Pistrelli, Díaz y Asociados S.R.L. Miembro de Ernst & Young Global INFORME ANUAL SOBRE EL SISTEMA DE CONTROL INTERNO A los Señores Presidente y Directores de NACION A.F.J.P. S.A. San Martín 913 Ciudad Autóno ma de Buenos Aires 1. De acuerdo con las normas de auditoría vigentes, a los auditores externos se les requiere que informen las observaciones sobre el sistema de control interno contable de la Sociedad que pudieran haber surgido durante el desarrollo de su auditoría, así como sus sugerencias para el mejoramiento de las actividades de control del sistema exa minado. Asimismo, la Superintendencia de Ad ministradoras de Fondos de Jubilaciones y Pensiones requiere que dicha información a) señale las debilidades detectadas durante la realización de la auditoría anual y las correspondientes recomendaciones para solucionarlas, respecto de los sistemas y políticas de control interno de las Administradoras en lo que hace a su accionar y a la protección de los activos del Fondo, y b) incluyan una mención específica sobre ciertas actividades de control enunciadas en el artículo 11° de su Instrucción N° 25/2001. 2. Como parte de nuestra auditoría de los estados contables de NACION A.F.J.P. S.A. para el período finalizado el 30 de junio de 2003, hemos considerado el sistema de control interno contable de la Sociedad, solamente para deter minar la naturaleza, alcance y oportunidad de los procedimientos aplicados en relación con la auditoría de los referid os estados co ntables. Nuestra consideración del sistema de control interno contable no incluyó un estudio y evaluación detallados de ninguno de sus elementos y no tuvo por objetivo hacer recomendaciones detalladas ni evaluar la confiabilidad del sistema de control interno de la Sociedad para prevenir o detectar todos los errores o irregularidades. En este sentido, cabe advertir que, debido a las limitaciones inherentes a todo sistema de control interno, pueden producirse errores o irregularidades y los mismos no ser detectados. Además, la proyección de cualquier evaluación del sistema hacia períodos futuros está sujeta al riesgo de que los procedimientos se tornen inadecuados debido a ca mbios en las condiciones, o que el grado de cumplimiento de los procedimientos se deteriore, por lo que deberá prestarse debida atenc ión al mantenimiento de procedimientos actualizados y adecuados a las circunstancias. - 2- 3. La Gerencia de la Sociedad es responsable del establecimiento y mantenimiento del sistema de control interno. Los objetivos de este sistema son los de proveer a la Gerencia una seguridad razonab le, pero no absoluta, de que los activos están salvaguardados contra pérdidas por usos o disposiciones no autorizadas y que las transacciones se ejecutan de acuerdo con la autorización de la Gerencia y son adecuadamente registradas para permitir la preparación de estados contables de acuerdo con las normas contables profesionales y legales vigentes. 4. Como resultado del trabajo realizado y con las limitaciones en el alcance descriptas precedentemente estamos en condiciones de informar que el sistema de control interno contable de la Sociedad es adecuado para cubrir los objetivos de control sobre los aspectos enunciados en el artículo 11° de la Instrucción N° 25 de la Superintendencia de Administradoras de Fondos de Jubilaciones y Pensiones. Adicionalmente, si bien el propósito de nuestra consideración del siste ma de control interno contable no es el de brindar seguridad sobre su confiabilid ad, ciertos asuntos llamaron nuestra atención y queremos informárselos a ustedes en las observaciones adjuntas. Estas observaciones, que fueron consideradas en nuestra auditoría anual y que no modifican la opinión expresada en nuestro infor me de fecha 26 de agosto de 2003, están descriptas, junto con nuestras sugerencias y los co mentarios de la gerencia, en el memorándum que se adjunta en el presente informe. 5. Nuestra consideración del sistema de control interno no detectó necesaria mente todos los asuntos susceptibles de acciones correctivas y, por consiguiente, tampoco reveló necesaria mente todos los asuntos que puedan considerarse debilidades significativas. 