BUENOS AIRES, 8 de enero de1999 VISTA la Actuación N°642/98 del registro de la AUDITORIA GENERAL DE LA NACIÓN y, CONSIDERANDO: Que el artículo 85 de la Constitución Nacional pone a cargo de la Auditoría General de la Nación el control externo de la Administración Pública Nacional, cualquiera fuera su modalidad de organización. Que el cumplimiento del mandato constitucional y lo concordantemente dispuesto por el articulo 118 (inciso h) de la ley 24.156, se realizó la auditoría de los estados contables del ejercicio finalizado el 31 de diciembre de 1997 de SOCIEDAD DEL ESTADO CASA DE MONEDA. Las tareasde campo se desarrollaron desde el 2 de marzo hasta el 3 de junio de 1998. Que durante el transcurso de la auditoría se efectuó una revisión de la estructura de control interno adoptado por la mencionada Sociedad, con el propósito de conocer la confiabilidad de la misma y determinar así la naturaleza, alcance y oportunidad de los procedimientos de auditoría que fueron aplicados. La revisión no tuvo como objeto el análisis particular de los sistemas , procedimientos y transacciones de la Sociedad para brindar una opinión específica sobre dicha estructura. Que como consecuencia de la tarea realizada se elaboró un informe conteniendo recomendaciones para el mejoramiento de los procedimientos contables y de control interno de la Entidad. 1 Que la Comisión de Supervisión respectiva ha producido el despacho correspondiente, compartiendo los términos del informe elaborado por la Gerencia General de Control del Sector Público Nacional no Financiero. Que dicho informe fue puesto en conocimiento del organismo auditado, el que no ha formulado consideración alguna . Que el Colegio de Auditores Generales, en su Sesión del 22-12-98 ha dado aprobación al informe de que se trata. Que el Presidente de la Auditoría General de la Nación ejerce la representación del órgano. Por ello, EL PRESIDENTE DE LA AUDITORIA GENERAL DE LA NACION RESUELVE: ARTICULO 1°: Aprobar el informe producido por la Gerencia General de Control del Sector Público Nacional no Financiero, referido a las recomendaciones para el mejoramiento de los procedimientos contables y de control interno adoptados por SOCIEDAD DEL ESTADO CASA DE MONEDA, que obran a fs. 114 a 140 de la Actuación N° 642/98. ARTICULO 2°: Poner en conocimiento de SOCIEDAD DEL ESTADO CASA DE MONEDA y del MINISTERIO DE ECONOMIA y OBRAS y SERVICIOS PUBLICOS la presente y el informe aludido en el artículo precedente. 2 ARTICULO 3°: Regístrese , Comuníquese a la COMISION PARLAMENTARIA MIXTA REVISORA DE CUENTAS . Cumplido, archívese. RESOLUCION N°___6_/99 3 En ejercicio de las facultades conferidas por el art. 118 de la Ley 24156, la Auditoría General de la Nación efectuó una revisión de la estructura de control interno adoptado por la Sociedad del Estado Casa de Moneda, referido al ejercicio finalizado el 31 de diciembre de 1997. 1. OBJETIVOS Los objetivos de nuestra tarea han sido los siguientes : • Evaluar el grado de control interno alcanzado por la Sociedad, a fin de : • determinar el grado de confiabilidad de los controles propios de cada uno de los sistemas a través de los cuales fluye la información que alimenta las cuentas o rubros contables a examinar, y • establecer el alcance, la naturaleza y la oportunidad de los procedimientos de auditoría a aplicar en la revisión de los estados contables al 31 de diciembre de 1997 de la Sociedad. • Identificar las conclusiones y las observaciones de mayor significatividad visualizadas a raíz de dicha evaluación. • Evaluar la confiabilidad de los procesos asociados con las imputaciones contables y su entorno de procesamiento. En función de los objetivos definidos precedentemente, el contenido de este informe respecto a la Evaluación del Control Interno, cubre únicamente aquellos aspectos que han surgido durante el desarrollo de nuestro examen y por lo tanto, no incluye todos aquellos comentarios y recomendaciones que un estudio específico destinado a tal fin podría revelar. 4 2. ALCANCE Nuestro examen fue realizado de acuerdo con las normas de auditoría aprobadas por la Auditoría General de la Nación mediante la Resolución Nº 145/93, dictada en virtud de las facultades conferidas por el artículo 119 inciso d) de la ley 24.156. Dichas normas son compatibles con las adoptadas por el Consejo Profesional de Ciencias Económicas de la Capital Federal. La tarea y el alcance de la auditoría fue realizada por el Estudio Bértora & Asociados, contratado por la Sociedad del Estado Casa de Moneda a través de un concurso de precios realizado entre los Estudios de primera línea, bajo nuestra supervisión, de acuerdo al Convenio firmado entre la Auditoría General de la Nación y la mencionada Sociedad. El trabajo desarrollado ha consistido en evaluar primordialmente los controles que tienen efecto sobre la información contable generada por la Sociedad y que pueden, por lo tanto, afectar los saldos finales de los estados contables. Se ha analizado en que medida se cumplen -entre otros- los siguientes principios de control interno: • Adecuada separación de funciones. • Segregación física de activos -disponibilidades, documentos, títulos, etc.