafo 1. surgen de registros contables llevados, en sus aspectos formales, de conformidad con las normas legales vigentes, teniendo en cuenta lo mencionado en la nota 10 a los estados contables, y con las normas de contabilidad y plan de cuentas establecidos por la Superintendencia de Seguros de la Nación, y han sido preparados dando cumplimiento a la Resolución General N° 24.097, emitida por el mencionado organismo; b) la Sociedad se ajusta a las normas sobre capitales mínimos y cobertura de los compromisos con los asegurados; c) al 30 de junio de 2001 la deuda devengada en concepto de aportes y contribuciones con destino al Sistema Integrado de Jubilaciones y Pensiones, que surge de los registros contables de la Sociedad, ascendía a $ 165.377 (pesos ciento sesenta y cinco trescientos setenta y siete), no siendo exigible a esa fecha. AUDITORIA GENERAL DE LA NACION PISTRELLI, DIAZ Y ASOCIADOS (Socio) HARTENECK, LOPEZ Y CIA. (Socio) PRICE WATERHOUSE & CO. (Socio) Pistrelli, Díaz y Asociados Firma Miembro de Arthur Andersen Harteneck López y Cía. Price Waterhouse Firma miembro de Firma miembro de Buenos Aires, 6 de agosto de 2001 Señores Presidente y Directores de Nación Seguros de Vida S.A. San Martín 913 - 6° Piso Buenos Aires 1. De acuerdo con las normas de auditoría vigentes, a los auditores externos se les requiere que informen las observaciones sobre el sistema de control interno contable de la Sociedad que pudieran haber surgido durante el desarrollo de su auditoría, así como sus sugerencias para el mejoramiento de las actividades de control del sistema examinado. Asimismo, la Superintendencia de Seguros de la Nación (SSN) requiere que en forma anual al cierre de cada ejercicio, el auditor externo informe las debilidades observadas sobre el sistema de control interno contable y las correspondientes recomendaciones para solucionarlas, según lo establecido en el Anexo I de la Resolución Nº 25.648 del mencionado organismo. 2. Como parte de nuestra auditoría de los estados contables de Nación Seguros de Vida S.A. para el ejercicio finalizado el 30 de junio de 2001, hemos considerado el sistema de control interno contable de la Sociedad, solamente para determinar la naturaleza, alcance y oportunidad de los procedimientos aplicados en relación con la auditoría de los referidos estados contables. Nuestra consideración del sistema de control interno contable no incluyó un estudio y evaluación detallados de ninguno de sus elementos y no tuvo por objetivo hacer recomendaciones detalladas ni evaluar la confiabilidad del sistema de control interno de la Sociedad para prevenir o detectar todos los errores o irregularidades. En este sentido, cabe advertir que, debido a las limitaciones inherentes a todo sistema de control interno, pueden producirse errores o irregularidades y los mismos no ser detectados. Además, la proyección de cualquier evaluación del sistema hacia períodos futuros está sujeta al riesgo de que los procedimientos se tornen inadecuados debido a cambios en las condiciones, o que el grado de cumplimiento de los procedimientos se deteriore, por lo que deberá prestarse debida atención al mantenimiento de procedimientos actualizados y adecuados a las circunstancias. 3. La Gerencia de la Sociedad es responsable del establecimiento y mantenimiento del sistema de control interno. Los objetivos de este sistema son los de proveer a la Gerencia una seguridad razonable, pero no absoluta, de que los activos están salvaguardados contra pérdidas por usos o disposiciones no autorizadas y que las transacciones se ejecutan de acuerdo con la autorización de la Gerencia y son adecuadamente registradas para permitir la preparación de estados contables de acuerdo con las normas contables profesionales y legales vigentes. Pistrelli, Díaz y Asociados Firma Miembro de Arthur Andersen Harteneck López y Cía. Price Waterhouse Firma miembro de Firma miembro de 4. Como resultado del trabajo realizado y con las limitaciones en el alcance descriptas precedentemente, si bien el propósito de nuestra consideración del sistema de control interno no es el de brindar seguridad sobre su confiabilidad, ciertos asuntos llamaron nuestra atención y queremos informárselos a ustedes en las observaciones adjuntas. Estas observaciones, que fueron consideradas en nuestra auditoría anual y que no modifican la opinión expresada en nuestro informe de fecha 6 de agosto de 2001, están descriptas, junto con nuestras sugerencias y los comentarios de la gerencia, en el memorándum que se adjunta en el presente informe. 5. Nuestra consideración del sistema de control interno no detectará necesariamente todos los asuntos susceptibles de acciones correctivas y, por consiguiente, tampoco revelará necesariamente todos los asuntos que puedan considerarse debilidades significativas. 