INDICE DE RECOMENDACIONES I. - RECOMENDACIONES DE EJERCICIOS ANTERIORES 1.- CIRCUITO: MOVIMIENTO DE FONDOS 1.1.- GESTION DE COBRANZA DE LOS CREDITOS CONSOLIDADOS SEGUN LA LEY Nº 23.982 1.2.- FALTA DE SEGUIMIENTO SOBRE LA DEVOLUCION DE GARANTIAS OTORGADAS POR LA SOCIEDAD 2.- CIRCUITO: SISTEMAS INFORMATICOS 2.1.- ORGANIZACION DE LA GERENCIA DE COMPUTOS 2.2.- ADMINISTRACION DE LA GERENCIA DE COMPUTOS 2.3.- PLAN DE CONTINGENCIAS 2.4.- METODOLOGIA DE DESARROLLO DE SISTEMAS 2.5.- RESGUARDO/ RECUPERO DE DATOS 2.6.- SEGURIDAD FISICA 2.7.- SEGURIDAD EN LA GERENCIA DE COMPUTOS II.- RECOMENDACIONES DEL EJERCICIO 1.- CIRCUITO: SISTEMAS INFORMATICOS 1.1.- COMITE DE SISTEMAS 1.2.- PLAN DE SISTEMAS 1.3.- CAPACITACION DE RECURSO HUMANOS 1.4.- CRONOGRAMA DE TAREAS 1.5.- ADMINISTRACION DEL SERVICIO DE MANTENIMIENTO 1.6.- ADMINISTRACION DE SEGURIDAD 1.7.- NORMATIVA DE SEGURIDAD LOGICA 1.8.- ADMINISTRACION DE PERMISOS DE ACCESO 1.9.- CONFIGURACION DE SERVIDORES WINDOWS NT A los Señores Presidente y Directores de Sociedad del Estado Casa de Moneda Avda. Antártida Argentina 2085 Capital Federal En ejercicio de las facultades conferidas por el art. 118 de la Ley 24156, la Auditoría General de la Nación efectuó una revisión de la estructura de control interno adoptado por la Sociedad del Estado Casa de Moneda, referido al ejercicio finalizado el 31 de diciembre de 1998. 1. OBJETIVOS Los objetivos de nuestra tarea han sido los siguientes : ♦ Evaluar el grado de control interno alcanzado por la Sociedad, a fin de: • determinar el grado de confiabilidad de los controles propios de cada uno de los sistemas a través de los cuales fluye la información que alimenta las cuentas o rubros contables a examinar, y • establecer el alcance, la naturaleza y la oportunidad de los procedimientos de auditoría a aplicar en la revisión de los Estados Contables mencionados en el punto I del presente informe. ♦ Identificar las conclusiones y las observaciones de mayor significatividad visualizadas a raíz de dicha evaluación. ♦ Evaluar la confiabilidad de los procesos asociados con las imputaciones contables y su entorno de procesamiento. En función de los objetivos definidos precedentemente, el contenido de este informe respecto a la Evaluación del Control Interno, cubre únicamente aquellos aspectos que han surgido durante el desarrollo de nuestro examen y por lo tanto, no incluye todos aquellos comentarios y recomendaciones que un estudio específico destinado a tal fin podría revelar. 1 2. ALCANCE Nuestro examen fue realizado de acuerdo con las normas de auditoría aprobadas por la Auditoría General de la Nación mediante la Resolución Nº 145/93, dictadas en virtud de las facultades conferidas por el artículo 119 inciso d) de la ley 24.156. Dichas normas son compatibles con las adoptadas por el Consejo Profesional de Ciencias Económicas de la Capital Federal. La tarea y el alcance de la auditoría fue realizada por el Estudio Grant Thornton, contratado por la Sociedad del Estado Casa de Moneda a través de un concurso de precios realizado entre los estudios de primera línea, bajo nuestra supervisión, de acuerdo al Convenio firmado entre la Auditoría General de la Nación y la mencionada Sociedad. El trabajo desarrollado ha consistido en evaluar principalmente los controles que tienen efecto sobre la información contable generada por la Sociedad y que pueden, por lo tanto, afectar los saldos finales de los estados contables. En este sentido, se ha tenido en consideración la experiencia recogida en nuestra participación en las auditorías de ejercicios anteriores. Se ha analizado en qué medida se cumplen -entre otros- los siguientes principios de control interno: ¾ Adecuada separación de funciones. ¾ Segregación física de activos -disponibilidades, documentos, títulos, etc.