6. Este informe y el memorándum adjunto sobre el siste ma de control interno están destinados exclusiva mente a su uso por parte del Directorio, la Gerencia de la Sociedad y la Superintendencia de Ad ministradoras de Fondos de Jubilaciones y Pensiones, y no debe ser utilizado con ningún otro propósito. Buenos Aires, 28 de agosto de 2003 NACION A.F.J.P. S.A. Página - - Memorándum de las observaciones sobre el sistema de control interno y otros aspectos Auditoría al 30-06-2003 Situaciones observadas 1. Recomendación Comentario de la Gerencia Registraciones contables de movimientos en las C.C.I. El Fondo registra los movimientos por devengamiento de comisiones, de prestaciones, de transferencias a las compañías de Seguro de Retiro y de traspasos en forma manual. Dicha información la obtiene mediante listados, los cuales surgen de los procesos de comisiones, de prestacio nes, de transferencias y de traspasos realizados por el departamento de Recaudaciones y Cuentas Individuales. Sistematizar la interfase entre el sistema de Recaudaciones y Cuentas Individuales y el sistema contable de forma tal que se transmitan automáticamente los movimientos generados por la acreditación de los aportes en las respectivas C.C.I., la generación de las comisiones a pagar, el devenga miento de las prestaciones, de las transferencias y los traspasos. Control cruzado de los datos ingresados en el sistema contable versus el sistema de Recaudaciones y Cuentas Individuales Se ha avanzado en las definiciones desde el punto de vista del usuario y de Desarrollo de sistemas en cuanto a la definición de la codificación contable de los distintos movimientos dentro de las CCI, quedando pendiente la definición de lotes de prueba y posterior chequeo de los datos arrojados para proceder a su implementación en los sistemas de producción. Se prevee su puesta en funciona miento para el segundo semestre del presente año. 1 NACION A.F.J.P. S.A. Página - - Memorándum de las observaciones sobre el sistema de control interno y otros aspectos Auditoría al 30-06-2003 Situaciones observadas 2. Recomendación Comentario de la Gerencia Conciliaciones bancarias – Partidas pendientes de registración Existen partidas antiguas poco significativas pendientes de registración. Dichas partidas corresponden a créditos bancarios que la Compañía no registró debido a que no puede identificar su origen. Esto puede originar que las cue ntas bancarias se encue ntren subvaluadas. Asimismo, existen partidas antiguas poco significativas registradas por la Compañía que no fueron debitadas por el Banco. Esto puede originar que las cue ntas bancarias se encuentren sobrevaluadas. Solicitar al banco información sobre estas partidas conciliatorias y corregir las diferencias una ves identificadas. Se procederá a tener mayor intervención en el reclamo a las entidades bancarias de la documentación que permite identificar las mencionadas partidas conciliatorias. Actualmente, el Sector Beneficios es quien se ocupa del tema.. 2 NACION A.F.J.P. S.A. Página - - Memorándum de las observaciones sobre el sistema de control interno y otros aspectos Auditoría al 30-06-2003 Situaciones observadas 3. Recomendación Crédito con Nación Seguros de Vida De acuerdo al releva miento realizado, he mos observado que existen casos en que la administradora abonó prestaciones de Retiro Transitorio por Invalidez y que aún no han sido integrados por Nación Seguros de Vida Una situación similar se estaría produciendo con el recla mo por parte de la administradora, por 7 casos que integran el capital complementario. Recomendamos que se realicen conciliaciones periódicas entre los departamentos involucrados de ambas compañías, a los efectos de identificar las causas que producen dichas diferencias. Comentario de la Gerencia En relación a los saldos pendientes de cobro vinculados a adelantos de capitales complementarios, se procedió a realizar un releva miento conjuntamente con el área de Siniestros de Nación Seguros de Vida S.A. a los efectos de determinar las causales que generan la falta de liquidación de los mismos. Actualmente Nación AFJP está realizando las gestiones y brindando la información necesaria para que la Compañía de seguros proceda a la liquidación de los mencionados siniestros. Con posterioridad al cierre hay casos que se regula rizaron. 