6. Este informe y el memorándum adjunto sobre el sistema de control interno están destinados exclusivamente a su uso por parte del Directorio, la Gerencia de la Sociedad y la Superintendencia de Seguros de la Nación, y no debe ser utilizado con ningún otro propósito. AUDITORIA GENERAL DE LA NACION PISTRELLI, DIAZ Y ASOCIADOS (Socio) HARTENECK, LOPEZ Y CIA. (Socio) PRICE WATERHOUSE & CO. (Socio) ANEXO I-HOJA I. ASPECTOS ADMINISTRATIVOS CONTABLES Aspectos observados 1. Registración de Primas cedidas a reaseguradores. La Compañía determina mensualmente las primas a ceder a los reaseguradores mediante la utilización de planillas de excel y luego procede a la registración contable a través de un asiento manual. Sugerencia Comentario de la Gerencia Gerencia Administrativa Los procesos manuales efectuados por el depto. de Contabilidad se Sugerimos la implementación de un originan en la implementación módulo de reaseguros que permita el técnica del sistema contable ( cálculo automáico de la prima a ceder a TANGO ) de admitir tipo alguno los reaseguradores. de interfases con otros sistemas operativos, dado su característica de software enlatado. Gerencia de Operaciones El sistema Rector, el cual se encuentra en proceso de implementación prevee el cálculo de resúmenes de reaseguros, a la fecha está pendiente la adaptación del mismo a los tipos de contratos contraídos por Nación Seguros. 2. Contabilización de Primas emitidas La tarea de emisión de pólizas es realizada por el sector operaciones quien emite un listado y lo envía períodicamente al departamento contable para que proceda a la registración de primas. Debería existir una interfase entre el sistema contable y el módulo de emisión de manera que, al fín de cada período mensual, se actualice la contabilidad automáticamente. A partir del cambio de sistemas contable a People Soft, el mismo genera un interfase al módulo de contabilidad una vez que la Gerencia de Operaciones ha cerrado la emisión correspondiente al mes. 1 ANEXO I-HOJA I. ASPECTOS ADMINISTRATIVOS CONTABLES Aspectos observados Sugerencia 53. Recepción y registración de denuncias de siniestros. Diariamente la compañía recibe, por bolsa, las denuncias de siniestros correspondientes a los ramos de seguro de vida colectivo, obligatorio y accidentes personales, del Banco de la Nación Argentina Casa Central y demás canales intervinientes. Estos formularios no son prenumerados al recibirlos y posteriormente se envían al sector siniestros quien le asigna el número de siniestro correspondiente. Comentario de la Gerencia Gerencia de Siniestros Recomendamos intervenir con un sello numerador las denuncias que se reciben diariamente del Banco de la Nación Argentina Casa Central y demás canales intervinientes. La observación realizada merece el comentario: las siguiente coberturas de vida no previsional a las que se dirige la observación se iniciaron en el año 1996. Nunca se le hizo a la compañía un reclamo por un siniestro oportunamente denunciado, que por error, pérdida, etc., no fuera registrado, simplemente porque nunca ha ocurrido. Primariamente el control de integridad de información se realizaba en esta Gerencia, ya que la Unidad de Operaciones, y seguimiento Coordinación Operativo del Banco de la Nación Argentina envía junto a los formularios de denuncia de siniestros una hoja con el detalle contenido en dichos formularios y de las sucursales que envían la información. En la actualidad el 2 ANEXO I-HOJA I. ASPECTOS ADMINISTRATIVOS CONTABLES Aspectos observados Sugerencia Comentario de la Gerencia control y seguimiento de la registración de la documentación enviada por el BNA Casa Central y demás canales intervinientes, que se hacía mediante la actuación de las recepcionistas de casa centra de Nación Seguros de Vida S.A. (San Martín 913) ha sido dejada sin efecto. Por ello implementaremos en la recepción a los efectos de dicho control un sello foliador que deberá numerar correlativamente la documentación que a partir de la fecha se recepcione en nombre de esta Gerencia de Siniestros (nuevas denuncias, documentación para adjuntar, recibos de pagos, etc.). Recomendamos analizar y modificar el software de aplicación de manera tal que los cheques anulados con posterioridad al cierre no modifiquen el saldo contable A la fecha se encuentra solucionado el inconveniente mencionado mediante la adecuación de los saldos contables con el saldo bancario. 4. Conciliaciones Bancarias Debido a la anulación de cheques con posterioridad al cierre y a que el sistema toma como fecha de la anulación la correspondiente a la emisión del cheque, se observaron conciliaciones bancarias en las cuales el saldo contable no coincide con los registros contables. 