- y acceso restringido a los mismos. • Empleo de formularios seguros y racionales en cuanto a la cantidad y calidad de la información contenida. • Empleo de archivos adecuados y seguros que permitan una rápida y ágil tarea de verificación y control. • Existencia y aplicación de regímenes claros y precisos en materia de autorización de operaciones y registraciones contables subsecuentes. • Existencia y aplicación de normas y procedimientos contables que otorguen precisión a los registros. Asimismo, se ha evaluado la confiabilidad de la información proveniente de los sistemas administrativo-contables que inciden en las registraciones y posterior confección de los estados contables. 5 En particular, nuestra revisión ha cubierto los circuitos relacionados con: - Movimiento de fondos - Contabilidad general - Contrataciones - Impuestos - Sistemas Informáticos 6 A. RECOMENDACIONES DE EJERCICIOS ANTERIORES 1. CIRCUITO: MOVIMIENTO DE FONDOS 1.1. OBSERVACION: Gestión de cobranza de los Créditos Consolidados según la Ley Nº 23.982. La última gestión de cobranza efectuada por la Sociedad consistió en enviar con fecha 23 de junio de 1997, una nota al Secretario de Hacienda Dr. Pablo Emilio Guidotti solicitando que proceda a cancelar sus créditos consolidados mediante la entrega de los bonos previstos por la Ley Nº 23.982. Con fecha 27/06/97 se recibió la respuesta del Ministerio de Economía y Obras y Servicios Públicos -expediente EXPMEyOSP.E Nro. 001-002767/97- en la que se consigna que no ha entregado los mencionados bonos, porque resta aún concluir el proceso de consolidación entre el Estado Nacional y el Gobierno de la Ciudad de Buenos Aires, lo que posibilitará la determinación de un saldo único frente al Tesoro Nacional. Al respecto, cabe aclarar que los créditos consolidados de la Sociedad ascienden al cierre del ejercicio a $ 1.246.793,78 y emergen de las actas acuerdo celebradas durante los años 1992 y 1993 entre el Ministerio de Economía y Obras y Servicios Públicos y diversas provincias, en el marco de las Leyes Nº 24.133, 24.154, 23.982 y la parte pertinente de la Ley Nº 24.145. La Sociedad no dispone, a la fecha del presente informe, de los bonos de consolidación que efectivicen su crédito con las provincias involucradas y/o que posibiliten su compensación con los pasivos consolidables. RECOMENDACION Continuar en contacto con el Ministerio de Economía y Obras y Servicios Públicos a fin de obtener los correspondientes bonos de consolidación y asimismo, gestionar la posible compensación de estos créditos con los pasivos consolidables que mantiene la Sociedad con la Secretaría de Hacienda en el marco de la Ley Nº 23.982. OPINION DEL SECTOR Se encuentra de acuerdo con la recomendación efectuada. 7 1.2. OBSERVACION: Falta de seguimiento sobre la devolución de garantías otorgadas por la Sociedad. La Sociedad mantiene al cierre del ejercicio créditos en concepto de garantías de oferta o adjudicación otorgadas por $ 393.056,15, de los cuales $ 195.159,25 corresponden a garantías vencidas, ya sea por haberse adjudicado la licitación a otro oferente o por haberse cumplido el contrato pertinente, según el siguiente detalle: Fecha Año 92 Año 92 Año 93 Año 93 Año 93 Año 95 Año 95 Año 95 Año 96 Licitante Inst. Nac. Seg. Social Bco. Soc. Prov. Córdoba D.G.I. D.G.I. A.N.Se.S. I.N.S.S.J. y P. I.N.S.S.J. y P. Adm. Nac. Aduanas I.N.S.S.J. y P. Vencimiento s/datos 03-92 08-93 10-95 01-94 04-95 05-95 11-95 06-96 Importe $ 891,25 1.250,00 6.726,00 72.573,00 16.710,00 5.000,00 36.162,00 17.847,00 38.000,00 195.159,25 Al respecto, la Sociedad envío ante nuestro pedido cartas a los Organismos Licitantes reclamando la devolución de las mismas. A la fecha del presente informe sólo se recibió la devolución de la garantía del Banco Social de la Provincia de Córdoba. Asimismo, hemos solicitado a la Gerencia de Comercialización que nos informe los motivos por los cuales no se ha recuperado las garantías arriba indicadas, no habiéndose recibido al presente respuesta alguna. En síntesis, la situación descripta denota una ineficiente gestión en el recupero de las garantías. RECOMENDACION Llevar un adecuado control sobre el vencimiento de las garantías otorgadas por la Sociedad a fin de solicitar oportunamente su devolución, evitando así la inmovilización de fondos. OPINION DEL SECTOR 8 La Sociedad reiterará las instrucciones a la Gerencia de Comercialización a fin de que la misma adopte las medidas necesarias tendientes a un exhaustivo control sobre la devolución de las garantías otorgadas. 