3 NACION A.F.J.P. S.A. Página - - Memorándum de las observaciones sobre el sistema de control interno y otros aspectos Auditoría al 30-06-2003 Situaciones observadas 3. Crédito con Nación Seguros de Vida Continuación Recomendación Comentario de la Gerencia En este momento el área operativa de la Subgerencia de Beneficios se encuentra verificando las diferencias y el destino de las mismas para generar el pedido o pago a la Cía. de Seguros de Vida. Por otro lado, para evitar que se acumulen nuevos casos, se modificó el circuito de trabajo entre la Subgerencia de Beneficios y la Cía. de Seguros de Vida de manera tal de darle intervención en el trámite antes de su resolución, lo que minimiza la posibilidad de adelantos de capitales por parte de la AFJP y en el caso de adelantarse, también se minimiza la posibilidad de diferencias. Cabe mencionar que llegado el vencimiento del plazo para el pago, es obligación de la AFJP hacer frente al mismo aunque la Cía. de Seguros de Vida no hubiere integrado los capitales a su cargo. 4 NACION A.F.J.P. S.A. Página - - Memorándum de las observaciones sobre el sistema de control interno y otros aspectos Auditoría al 30-06-2003 Situaciones observadas 4. Recomendación Previsión Contingencias Del análisis y la compulsa realizada en las cartas del abogado de la compañía durante el ejercicio para Nación AFJP SA, donde se informan los juicios y demandas potenciales contra la misma, se verificaron las situaciones que se detallan a continuación: • Se detectaron 16 casos en los que el capital Realizar un análisis particular de estos actualizado de demanda para las 3 compañías casos y uniformar su capital actualizado de demandas para todas la compañías. muestran diferencias. • Existen 5 casos en los que por tratarse de juicios a Verificar y adaptar los valores base de las tres compañías, el monto total base de previsión previsión con ol s capitales actualizados sujetos a reclamo. no coincide con el capital total actualizado Comentario de la Gerencia Resulta correcto que existen algunas diferencias en los capitales actualizados entre las compañías. Los errores detectados tienen su origen en dos causas: I) producto del redondeo de los montos reclamados, y II) errores involuntarios derivados de la actualización de tales datos. Cabe destacar que algunos de ellos han sido objeto de corrección en el informe producido al 30-06-03; y el resto de las causas pro- cederemos a su adecuación en próximo informe. No obstante lo expuesto cabe destacar que en 3 (tres) casos, no se aplica el criterio general de dis tribución proporcional entre las compañías del Grupo Previsional Nación como consecuencia del litisconsorcio pasivo existente, sino que, en estos supuestos dado que la parte actora reclamó un monto determinado por compañía, así se reflejó. 5 NACION A.F.J.P. S.A. Página - - Memorándum de las observaciones sobre el sistema de control interno y otros aspectos Auditoría al 30-06-2003 Situaciones observadas 4. • Recomendación Comentario de la Gere ncia Previsión Contingencias - Continuación Se observó un caso donde el recla mo es en Verificar los capitales demandados y los litisconsorcio entre Nación AFJP SA y Nación montos base de previsiona miento para Seguros de Retiro SA, la suma base para su cada compañía previsiona miento no coincide con el capital actualizado demandado por la actora, y en particular el capital reclamado y actualizado no es coincidente entre ambas En consecuencia la observación efectuada no resultaría aplicable para estos supuestos. Sin prejuicio de lo expuesto, informamos que algunos de los casos informados en la Carta de Control Interno, han sido dados de baja de la previsión en el último informe, frente a la falta de interposición de la demanda en el fuero federal Idem lo expuesto en el punto anterior. Se deja constancia que, en 1 (un) caso, el recla mo esta dirigido únicamente a las Compañías de Seguros (NSV/NSR) no siendo parte Nación AFJP. La observación es correcta, dejándose constancia que, el error ha sido subsanado en el informe al 30-06-03. 