3 ANEXO I-HOJA I. ASPECTOS ADMINISTRATIVOS CONTABLES Aspectos observados 5. Sugerencia Integridad de las reservas La compañía no recibe de Nación A.F.J.P. la información requerida por la Resolución General N° 23.380/94, acerca de solicitudes de prestaciones de prestaciones (invalidez y fallecimiento) recibidas por la Administradora. Recomendamos establecer un procedimiento que asegure la recepción por parte de la compañía de la información en forma y tiempo.. A no recibirse dicha información, el pasivo de la compañía podría estar subvaluado. Aspectos observados 1. Acceso general a los programas y los datos Sugerencia 4 Comentario de la Gerencia Gerencia de Siniestros De acuerdo a la observación realizada y lo establecido en la reglamentación de control, implementaremos a los efectos apuntados una solicitud de información mensual de trámites en curso denunciados en Nación A.F.J.P.. Con ello se obtendrá un control cruzado entre lo recepcionado en la aseguradora y lo denunciado por la administradora. Comentario de la Gerencia Recomendamos limitar los derechos de acceso de los usua- Se está analizando la forma 1.1. De nuestro relevamiento surge que los rios nombrados, de acuerdo a las funciones que desempeñan. en que los actuales siguientes usuarios continúan con el perfil de Administrador de Windows NT, independientemente de las funciones que desempeñan. GVIGNALE: Adm. De Lotus Notes y Backup. MNAVARRO: Adm. De Antivirus PFRANCO: Adm. De NT RMJORJA: Jefe de Ingeniería CRICCI: Adm. De UNIX y DB administradores puedan continuar con sus tareas diarias, sin la necesidad de asignarles el perfil "Administrador" de Windows NT. ANEXO I-HOJA I. ASPECTOS ADMINISTRATIVOS CONTABLES Aspectos observados Sugerencia 5 Comentario de la Gerencia Esto les permite tener libre acceso a parámetros del sistema, funciones de seguridad, programas, datos, utilitarios, compiladores y cualquier otro componente de los ambientes de desarrollo y producción 1.2. Los débitos sobre cuentas que se envían mensual- Implantar a la brevedad un esquema de encriptado Se continúa trabajando en la mente en diskettes al BNA no contienen la información con el objeto de proteger la integridad y implementación de la encriptada. confidencialidad de la información crítica solución relevada por los Según lo conversado con personal del soportada en los medios magnéticos de Auditores. departamento de Ingeniería de Sistemas la intercambio. instalación del software para el encriptado de datos (PGP) se retrasó debido al cambio de personal asignado para dicha tarea. No obstante se esta gestionando con el banco receptor la realización de una comunicación punto a punto. Esta misma contendrá un método de encriptación. Aspectos observados Sugerencia Comentario de la Gerencia 1. Acceso general a los programas y los datos (Cont.) 1.3.De una muestra de usuarios analizada se Sería conveniente que cada usuario acceda a la red Para realizar la Restricción detectaron que los mismos pueden acceder exclusivamente desde su estación de trabajo por Usuario, se está desde cualquier PC. habitual. confeccionando un Plan de Implementación. 1.4. Al observar los usuarios del servidor se Sería conveniente que los usuarios genéricos Los usuarios detectaron los siguientes usuarios genéricos: fueran dados de baja. DATAENTRY2 y PRUEBA serán dados de baja. ANEXO I-HOJA I. ASPECTOS ADMINISTRATIVOS CONTABLES Aspectos observados ♦ DATAENTRY2 ♦ PRUEBA Sugerencia 6 Comentario de la Gerencia No obstante lo anterior, cabe aclarar que el usuario DATAENTRY2 se encuentra deshabilitado y el usuario PRUEBA se lo emplea para realizar la configuración de Notesbook. 2. Cambios a los programas Desarrollar formalmente normas y procedimientos relativos a operaciones que contemplen las actividades de operación en cada una de las plataformas. Asimismo, se debería contemplar la generación de informes de incidentes que contemplen sus causas, seguimiento, corrección, etc. La actividad de los operadores debería quedar registrada en un log, el cual debería ser revisado periódicamente por la Gerencia de Sistemas y permanecer disponible para eventuales consultas de Auditoría Por su parte ciertos procedimientos existentes y Interna y/o Seguridad Informática. 2.1. Se encuentran en desarrollo los procedimientos formales relacionados con la actividad de operaciones de los servidores de la Plataforma Windows NT y UNIX (operación, emergencia, backup, etc.) relacionados con el párrafo anterior, aún no han sido formalizados. Entre ellos: - Procedimiento Backup De Sistema Operativo UNIX Administración De Passwords En Solaris Administración De Passwords En Sco Rcs Revisión Control System Backup Mensual Bases Oracle Se solicitó a la Unidad de Administración de Seguridad Informática la definición y desarrollo de los procedimientos observados. ANEXO I-HOJA 7 I. ASPECTOS ADMINISTRATIVOS CONTABLES Aspectos observados Sugerencia Comentario de la Gerencia Desarrollar normas y procedimientos que regulen los cambios a los parámetros de configuración y de seguridad en las plataformas Windows NT y UNIX. Las normas y los procedimientos deberían incluir: Se solicitó a la Unidad de Administración de Seguridad Informática la definición y desarrollo de los procedimientos observados. 