2. CIRCUITO: CONTABILIDAD GENERAL 2.1. OBSERVACION: Carencia de una planilla íntegra de cálculo relativa al valor contable del rubro Bienes de Uso. La Sociedad carece de una planilla íntegra de cálculo que contenga la totalidad de los datos relativos al rubro Bienes de Uso para determinar su valor contable. En este sentido, dicho valor se obtiene a través de cinco planillas distintas. RECOMENDACION Dada la importancia del rubro en cuestión, el cual representa aproximadamente el 38% del Activo Total, la Sociedad debería confeccionar una planilla que incluya la totalidad de los datos relativos al rubro, lo que permitiría simplificar las planillas utilizadas en el presente y efectuar un mejor control y seguimiento de los movimientos operados en el rubro. OPINION DEL SECTOR Se encuentra de acuerdo con los comentarios vertidos precedentemente. No obstante, sostiene que a pesar de la dificultad indicada anteriormente, las planillas contienen la totalidad de los datos necesarios para el cálculo de los valores de los Bienes de Uso. 3. CIRCUITO: IMPUESTOS 3.1. OBSERVACION: Presentación de las declaraciones juradas del Impuesto sobre los Ingresos Brutos (CM-05). No se ha presentado la declaración jurada informativa anual del gravamen correspondiente al ejercicio 1995. Asimismo, no se habrían presentado las correspondientes a ejercicios anteriores. 9 No obstante cabe mencionar que se ha presentado la declaración jurada correspondiente al ejercicio 1996. La infracción señalada resulta pasible de ser sancionada mediante la aplicación de una multa. RECOMENDACION Realizar las gestiones necesarias a fin de presentar las citadas declaraciones juradas. OPINION DEL SECTOR Se encuentra de acuerdo con los comentarios vertidos precedentemente. 3.2. OBSERVACION: Crédito fiscal del Impuesto al Valor Agregado sujeto a prorrateo. El crédito fiscal proveniente de insumos que se utilizan en forma indistinta para actividades exentas y gravadas se prorratea en función de los ingresos totales derivados de dichas actividades, sin considerar específicamente cuál es el destino de los mismos. No obstante lo expuesto, cabe mencionar que el monto del crédito fiscal sujeto a prorrateo ha disminuido significativamente respecto a años anteriores, dado que la Empresa ha realizado un trabajo de análisis de los mismos que le ha permitido asignar directamente la mayoría de los créditos fiscales a operaciones exentas o gravadas según corresponda. RECOMENDACION Realizar el prorrateo del crédito fiscal en función de los ingresos derivados de las actividades exentas y gravadas en las cuales ha sido utilizado el insumo y no considerando la totalidad de ingresos exentos y gravados. OPINION DEL SECTOR Se encuentra de acuerdo con los comentarios vertidos precedentemente. No obstante ello, la Sociedad lo considera de muy difícil implementación, ya que para estos casos 10 en cada insumo adquirido se debería conocer con certeza los posibles productos a los que serían afectados. 3.3. OBSERVACION: Falta de presentación del formulario de declaración jurada F. 760/C por los períodos fiscales 1995 y 1996. En virtud de no contar con los estados contables debidamente auditados a la fecha de vencimiento de la declaración jurada del Impuesto a las Ganancias por el período fiscal 1995, se informó a la Dirección General Impositiva, mediante nota de fecha 31/5/96, la imposibilidad de presentar el formulario de declaración jurada F. 760/C (informe para fines fiscales), indicándose asimismo, que dicha obligación se cumplimentaría en tanto la Auditoría General de la Nación emita su dictamen correspondiente. Situación similar se observó respecto al período fiscal 1996. A la fecha del presente informe, dicho formulario aún no ha sido presentado, teniendo en cuenta que los estados contables de los ejercidos 1995 y 1996 ya fueron debidamente auditados. La infracción citada precedentemente se encuentra sancionada con una multa de $ 338,13 (trescientos treinta y ocho con 13/100), de acuerdo con lo establecido en el artículo 42.1 de la Ley Nº 11.683 (t.o. en 1978 y sus modif.). RECOMENDACION Efectuar la presentación del citado formulario de declaración jurada con el fin de evitar las posibles sanciones. OPINION DEL SECTOR Se encuentra de acuerdo con los comentarios vertidos precedentemente y se compromete a cumplir con la obligación omitida. 4. CIRCUITO: SISTEMAS INFORMATICOS 4.1 OBSERVACION: Organización de la Gerencia de Cómputos. Debido a que la dotación de personal es mínima, las funciones se superponen, especialmente las referidas a las Areas de Programación y Operación, las cuales son 11 realizadas -en forma indistinta- por una u otra persona. Por igual razón, esta Gerencia en sus puestos de conducción, concentra excesivas funciones operativas. La falta de segregación de funciones o su superposición, inhibe los controles por oposición, lo cual no permitiría establecer restricciones de acceso al computador, a la biblioteca de datos de operación, a los programas ejecutables, al sistema operativo, etc. y por ende, no se limitaría el daño que podría causar quien ejerce estas funciones. RECOMENDACION Fortalecer la administración de la seguridad lógica a fin de delimitar en la práctica las