6 NACION A.F.J.P. S.A. Página - - Memorándum de las observaciones sobre el sistema de control interno y otros aspectos Auditoría al 30-06-2003 Situaciones observadas 5. Recomendación Comentario de la Gere ncia Recomendamos analizar y restringir los accesos otorgados actualmente, tanto a la base de datos, como a los directorios productivos. La cuenta REPADM fue utilizada para realizar la replicación entre bases por los administradores. Actualmente ya no se realiza dicha tarea por lo cual esa cuenta fue dada de baja. Cabe aclarar que la convivencia de los entornos de Desarrollo, Testeo y Producción de Recaudaciones en el mismo equipo, es transitorio. De todas maneras el control de acceso a los directorios de producción actualmente está implementado mediante ACLs sobre los directorios. Seguridad Lógica – Definición de Usuarios y Acceso a los Recursos Productivos Acceso a los Recursos de Producción Hemos detectado ciertos aspectos que deberían mejorarse en lo que respecta al esquema de accesos al entorno productivo de las distintas plataformas, los cuales mencionamos a continuación: Entorno Oracle – Aplicación Recaudaciones • El identificador de usuario REPADM posee atributos de administrador. Entorno Unix Tru64 - Aplicación Recaudaciones Debido a que actualmente están conviviendo los entornos de Desarrollo, Test y Producción en el mismo equipo, el personal del departamento de 7 NACION A.F.J.P. S.A. Página - - Memorándum de las observaciones sobre el sistema de control interno y otros aspectos Auditoría al 30-06-2003 Situaciones observadas 5. Seguridad Lógica – Definición de Usuarios y Acceso a los Recursos Productivos Continuación Desarrollo posee acceso a los directorios en los que se encuentran los programas fuente, los programas ejecutables y los listados y archivos de entrada y salida de la base de datos, contando además con acceso a línea de comandos. Sin embargo, cabe mencionar que no tienen acceso a la Base de Datos. Estos usuarios son los siguientes: EVARELA, Edgardo Varela – Jefe del departamento de Desarrollo de sistemas. CARTUCCIO, Claudia Artucio – Analista Programador Senior. FGENTILE – Fernando Gentile - Analista Programador Junior. Recomendación Comentario de la Gere ncia 8 NACION A.F.J.P. S.A. Página - - Memorándum de las observaciones sobre el sistema de control interno y otros aspectos Auditoría al 30-06-2003 Situaciones observadas 5. Seguridad Lógica – Definición de Usuarios y Acceso a los Recursos Productivos Continuación GALVIGIN, G. Alvigini - Líder de Proyecto. L NUNEZ , Lorena Núñez – Analista Programador Junior. MDONOFRI, Miguel A. D´Onofrio – Especialista tecnología aplicada a Desarrollo. Bajo estas circunstancias, podría existir el riesgo de efectuar modificaciones, en forma intencional o accidental, a los programas productivos, con el agravante de no contar con una revisión periódica de eventos que pudiera mitigar este hecho, teniendo en cuenta además , que temporalmente dentro del equipo de producción se encuentran los entornos de Desarrollo y Testeo. Estos usuarios son los siguientes: Recomendación Comentario de la Gere ncia 9 NACION A.F.J.P. S.A. Página - - Memorándum de las observaciones sobre el sistema de control interno y otros aspectos Auditoría al 30-06-2003 Situaciones observadas 6. Recomendación Comentario de la Gere ncia Mantenimiento de Usuarios Hemos observado la existencia de identificadores de usuario que hace más Sugerimos efectuar una de seis meses que no registran inicio en los distintos entornos evaluados, a revisión de aquellos saber. perfiles que no han accedido al computador, a Entono Unix SCO fin de deshabilitarlos o darlos de baja, dependiendo de la causa • CAB por la cual nunca han • JVAZQUEZ ingresado. • PIREX • SOTERO Asimismo, hemos observado la existencia de identificadores de usuario que no registran inicio de sesión, a saber: Entorno VMS • ANONYMOUS – A_BARRERA_C—A_LANFRAN_C La política de seguridad informática no incluye la baja de cuentas no utilizadas en un período de tiempo determinado. Se realiza la baja de cuentas sólo en caso de solicitud expresa o de desvinculación del usuario del puesto y/o la empresa. 