Itau Chile Administradora General de Fondos S.A.

Transcripción

1 Itau Chile Administradora General de Fondos S.A. Informe con observaciones de control interno y recomendaciones de mejora Noviembre 2015

2 Santiago, 30 de noviembre de 2015 Señores Presidente y Directores Itaú Chile Administradora General de Fondos S.A. Como parte del proceso de planificación y ejecución de nuestra auditoría a los estados financieros de Itaú Chile Administradora General de Fondos S.A. al 31 de diciembre de 2015, consideramos su estructura de control interno para determinar la naturaleza, oportunidad y alcance de nuestros procedimientos de auditoría, con el propósito de expresar una opinión sobre los mencionados estados financieros. Por lo tanto, en este contexto, nuestra consideración de la estructura de control interno, no necesariamente cubre la totalidad de las debilidades eventualmente existentes en las áreas sujetas a revisión, ni se indican aquellos numerosos procedimientos correctamente establecidos. Si el objetivo de esta revisión hubiese sido expresar una opinión sobre los sistemas de control interno, los procedimientos de evaluación habrían sido más extensos y específicos que los practicados. Por lo anterior, no se ha probado el cumplimiento y continuidad de todos los controles vigentes en Itaú Chile Administradora General de Fondos S.A. y nuestras observaciones no incluyen necesariamente todas aquellas posibles sugerencias que se podrían poner de manifiesto por medio de un estudio especial sobre la materia. En el estudio y evaluación efectuado con el propósito antes descrito, notamos ciertos aspectos sobre el funcionamiento del control interno de la Sociedad, que consideramos deben ser incluidos en este informe, tanto para cumplir con normas de auditoría generalmente aceptadas en Chile, como para aportar a la administración elementos que puedan contribuir a salvaguardar en forma más efectiva los activos de la Sociedad, a mejorar la calidad de la información, a optimizar la eficiencia administrativa y a lograr una mejor adhesión a las políticas de la Sociedad. Es importante hacer presente que ningún sistema de control interno puede lograr eliminar totalmente el riesgo de que errores o irregularidades ocurran y no sean detectados oportunamente.

3 Santiago, 30 de noviembre de 2015 Itaú Chile Administradora General de Fondos S.A. 2 Con el objeto de facilitar la lectura del presente informe, éste ha sido estructurado como sigue: I. Detalle de observaciones del año actual II. Detalle de observaciones de años anteriores III. Detalle de los riesgos mitigados parcialmente por la Administración Las recomendaciones incluidas en este memorándum han sido analizadas con los principales ejecutivos de cada área involucrada, cuyos comentarios se incluyen a continuación de cada observación. Este informe es únicamente para conocimiento y uso del Directorio y la Gerencia y, por lo tanto, no pretende ser un documento de carácter público. Queremos expresar nuestros agradecimientos tanto a los ejecutivos como al personal de Itaú Chile Administradora General de Fondos S.A., por la importante colaboración que nos han prestado durante el desarrollo de este trabajo. Fernando Orihuela B.

4 Índice de contenidos I. Observaciones del año II. Observaciones de años anteriores 9 III. Riesgos mitigados parcialmente por la Administración 12

5 I. Observaciones del año actual

6 1.1. Deficiencias en el procedo de bajas de usuarios en las aplicaciones Unipass y SAP BO. Descripción del problema: Luego de la revisión de las muestras solicitadas de modificaciones y bajas de usuarios de las aplicaciones Unipass y SAP BO, evidencias de solicitudes y/o autorizaciones del requerimiento enviado. Los casos identificados son los siguientes: Bajas de Usuarios Unipass y SAP BO ID Usuario Aplicación Fecha de bloqueo CRVE9015 SAP BO (Fecha obtenida de las evidencias enviadas, ya que el Sistema no la guarda) Existe una solicitud para la eliminación de acceso? Fecha de Finiquito Días transcurridos entre el finiquito y la eliminación de acceso Observaciones Si Eliminación no oportuna CMTH9061 Unipass Si meses y 11 días CGCD0040 Unipass No mes y 19 días Eliminación no oportuna Eliminación no oportuna CJSS3953 Unipass No mes y 9 días Eliminación no oportuna CCDP8806 Unipass No mes y 21 días Eliminación no oportuna CIQQ2531 Unipass No se enviaron evidencias del caso, el ejecutor ya no está en el área no se pudo obtener los PST (Archivo Outlook) No se obtuvo evidencias PwC 6