atribuciones de los integrantes del Centro de Cómputos, así como mantener bajo control las tareas desarrolladas por cada uno de ellos. Para ello deberán implementarse procedimientos de definición y asignación de perfiles, según las funciones competentes a cada usuario, donde tales decisiones queden adecuadamente documentadas. Asimismo, es aconsejable generar reportes por excepción dirigidos a los niveles jerárquicos, donde se informen los accesos vinculados con información o atribuciones muy sensibles. OPINION DEL SECTOR Es de destacar que en el sistema actualmente en desarrollo (bajo Novell y Windows NT) la estructura de seguridad, accesos y protecciones es más eficiente, pudiendo verificarse (a través del análisis del uso y accesos) el cumplimiento de las pautas acordadas para cada integrante de la Gerencia. Por otra parte, coincidimos con el enfoque de la auditoría externa respecto a fortalecer la administración de seguridad, implementando procedimientos y reportes específicos, los cuales se han previsto realizar cuando se finalice la implementación de las nuevas aplicaciones bajo ACCESS. 4.2. OBSERVACION: Administración de la Gerencia de Cómputos. Si bien se han definido estándares de documentación en lo concerniente a la información del Centro de Cómputos, su implementación para las diferentes tareas ha sido parcial, quedando aún pendiente los relativos a : • operaciones del computador 12 • • • • desarrollo de Sistemas seguridad física y lógica información sobre recursos insumidos etc. Por otra parte, no se ha desarrollado un Plan de Sistemas, a la vez que el asesoramiento externo con que contaba el Organismo en nuestra anterior revisión ha sido discontinuado. La falta de utilización de la documentación estándar vinculada a las distintas actividades que se desarrollan en la Gerencia (análisis, diseño, programación, operación, etc.) puede ocasionar que éstas se registren y actualicen con distintos criterios y en algunos casos no se documenten, lo cual podría generar un elevado grado de incertidumbre en la realización de los procesos como así también un alto nivel de dependencia de quien las realiza. La ausencia de un Plan de Sistemas podría llevar a que los esfuerzos a insumir por esta Area no estuvieran dirigidos en el mismo sentido que los destinados al cumplimiento de los objetivos de la Sociedad. Por lo expuesto en párrafos anteriores, la Gerencia de Cómputos no dispondría de información suficiente para realizar un efectivo planeamiento y control de sus recursos. RECOMENDACION Concluir con la implementación del uso de documentación estándar para las principales tareas que se desarrollan en la Gerencia, priorizando la relativa a la generación de información vinculada al desarrollo de sistemas y a la optimización y control del uso de los recursos informáticos. Asimismo, sugerimos que elaboren un Plan de Sistemas que contemple los objetivos y planes de la Sociedad, en base al cual deberían confeccionarse los planes de trabajo mensuales. OPINION DEL SECTOR Los estándares de la documentación involucrada en las tareas de la Gerencia no han sido implementados en su totalidad, debido a que hemos estado dedicados al desarrollo, prueba e implementación de las nuevas aplicaciones bajo ACCESS. Encararemos esta tarea en cuanto finalice la misma. 13 4.3. En lo que respeta a la definición de un Plan de Sistemas, se propondrá la creación de un Comité de Sistemas integrado conjuntamente con los Gerentes Usuarios, a fin de formalizar las tareas que ya esta Gerencia viene desarrollando en conjunto con los mismos. OBSERVACION: Metodología de Desarrollo de Sistemas de Aplicación. No se ha desarrollado una metodología por escrito para el desarrollo y mantenimiento de las aplicaciones. En el desarrollo de las nuevas aplicaciones bajo ACCESS, si bien los usuarios han tenido participación, la misma no ha quedado de manifiesto en la documentación generada. Lo mismo sucede con la prueba de las aplicaciones y la conformidad de los usuarios necesaria para poner operativos los sistemas. Si bien se han previsto sus estándares, la documentación técnica producida en los nuevos desarrollos no es completa. El procedimiento para poner en producción los nuevos programas o sus modificaciones no es adecuado, ya que es el programador quien realiza la transferencia de los mismos al ambiente de producción, poniéndolos operativos. RECOMENDACION Implementar una metodología formal de desarrollo y mantenimiento de las aplicaciones, acorde con las necesidades y recursos de la Sociedad. Por otra parte, sugerimos establecer como rutina que en todo cambio a los programas o nuevo desarrollo se documente la participación del usuario, los que posteriormente deberán ser puestos operativos por personas diferentes de quienes realizan los cambios. Asimismo, recomendamos completar la documentación estándar que debe generarse en cada desarrollo o mantenimiento de sistemas a fin de mantener un archivo actualizado. OPINION DEL SECTOR Si bien la metodología aplicada para el desarrollo y mantenimiento de los sistemas no está formalmente instituida, se utilizan las generalmente aceptadas, lo que asegura la intervención de los usuarios en todas las fases importantes de los proyectos. Con referencia a las reuniones con usuarios, se han enviado a los mismos, propuestas 14 resumen de las convenciones principales del sistema, contándose además con las respuestas de aquellos que así lo hicieron. Respecto de la documentación, ya hemos mencionado que la misma no ha sido totalmente implementada por afectación de tiempos a tareas de mayor prioridad, comprometiéndonos a encarar la misma, en forma activa, en cuanto se estabilicen los sistemas que se están desarrollando. 