10 NACION A.F.J.P. S.A. Página - - Memorándum de las observaciones sobre el sistema de control interno y otros aspectos Auditoría al 30-06-2003 Situaciones observadas 6. Mantenimiento de Usuarios - Continuación • DECNET – J_FELIPPONE – J_MILESSI_C – P_ALVAREZ_C • M_GALLARDO – M_RODRI_C – O_CARDOSO_C – V_CANO Entono Unix SCO • CARRIOT – JMILESS – CENCISO – GMENDIE Estos hechos facilitan que una persona no autorizada intente y logre acceder a los comp utadores y sistemas aplicativos a través de uno de éstos identificadores de usuario, y que esto no sea detectado oportunamente. El riesgo de este comentario es bajo. Recomendación Comentario de la Gere ncia 11 NACION A.F.J.P. S.A. Página - - 12 Memorándum de las observaciones sobre el sistema de control interno y otros aspectos Auditoría al 30-06-2003 Situaciones observadas 7. Recomendación Comentario de la Gere ncia Seguridad Lógica – Definición de Parámetros 7.1 Administración de Contraseñas Hemos observado que si bien se han establecido intervalos de caducidad automática de contraseñas en los distintos entornos, los identificadores de usuario mencionados a continuación se encuentran fuera del esquema de caducidad automática: Recomendamos incluir a los identificadores de usuario mencionados anteriormente dentro de los esquemas de caducidad automática Entono VMS implementados en la compañía, restringir la posibilidad de ingresar • A_BUALO – A_NAVIERO – E_SÁNCHEZ – G_GARRIDO – SUCU1 contraseñas que no reúnan • I_MORENO – M_DONOFRIO – ORAUSER – R_CENTURIÓN los requisitos mínimos de seguridad y analizar aquellos Entono Unix SCO casos cuyas contraseñas aún no han sido modificadas. • INFORMIX Además, en el entorno Unix SCO, hemos detectado la existencia de identificadores de usuario cuyas contraseñas son fáciles de adivinar: Se revisarán mencionadas. las situaciones En lo que respecta a la aplicación Recaudaciones, sucedió que la información entregada para la revisión fue extraída el día que se aplicó la seguridad avanzada, lo que produjo un reseteo de passwords y parámetros automático dando como resultado que todas las cuentas figuraran sin cambio de clave. NACION A.F.J.P. S.A. Página - - Memorándum de las observaciones sobre el sistema de control interno y otros aspectos Auditoría al 30-06-2003 Situaciones observadas 7. Seguridad Lógica – Definición de Parámetros 7.1 Administración de Contraseñas • GMENDIE – PGOMEZ Finalmente, en el entorno Unix TRu64, los siguientes identificadores de usuario no registran cambios de contraseñas: Aplicación Recaudaciones • • • ADM – AYT – AURRUTIA – LDIAZ – CEIRAS - GLORENZO EGARAGUS – DESUOPS – BATISTA – GZUBIETA – SDELMORO PGOMEZ – EVARELA – GALVIGIN – FGENTILE, entre otros. Aplicación People Soft • • PFINA ADM – no posee contraseña. Estos hechos atentan contra el grado de confidencialidad que deben tener las contraseñas personales, ya que el no rotarlas y el no restringir su configuración, da lugar a que con el correr del tiempo se divulguen. El riesgo de este comentario es moderado. Recomendación Comentario de la Gere ncia 13 NACION A.F.J.P. S.A. Página - - Memorándum de las observaciones sobre el sistema de control interno y otros aspectos Auditoría al 30-06-2003 Situaciones observadas 7. Recomendación Comentario de la Gere ncia Seguridad Lógica – Definición de Parámetros - Continuación 7.2 Intentos de Accesos Fallidos - Continuación Hemos observado que si bien luego de cinco intentos de acceso fallidos se bloquea a los identificadores de usuario (parámetro LGI_BRK_LIM =5), el desbloqueo de los mismos se realiza sin intervención del personal responsable de la seguridad de accesos; es decir, una vez transcurrido un período establecido, el identificador se habilita nuevamente en forma automática (parámetros LGI_HID_TIM=300 y LGI_BRK_TMO=300); además, sólo se contabilizan los intentos de acceso fallidos desde una misma terminal (parámetro LGI_BKR_TERM=1), y no se ha habilitado la opción que deshabilita la usuario en caso de intentar interrumpir el proceso de login (parámetro LGI_BKR_DISUSER=0). Recomendamos bloquear los identificadores de usuario en forma permanente, y que la habilitación de los mismos se realice con la intervención del área de Seguridad Informática o bien del departamento del cual dependa esta función a fin de dejar precedente de estas situaciones y de esta manera Las configuraciones actuales, facilitan que se intente adivinar o que se poder efectuar algún descubran claves de acceso ajenas, un número ilimitado de veces, sin existir monitoreo al respecto. un monitoreo de dicha situación. El riesgo de este comentario es bajo. Se revisarán los parámetros mencionados. De todas maneras nuestra política prevée el desbloqueo automático de las cuentas luego de transcurrido cierto tiempo del bloqueo por intentos fallidos, entendemos que si bien nos resta cierto nivel de seguridad, la cantidad de usuarios de las plataformas y la cantidad de estos casos que se presentan justifican la medida en pos de evitar una recarga de la mesa de ayuda en detrimento de otros problemas más específicos. 