7 1.1. Deficiencias en el procedo de bajas de usuarios en las aplicaciones Unipass y SAP BO. Descripción del problema: (continuación) Bajas de Usuarios Unipass y SAP BO ID Usuario Aplicación Fecha de bloqueo Existe una solicitud para la eliminación de acceso? Fecha de Finiquito Días transcurridos entre el finiquito y la eliminación de acceso Observaciones CXGC2851 Unipass No meses y 16 días Eliminación no oportuna CMVP3469 Unipass No meses y 29 días Eliminación no oportuna CBGG9400 Unipass No meses y 21 días Eliminación no oportuna Riesgos: - Posibilidad de realizar acciones de modificaciones, bloqueo o eliminaciones de usuarios en la aplicación sin las debidas autorizaciones. - Accesos de usuarios no autorizados a la aplicación. - Acceso a información sensible de la empresa. Acciones / Recomendaciones: Implementar controles que aseguren una baja oportuna de usuarios. Comentarios de la Administración: Existió un problema detectado de los conectores de ITIM que fue abordado en agosto de 2015, existe un proyecto en desarrollo (Upgrade del sistema ITIM) que considera la actualización y corrección de todos los conectores incluyendo alertas en caso de fallas. Los casos antes observados por auditoría corresponden a regularizaciones hechas por control COBIT dado el problema de los conectores. PwC 7

8 1.2. Efectuar un mantenimiento correctivo a la configuración del sistema operativo Windows. Descripción del problema: En la revisión del sistema operativo Windows del servidor CLSTGBLSRVP05 que soporta la Aplicación Unipass, se observó que el parámetro "Audit Policy Change" no se encontraba configurado para ser registrado. Esta configuración determina si el sistema operativo registra los cambios en la política de auditoría, tales como: - Cambio de la política de auditoría del sistema. - Registro y eliminación de eventos de auditoría. - Cambios en la configuración de auditoría por usuario. Como consecuencia de lo anterior, no existe un control de monitoreo para asegurar que no existen cambios de la política de auditoría sin revisión. Riesgos: - Eventuales accesos no autorizados al sistema operativo. - Actividades no autorizadas no serán detectadas y solucionadas de manera oportuna. Acciones / Recomendaciones: La administración activó el parámetro de auditoría correspondiente el día Recomendamos Inadecuada fortalecer segregación el control de funciones de monitoreo, incluyendo el log de auditoría de SO del servidor CLSTGBLSRVP05, con la finalidad de - Acceso a funcionalidades críticas del sistema y de la BD asegurar que no existen cambios en la política de auditoría que no sean autorizados. Comentario de la Administración: Se reforzará el control de monitoreo sobre servidores para asegurar la permanencia de las políticas de auditoría. Cabe mencionar que la observación fue regularizada durante el proceso de auditoría. PwC 8

9 II. Observaciones de años anteriores

10 2.1. No es posible registrar la fecha de creación, modificación y eliminación de las cuentas en el sistema SAP Bussines One. Descripción del problema: Durante nuestra revisión al proceso de creación, modificación y eliminación de cuentas, observamos que el sistema SAP Bussines One no registra la fecha de creación, modificación y eliminación de cuentas de usuarios. Sin embargo, la Administración está desarrollando de un proyecto de actualización de versión del sistema SAP BO, el cual fue puesto en producción el día 22 de noviembre de Esta actualización permitirá que el sistema pueda reflejar las fechas de creación, modificación y eliminación de los usuarios en la aplicación SAP BO. Riesgos: - Acceso a la aplicación de usuarios no autorizados. - Modificaciones de usuarios en la aplicación que no son registradas. Acciones / Recomendaciones: Realizar un monitoreo sobre el proceso, una vez que se cuente con un reporte de altas, bajas y modificaciones de usuarios, directo del sistema SAP BO. Comentarios de la Administración: Para resolver esta desviación se desarrolló un proyecto que consideró un upgrade de versión del sistema SAP, cuya versión registra las fechas de creación, eliminación y modificación de los usuarios. Esta nueva versión fue instalada en producción con fecha PwC 10

11 2.2. No se ha implementado la aprobación sistémica de los Vouchers contables en el sistema SAP BO. Descripción del problema: Durante nuestra revisión al proceso de registro de los vouchers contables al sistema SAP Business One observamos que no existe una aprobación posterior a la carga en el sistema. Riesgos: - Vouchers mal registrados. - Registros contables erróneos. Acciones / Recomendaciones: Recomendamos finalizar la implementación de la aprobación sistémica de los vouchers contables en el sistema SAP BO que permita contar con una revisión y aprobación que certifique la integridad del proceso. Comentarios de la Administración: Para resolver esta desviación se desarrolló un proyecto que consideró un upgrade de versión del sistema SAP, cuya versión permite la aprobación sistémica de los vouchers contables. Esta nueva versión fue instalada en producción con fecha PwC 11