4.4. OBSERVACION :Administración del Area de Operaciones Los programadores tienen acceso al software de aplicación y a los datos del área de operaciones (producción). Los operadores no tienen limitado su acceso a los archivos de datos y a los programas. Los programas y los datos quedarían expuestos a riesgos de pérdida, modificación, robo, etc.. Si bien podrían establecerse las responsabilidades a través de la identificación del usuario dentro de los rastros de auditoría, este sería un control posterior a la ocurrencia del hecho. RECOMENDACION Sugerimos restringir el acceso de los programadores a los archivos de datos y a los programas y además reforzar la seguridad lógica. Respecto a la seguridad lógica a implementar debería surgir la organización del Area y la asignación de las tareas operativas y de desarrollo. OPINION DEL SECTOR A partir de la migración desde el UNISYS A6 al entorno de Windows NT, se cambió en forma notoria la metodología de trabajo, debido a que los programadores estuvieron trabajando con los programas y datos en un ambiente de desarrollo y una vez realizadas las pruebas pertinentes, las jefaturas autorizaron el pase al ambiente de producción. Por otra parte, se formalizará el traspaso del ambiente de prueba de los programas al ambiente de producción. Para ello, se registrará en un formulario diseñado para tales efectos la fecha y el responsable que deberá autorizar el traspaso de los programas, debidamente firmado por las personas intervinientes. 15 4.5. OBSERVACION: Biblioteca de archivos magnéticos. Si bien está asignada la responsabilidad de administrar los archivos magnéticos, esta asignación no surge claramente de las misiones y funciones vigentes en el Area. Los instructivos vigentes para la operación y obtención de backup (correspondientes a la función del bibliotecario, tales como recibir, entregar, registrar y resguardar todos los programas y archivos de datos que se almacenan en soportes magnéticos), no son lo suficientemente completos. El hecho de no disponer de normas y procedimientos suficientemente completos que regulen dicha administración podría implicar que activos informáticos importantes no estuvieran lo suficientemente protegidos, y a la vez, generaría dependencia hacia la persona que habitualmente realiza las tareas. RECOMENDACION Al respecto sugerimos, definir en forma precisa y concreta las responsabilidades correspondientes al administrador de la biblioteca de archivos magnéticos, designar formalmente al actual responsable de las funciones del bibliotecario. Además recomendamos, completar las normas y procedimientos actualmente en uso, inherentes a la función de administración de la biblioteca de archivos magnéticos. Por otra parte, se debería asignar un espacio físico fuera del ámbito de la Sociedad a efectos de guardar los backups que se consideren necesarios a fin que los sistemas continúen funcionando ante cualquier contingencia. OPINION DEL SECTOR Se ha asignado la responsabilidad de la Biblioteca de cintas, teniendo a su control y cuidado todas las cintas de resguardos de la información (Tape-Backup), manteniéndose siempre la última copia realizada en el Sector Depósito -ubicado en el subsuelo del Organismo-, y quedando la copia del día anterior, en un armario dentro del Centro de Cómputos. 4.6. OBSERVACION: Acceso al Centro de Cómputos. 16 Si bien ya no se comparte el espacio físico del Centro de Cómputos con el sector de Contabilidad Industrial, el acceso al mismo sigue siendo sin restricciones. Además, no se lleva un registro de las personas que acceden al Centro de Cómputos y el acceso al Area de Biblioteca de archivos magnéticos, no está suficientemente restringido. RECOMENDACION Implementar algún método de control de acceso físico, a fin de evitar o minimizar la posibilidad de retiro, destrucción o modificación de documentación, información, equipos o insumos por personas no autorizadas. Teniendo en cuenta que la Sociedad está implementando un sistema de control de acceso del personal, evaluar la posibilidad de utilizar el mismo para la regularización de lo antedicho. De no ser factible, contratar un método alternativo. OPINION DEL SECTOR Evaluaremos la posibilidad de incorporar dicho control en el sistema de Control de Accesos adquirido recientemente por la Empresa. 