14 NACION A.F.J.P. S.A. Página - - Memorándum de las observaciones sobre el sistema de control interno y otros aspectos Auditoría al 30-06-2003 Situaciones observadas 8. Recomendación Comentario de la Gere ncia Registración de Eventos relacionados con la Seguridad y su Revisión Hemos observado que actualmente la Compañía no está registrando eventos relacionados con la seguridad en los entonos evaluados, a excepción de la plataforma VMS. Asimismo, si bien la Compañía ha desarrollado un procedimiento para la revisión de dichos eventos, observamos que el mismo no está siendo cumplimentado, dado que actualmente no se están efectuando revisiones de eventos relacionados con la seguridad. Este Las configuraciones actuales, facilitan que se intente adivinar o que se descubran claves de acceso ajenas, un número ilimitado de veces, sin existir un monitoreo de dicha situación. El riesgo de este comentario es bajo. Recomendamos implementar el procedimiento desarrollado y habilitar la registración de eventos para aquellos entornos en los que aún no se están registrando. Actualmente se está culminando la implementación de un servidor de logs que centralice los registros de eventos de todas las plataformas, de manera de que Seguridad Informática administre la revisión de los mismos. 15 NACION A.F.J.P. S.A. Página - - Memorándum de las observaciones sobre el sistema de control interno y otros aspectos Auditoría al 30-06-2003 Situaciones observadas 9. Recomendación Comentario de la Gere ncia Tareas del Centro de Cómputos Hemos observado que dentro de las tareas llevadas a cabo por los operadores Recomendamos considerar el Centro de Cómputos, se encuentra la administración de los equipos, tarea este tema y, en caso de para la cual utilizan los “super- usuarios” de cada uno de los entornos. considerarlo apropiado, sugerimos desarrollar e A través de dichos perfiles, los operadores poseen acceso irrestricto a todos implementar rutinas de los recursos del sistema, incluyendo programas fuente, ejecutables y datos control que permitan mitigar productivos. Esta situación se vería agravada por el hecho de que los riesgos asociados a la actualmente, si bien en algunos entornos se registran eventos relacionados actual definición de con la seguridad, no se ha establecido una rutina de revisión de los mismos; funciones dentro del sin embargo este control sería eficiente si pudiera identificarse en quién ha Departamento del Centro de realizado las tareas, ya sea por el horario o por algún otro parámetro Cómputos. Como parte del proceso de afianzamiento de las plataformas se comenzará el desarrollo de procedimientos para la operación, de manera de acotar el acceso de los operadores utilizando los superusuarios. Además, por lo expuesto en el punto anterior todas las tareas serán logueadas de acuerdo a lo indicado por esta Auditoría. 16 NACION A.F.J.P. S.A. Página - - Memorándum de las observaciones sobre el sistema de control interno y otros aspectos Auditoría al 30-06-2003 Situaciones observadas 10. Recomendación Comentario de la Gere ncia Plan de Contingencias La Compañía cuenta con un Plan de Contingencias para afrontar contingencias; sin embargo, si bien se ha definido un “Comité de Contingencias”, no hemos observado información de los mismos, en caso que necesiten ser ubicados fuera del horario laboral. Asimismo, hemos sido informados que aún no se han realizado pruebas del mismo. Sugerimos completar la Se tomarán en cuenta las información faltante y recomendaciones realizadas a los efectuar pruebas del Plan efectos de completar el plan. existente, a fin de asegurar su correcto y eficaz funcionamiento en caso de Estos hechos podrían causar algún inconveniente en caso de necesitar que sea necesaria su utilizarlo por contingencias de gran envergadura, y que el mismo no se utilización para adapte a la realidad pudiendo afectar la continuidad del procesamiento. El contingencias de gran escala. riesgo de este comentario es bajo. 17