12 III. Riesgos mitigados parcialmente por la Administración

13 3.1. No se efectúa un mantenimiento correctivo a la configuración del sistema operativo Windows. Descripción del problema: Durante nuestra revisión del sistema operativo Windows de los servidores CLSTGBLSRVP06, CLSTGSQLP18V9, CLSTGXBRP00V1 y el CLSTGDCSP00, que soporta la base de datos de la aplicación Unipass, la base de datos de la aplicación SAP BO, la aplicación SAP BO y el domain controler respectivamente, se observó que el parámetro "PasswordComplexity se encuentra deshabilitado, por consiguiente no se exige una contraseña compleja. La Sociedad, siendo consciente del riesgo de no contar con contraseñas complejas considera que el mismo está parcialmente mitigado por la operación de ciertos controles compensatorios. En efecto, durante nuestra revisión, se observó la existencia y correcta operación de controles compensatorios, tales como: 1. Configuración de bloqueo ante tres (3) intentos fallidos, 2. Mínimo largo de la contraseña es de 8 caracteres, 3. Máximo de días para cambio de contraseña en 90 y, 4. Desbloqueo de cuentas sólo por el administrador. Riesgos: - Eventuales accesos no autorizados al sistema operativo. - Actividades no autorizadas no serán detectadas y solucionadas de manera oportuna. - Inadecuada configuración puede desencadenar en pérdida de información sensible. Acciones / Recomendaciones: Reevaluar periódicamente la necesidad de contar con contraseñas complejas de acuerdo al riesgo o criticidad del recurso informático afectado. Comentario de la Administración: La Sociedad conoce este riesgo, el cual fue aceptados en las instancias correspondientes según lo establece la gobernancia. PwC 13

14 3.2 Eliminar los privilegios de sysadmin y/o security admin en las bases de datos SQL Server para los usuarios del sistema operativo. Descripción del problema: a) Dentro del grupo administrador del sistema operativo Windows en el servidor CLSTGBLSRVP06 que soporta la base de datos de la aplicación Unipass, observamos al grupo CHL_84_19_1_D, del cual es miembro el usuario CRJZ7252 que corresponde a ROBERTO JIMENEZ ZUNIGA, Ingeniero de Sistemas, que cuenta con privilegios de sysadmin en el servidor, con lo cual puede llevar a cabo cualquier actividad en el servidor SQL y en el sistema operativo. b) Dentro del grupo administrador del sistema operativo Windows en el servidor CLSTGSQLP18V9 que soporta la base de datos de la aplicación SAP BO observamos al usuario CLRS3631 Administrador de Bases de Datos, el cual cuenta por su cargo con privilegios de sysadmin. La Administración indicó que es necesario que el usuario CLRS3631 Administrador de Bases de Datos, mantenga los permisos de administración en el sistema operativo y base de datos para poder desempeñar sus funciones, tales como: 1.- Conexión remota a los Servidores de Bases de Datos. 2.- Realizar análisis de los registros de Logs de las máquinas. 3.- Revisar mensajes de errores en cada una de las máquinas. 4.- Administrar tamaños y espacios en discos. Riesgos: - Eventuales accesos no autorizados al sistema operativo. - Actividades no autorizadas no serán detectadas y solucionadas de manera oportuna. - Inadecuada configuración puede desencadenar en accesos no autorizados y pérdida de información sensible. Acciones / Recomendaciones: La Administración eliminó el privilegio de sysadmin del usuario CRJZ7252, el día Quitar el acceso como administrador del Sistema Operativo del servidor CLSTGSQLP18V9 al usuario CLRS3631 Administrador de Base de Datos. Comentario de la Administración: Caso a): el usuario CRJZ7252 realiza funciones de Backup de DBA, por lo que necesita de esos accesos para poder realizar dicha función. Esta es una decisión de la Gerencia de IT para asegurar la continuidad de este servicio en caso de contingencia. Caso b): Para realizar sus funciones en forma integral, el DBA requiere accesos a nivel del sistema operativo (acceso remoto, revisión de logs, gestión del espacio en disco de los servidores de BD). La Gerencia de IT conoce y mitiga el riesgo asociado. PwC 14

15 3.3. Eliminar los privilegios de sysadmin y/o securityadmin en las bases de datos SQL server para los usuarios administradores del sistema operativo. Descripción del problema: Durante nuestra revisión de la base de datos SQL Server 2008 R2 del servidor CLSTGBLSRVP06 que soporta la aplicación Unipass, observamos que existen tres (3) usuarios: CJNE5122, CPAB7921 y CRAC1562, con privilegios de securityadmin, con lo cual pueden administrar la base de datos no siendo esto parte de sus funciones según su cargo dentro de la Sociedad. Riesgo: Accesos a información privilegiada por parte de personal no autorizado. Acciones / Recomendaciones: El día La Administración eliminó los usuarios que no correspondían con privilegio de Securityadmin, dejando sólo aquellos que sus funciones corresponden: CRSA2376 >> Ramon Salas Alvear, Ingeniero de Sistemas. CFGA7526 >> Felipe Gutierrez Alfaro, Ingeniero de Sistemas. CFLA8025 >> Felipe Lira Alarcon, Ingeniero de Sistemas. CRJZ7252 >> Roberto Jiménez, Ingeniero de Sistemas. Comentarios de la Administración: Los casos señalados corresponden a usuarios que necesitan dicho nivel de accesos para desempeñar sus funciones para la Sociedad, el cual corresponde a una definición de cargo establecida por la Gerencia. El usuario CRJZ7252, necesita este nivel de accesos para realizar la función de backup de DBA. PwC 15

16 2015, PricewaterhouseCoopers Consultores, Auditores y Compañía Limitada. Todos los derechos reservados. Prohibida su reproducción total o parcial. PricewaterhouseCoopers se refiere a la red de firmas miembros de PricewaterhouseCoopers International Limited, cada una de las cuales es una entidad legal separada e independiente.