4.7. OBSERVACION: Seguridad Lógica. No existen normas y procedimientos escritos referidos a la seguridad lógica, tanto las relativas al Centro de Cómputos como las vinculadas con usuarios de aplicación. Por otra parte, no se ha definido con claridad el responsable que debe cumplir las funciones inherentes al Administrador de la Seguridad Informática. La inexistencia de normas y procedimientos correspondientes a la seguridad, incidirían negativamente en la protección del acceso a los datos. La inexistencia de un responsable directo en el cumplimiento de las funciones inherentes al Administrador de la Seguridad Informática, posibilitaría que las mismas se cumplieran o no, o bien, se realizaran deficientemente. 17 RECOMENDACION Desarrollar e implementar manuales de normas y procedimientos escritos de seguridad lógica, así como un esquema del que surja con claridad la asignación realizada (matriz de usuarios y sus atributos por aplicación). Implementar la emisión de reportes por excepción dirigidos a los niveles jerárquicos, donde se informen por usuario, los accesos vinculados con información o atribuciones muy sensibles. Designar un responsable a cargo de las funciones inherentes al Administrador de la Seguridad Informática, quien debería compartir esta responsabilidad con el Auditor Interno. OPINION DEL SECTOR Una vez concluida la implementación de las aplicaciones bajo Access, encararemos el desarrollo e implementación de las normas de seguridad sugeridas. 4.8. OBSERVACION: Fijación de prioridades de Desarrollo de Sistemas de Aplicación. No existe un Comité de Sistemas o entidad similar que fije las prioridades de desarrollo de los sistemas de aplicación y el mantenimiento de los existentes. Se correría el riesgo de insumir los recursos informáticos con los que cuenta el Organismo en actividades o proyectos que no fueran prioritarios, desaprovechando, por ende, los mismos. RECOMENDACION Confeccionar un plan de desarrollo y mantenimiento de sistemas, donde se fijen las prioridades de los mismos, a fin de elevarlo a las autoridades de la Sociedad. Como consecuencia de lo anterior, elaborar un plan de tareas mensual en el cual se proyecten las tareas y recursos involucrados, a fin de contar con el posterior seguimiento y evaluación de desempeño. OPINION DEL SECTOR 18 Se propondrá la creación de un Comité de Sistemas integrado conjuntamente con los Gerentes Usuarios a fin de formalizar las tareas que esta Gerencia ya viene desarrollando en conjunto con los mismos. 4.9. OBSERVACION: Monitoreo y mantenimiento del hardware Si bien se mantiene un control operativo sobre la actividad del Centro de Cómputos, el sector no emite informes a fin de monitorear el uso eficiente del hardware (Ej. informe de disponibilidad de equipos, informe de utilización, etc.). Asimismo, no queda de manifiesto el plan de mantenimiento preventivo del hardware. RECOMENDACION Implementar el monitoreo de los recursos de hardware como así también el plan de mantenimiento de los mismos. OPINION DEL SECTOR Actualmente la mayoría de los equipos se encuentran en garantía, no siendo necesario efectuar ningún mantenimiento interno. Además, se llevará una Planilla de Registro de las rutinas de control preventivo de las PC. 4.10. OBSERVACION: Plan de Contingencias. Si bien el equipamiento sobre el cual se están corriendo la mayoría de las aplicaciones críticas, es de fácil reemplazo, no se cuenta con una clasificación por escrito de los sistemas de aplicación de acuerdo con el grado de su criticidad, ni con un Plan de Contingencias escrito que permita recuperar caídas del equipo, establecer procedimientos manuales alternativos, trasladar los sistemas a otro equipo, etc. Ante un daño sustancial del equipamiento, al no estar claramente establecido cuáles son los sistemas de mayor criticidad, se generarían demoras para asignar un orden de recupero de los mismos así como para proceder en la aplicación de mecanismos alternativos. 19 RECOMENDACION Identificar la criticidad de las aplicaciones y generar procedimientos escritos de recuperación, donde se priorice la recuperación de los sistemas de acuerdo con su grado de criticidad. OPINION DEL SECTOR De acuerdo con los comentarios vertidos precedentemente. 4.11. OBSERVACION: Seguridad Física y Ambiental. No existen normas y procedimientos escritos relativos a la seguridad física y ambiental, específicas para la Gerencia de Cómputos. No existen detectores de agua, humo, calor, ni sistemas automáticos de supresión de incendios. RECOMENDACION Desarrollar e implementar normas y procedimientos de seguridad física y ambiental específicos para la Gerencia de Cómputos, acordes con las necesidades que requiere esta Area. Incorporar un sistema mínimo de detección y acción contra incendios. OPINION DEL SECTOR Aún se encuentran pendientes algunas mejoras referidas a normas y procedimientos relativos a seguridad física y ambiental así como respecto de los accesos. El sistema de detección contra incendio fue requerido oportunamente a Seguridad Industrial. 