2. Cambios a los programas (Cont.) 2.2. Actualmente se encuentra en desarrollo un procedimiento que regula los cambios a los parámetros de configuración en las plataformas Windows NT y UNIX. • • • • • Solicitud del cambio Motivo del cambio Fecha de cambio Prueba sobre los cambios Notificación al Administrador de Seguridad 3. Seguridad física 3.1. De acuerdo a lo comentado por personal del departamento de Organización y Métodos aún no se ha desarrollado un procedimiento que regule el acceso físico al Centro de Procesamiento de Datos. Desarrollar procedimientos que regulen el acceso del personal (interno o externo) al Centro de Procesamiento de Datos y al recinto donde se encuentra el rack con los concentradores de datos y telefonía. Si bien existe un borrador del procedimiento de Seguridad Física, se está a la espera de finalizar con la instalación de los dispositivos faltantes, a fin de aprobar una normativa ajustada a la realidad de la Gerencia. ANEXO I-HOJA 8 I. ASPECTOS ADMINISTRATIVOS CONTABLES Aspectos observados Sugerencia Comentario de la Gerencia 3. Seguridad Física (Cont.) 3.2. Según lo observado si bien se mejoró la Realizar la instalación del sistemas de alarmas y El proceso de instalación del seguridad del CPD mediante el reemplazo de la control de acceso al CPD. sistema de alarmas y control puerta de madera, por una reforzada con doble de acceso, ya se había chapa ignífuga y de las ventanas del CPD por iniciado al momento del paredes de Durlock blindado, resistente al relevamiento de los fuego, continúa pendiente la instalación de un auditores. Actualmente, el sistema de alarmas y control de acceso al Departamento de Compras mismo. está gestionando la adquisición de los mencionados elementos. 4. Comunicaciones 4.1. Si bien no existen procedimientos que establezcan mecanismos de interacción entre el administrador de la LAN correspondiente a Nación Seguros y el administrador de la red corporativa perteneciente a Nación AFJP, se nos ha manifestado que es muy poca la interacción existente entre las redes LAN de Nación AFJP y de Nación Seguros. No obstante, se encuentra en proceso de desarrollo un procedimiento que establezca los mecanismos de interacción entre las mismas. Desarrollar procedimientos que establezcan mecanismos de interacción entre el administrador de la LAN correspondiente a Nación Seguros y el administrador de la red corporativa perteneciente a Nación AFJP, los cuales deberían incluir la administración de conexiones, accesos, configuraciones requeridas, documentación, actualizaciones, impactos de las modificaciones en la red corporativa sobre la red de Seguros, etc. Se solicitó a la Unidad de Administración de Seguridad Informática la definición y desarrollo de los procedimientos observados. . ANEXO I-HOJA 9 I. ASPECTOS ADMINISTRATIVOS CONTABLES Aspectos observados Sugerencia Comentario de la Gerencia 4. Comunicaciones (Cont.) 4.2. Si bien hemos observado la existencia de Desarrollar políticas formales de documentación de un procedimiento que establece las políticas de seguridad de las telecomunicaciones. seguridad a seguir en las telecomunicaciones, dicho procedimiento aún no ha sido aprobado por la Gerencia General. Se solicitó a la Unidad de Administración de Seguridad Informática la definición y desarrollo de las políticas formales de documentación de seguridad de las telecomunicaciones. 4.3. Si bien hemos observado la existencia de Confeccionar procedimientos formales que un procedimiento que establece el mecanismo establezcan el mecanismo de pedido, justificación de pedido, justificación y aprobación (Gerente y aprobación del acceso de los usuarios a Internet. General) del acceso de los usuarios a Internet, dicho procedimiento aún no ha sido aprobado por Auditoría Interna. Si bien existe un borrador elaborado por la anterior Administración de Seguridad Informática, el mismo fue entregado a la Unidad de Administración de Seguridad Informática para que, en base a ese documento, defina y desarrolle los procedimientos observados. 4.4. Si bien hemos observado la existencia de un procedimiento que establece los mecanismos de acceso y configuraciones de seguridad para las comunicaciones vía Internet, así como también las responsabilidades de los usuarios y administrador de dicho servicio, el mismo aún no ha sido aprobado por Auditoría Interna. Confeccionar un procedimiento formal que establezca los mecanismos de acceso y configuraciones de seguridad para la comunicación vía Internet. Se solicitó a la Unidad de Administración de Seguridad Informática la definición y desarrollo del procedimiento observado.