20 B. RECOMENDACIONES DEL EJERCICIO 1. CIRCUITO: IMPUESTOS 1.1. OBSERVACION: Presentación del formulario de DDJJ 479. Se ha detectado la presentación fuera de término del citado formulario de declaración jurada, referido a la impresión de comprobantes por imprenta e información sobre trabajos realizados, correspondiente al 1º y 2º semestre de 1997. La infracción señalada resulta pasible de ser sancionada mediante la aplicación de una multa de $ 338,13 de acuerdo con lo previsto en el artículo incorporado a continuación del art. 42 de la Ley Nº 11.683 (t.o. en 1978 y sus modif.), pudiendo ser aplicada asimismo la multa prevista en el art. 43 del citado texto legal. RECOMENDACION Realizar un seguimiento del calendario de vencimientos impositivos, con el fin de lograr su estricto cumplimiento. OPINION DEL SECTOR De acuerdo con los comentarios vertidos precedentemente. 2. CIRCUITO: SISTEMAS INFORMATICOS 2.1. OBSERVACION: Participación del Area de Auditoría Interna en la Seguridad Lógica. Los perfiles de usuario que se utilizan en las aplicaciones interactivas (FOX PRO y ACCESS), son definidos por el Area de Sistemas, el Area Contable y los usuarios, sin darle participación al Area de Auditoría Interna, o algún otra Area de contralor. No queda adecuadamente documentada la aprobación por parte del responsable usuario, de los perfiles definidos y asignados a cada persona. En el caso de las aplicaciones incluidas en el Sistema TANGO, la definición de los perfiles es realizada directamente por los usuarios. 21 RECOMENDACION Dentro de las pautas de seguridad lógica a implementar, debería contemplarse la participación de Auditoría Interna en las etapas de alta, modificación o baja de perfiles de usuario en los sistemas. Asimismo deberá contemplarse que exista una aprobación escrita por parte del máximo responsable usuario respecto de los atributos asignados a sus dependientes, en relación a las altas, bajas y modificaciones. Para todo este proceso será útil elaborar un esquema del que surja con claridad la asignación realizada (matriz de usuarios y sus atributos por aplicación). OPINION DEL SECTOR De acuerdo con los comentarios vertidos precedentemente. 2.2. OBSERVACION: Impacto Riesgo 2000 El Organismo recién ha iniciado la revisión de impacto, tarea en la que ha afectado recursos internos, hoy involucrados en el desarrollo y puesta a punto de las nuevas aplicaciones bajo Access. Realizado el inventario de las principales aplicaciones vigentes en la Sociedad, hemos evaluado que, si bien el Organismo ha migrado gran parte de las mismas a plataforma de software full compatible con fechas posteriores al cambio de milenio (Windows NT y base de datos Access), aún subsisten aplicaciones desarrolladas bajo plataforma DOS/NOVELL, respecto de las cuales se impone realizar un diagnóstico de impacto y desarrollar el plan de trabajo que surja del mismo. Dichas aplicaciones son las siguientes : Aplicación Plataforma • Sistema de Facturación, Cuentas Corrientes, Contabilidad y Liquidación de haberes (Sistema Tango) DOS/NOVELL 3.12 • Sistema de control de Producción, Calcografía y Billetes DOS/NOVELL 3.12 - FOXPRO • Sistema de Recursos Humanos DOS/NOVELL 3.12 - CLIPPER 22 • Sistema de Mano de obra DOS/NOVELL 3.12 - CLIPPER • Sistema premio de Calcografía DOS/NOVELL 3.12 - CLIPPER • Sistema de control, accesos desplazamientos Entry Perfect y DOS • Sistema de control de accesos desplazamientos Pegasys 900 y WINDOWS 95 RECOMENDACION Deberían contratarse recursos adicionales, reformulando de ser necesario los planes de trabajo (desarrollo, mantenimiento y puesta a punto, etc.) ya previstos con anterioridad, a fin de no resentir el conjunto de tareas de la Gerencia de Cómputos y no poner en riesgo la calidad del diagnóstico de impacto, así como el cumplimiento del plan de trabajo que surja del mismo. Respecto del diagnóstico de impacto, damos a continuación una idea genérica de las tareas que deberían realizarse: • El Organismo deberá realizar un diagnóstico de impacto del riesgo 2000 en sus aplicaciones, a fin de identificar el grado de compromiso que tienen las mismas respecto del problema, su criticidad individual y global, el esfuerzo, los recursos y el plan a desarrollar para su modificación y puesta a punto antes de las fechas críticas. Posteriormente, deberá desarrollarse el plan de trabajo fijado. 23 • Es importante mencionar que el diagnóstico no abarcará solamente las aplicaciones sino también los recursos de hardware, software de base, software de red y cualquier otro elemento o dispositivo que involucre riesgos relacionados con el cambio de milenio. • Por lo tanto, la revisión deberá basarse en un pormenorizado y cuidadoso inventario, incluyéndose también aquellos equipos y herramientas que, aunque no conforman una aplicación específica, igualmente generan información utilizada en cualquier instancia de la gestión del Organismo (como por ejemplo, las PCs y software utilizado por secretarias, por personal de apoyo administrativo, puestos de trabajo que procesan planillas Excell extracontables, etc.). • En relación a las aplicaciones que hayan sido provistas por terceros, (por ejemplo, software TANGO), deberá requerirse al proveedor involucrado que informe por escrito si las mismas tienen inconvenientes relacionados con el año 2000. En el caso en que se haya contratado servicio de mantenimiento, el proveedor en cuestión está obligado a cumplir con el requisito de compatibilidad. En el caso en que no lo cumpla, debe especificar en cuáles aspectos y comprometerse por escrito a proveer a la Sociedad la solución, detallando la fecha en que ello ocurrirá. OPINION DEL SECTOR De acuerdo con los comentarios vertidos precedentemente. 24 C. ASPECTOS OBSERVADOS EN REGULARIZADOS A LA FECHA EL EJERCICIO ANTERIOR, A continuación se detallan, por circuito, las observaciones mencionadas en nuestra Carta con Recomendaciones de Control Interno y otros aspectos contables correspondiente a la auditoría de los estados contables al 31/12/96, que se han regularizado a la fecha del presente informe, o no se han presentado durante nuestra revisión al 31/12/97: CIRCUITO: CONTRATACIONES • Inexistencia de un listado referido a las compras de servicios del ejercicio. CIRCUITO: CONTABILIDAD GENERAL • Inexistencia de un análisis actualizado sobre el porcentaje de utilidad aplicado por la Sociedad para la valuación de sus productos terminados. • Ausencia de un memorándum técnico que respalde el cambio de vida útil total asignado a ciertas altas de maquinarias del ejercicio. CIRCUITO: IMPUESTOS • Presentación del formulario de declaración jurada 446/B, período 1/2/95 al 31/1/96. • Se informa erróneamente el origen del quebranto impositivo de la declaración jurada anual del Impuesto a las Ganancias. • Se informa erróneamente el ajuste anual del crédito fiscal por el ejercicio 1996. • Presentación fuera de término del régimen de información normado por la Resolución General Nº 4056 (C.I.T.I.) • Cumplimiento de disposiciones legales vigentes, en cuanto a información de retenciones y percepciones efectuadas a terceros. • Archivo de triplicados de facturas o documentos equivalentes recibidos. • Error en la confección de declaraciones juradas de retenciones y percepciones. CIRCUITO: SISTEMAS INFORMATICOS 25 • Organización de la Gerencia de Cómputos, en cuanto a que: ∗ no existe un organigrama por escrito de la Gerencia, y ∗ no se han reflejado las Misiones y Funciones por escrito, de modo de expresar detalladamente las responsabilidad de cada uno de los puestos de la Gerencia. • Administración del Area de Operaciones, en cuanto a que el Area no cuenta con procedimientos escritos correspondientes a tareas operativas, job accounting, monitoreo de hardware, procesamiento de excepciones, etc. • Plan de contingencias, en cuanto a que la Sociedad no posee un generador de energía (UPS) para el computador central UNISYS A6, que pueda solventar una caída de energía eléctrica. • Seguridad física y ambiental, en cuanto a que los soportes magnéticos correspondientes a los backups de archivos de datos y programas no están almacenados en cajas ignífugas y tampoco se dispone para su custodia de un espacio restringido y seguro. • Seguridad lógica del Equipo A6. • Frecuencia de Backups de datos. • Cantidad de copias del backup de datos. 26 D. COMENTARIO SOBRE EL RESULTADO DEL EJERCICIO El resultado del ejercicio al 31 de diciembre de 1997 de Sociedad del Estado Casa de Moneda ha arrojado una pérdida de $ 2.545.448,72. La circunstancia principal del resultado negativo es la disminución de las ventas en un 33% respecto del ejercicio anterior, originada en la menor producción de los rubros billetes, monedas y otros productos. Los rubros billetes y monedas disminuyeron por una menor cantidad de pedidos por el Banco Central de la República Argentina. El rubro otros productos disminuyó por efecto de una menor fabricación de ítems, reemplazados por formularios informatizados que anteriormente imprimía la Empresa para la Administración Federal de Ingresos Públicos (AFIP). E. PERSPECTIVAS PARA EL FUTURO El Banco Central de la República Argentina ha resuelto modificar la línea de billetes en circulación en todas sus denominaciones, por una de similares características básicas, pero con mayor margen de seguridad. Esto le permitirá a la Sociedad en el ejercicio 1998 aumentar su nivel de facturación, permitiéndole esto mejorar sus resultados. Se informa que los estados contables (no auditados) al 30 de setiembre de 1998 presentados por la Entidad a la Contaduría General de la Nación, en cumplimiento de la Resolución N° 410/98 de la Secretaría de Hacienda del Ministerio de Economía y Obras y Servicios Públicos, refleja en el estado de resultados a dicha fecha una ganancia de $ 1.419.202,-. BUENOS AIRES, 28 de octubre de 1998. 27