- y acceso restringido a los mismos. ¾ Empleo de formularios seguros y racionales en cuanto a la cantidad y calidad de la información contenida. ¾ Empleo de archivos adecuados y seguros que permitan una rápida y ágil tarea de verificación y control. ¾ Existencia y aplicación de regímenes claros y precisos en materia de autorización de operaciones y registraciones contables subsecuentes. 2 ¾ Existencia y aplicación de normas y procedimientos contables que otorguen precisión a los registros. Asimismo, se ha evaluado la confiabilidad de la información proveniente de los sistemas administrativo-contables que inciden en las registraciones y posterior confección de los estados contables. 3 I. - RECOMENDACIONES DE EJERCICIOS ANTERIORES 1.- CIRCUITO: MOVIMIENTO DE FONDOS 1.1.- GESTION DE COBRANZA DE LOS CREDITOS CONSOLIDADOS SEGUN LA LEY Nº 23.982 La última gestión de cobranza efectuada por la Sociedad consistió en enviar con fecha 23 de junio de 1997, una Nota al Secretario de Hacienda Dr. Pablo Emilio Guidotti solicitando que proceda a cancelar sus créditos consolidados mediante la entrega de los bonos previstos por la Ley Nº 23.982. Con fecha 27 de junio de 1997 se recibió la respuesta del Ministerio de Economía y Obras y Servicios Públicos -expediente EXPMEyOSP.E Nro. 001-002767/97- en la que se consigna que no ha entregado los mencionados bonos, porque resta aún concluir el proceso de consolidación entre el Estado Nacional y el Gobierno de la Ciudad de Buenos Aires, lo que posibilitará la determinación de un saldo único frente al Tesoro Nacional. Al respecto, cabe aclarar que los créditos consolidados de la Sociedad ascienden al cierre del ejercicio a $ 1.353.973,37 y emergen de las Actas Acuerdo celebradas durante los años 1992 y 1993 entre el Ministerio de Economía y Obras y Servicios Públicos y diversas provincias, en el marco de las Leyes Nº 24.133, 24.154, 23.982 y la parte pertinente de la Ley Nº 24.145. La Sociedad no dispone, a la fecha del presente informe, de los bonos de consolidación que efectivicen su crédito con las provincias involucradas o que posibiliten su compensación con los pasivos consolidables. RECOMENDACION Continuar en contacto con el M.E. y O.S.P. a fin de obtener los correspondientes bonos de consolidación y asimismo, gestionar la posible compensación de estos créditos con los pasivos consolidables que mantiene la Sociedad con la Secretaría de Hacienda en el marco de la Ley Nº 23.982. OPINION DEL SECTOR Se encuentra de acuerdo con la recomendación efectuada. 4 1.2- FALTA DE SEGUIMIENTO SOBRE LA DEVOLUCION DE GARANTIAS OTORGADAS POR LA SOCIEDAD La Sociedad mantiene al cierre del ejercicio créditos en concepto de garantías de oferta o adjudicación otorgadas por $ 55.053,25, las cuales se encuentran vencidas, ya sea por haberse adjudicado la licitación a otro oferente o por haberse cumplido el contrato pertinente, se exponen los más significativos, según el siguiente detalle: Fecha Año 95 Año 95 Licitante I.N.S.S.J. y P. Adm. Nac. Aduanas Vencimiento 05-95 11-95 Importe $ 36.162,00 18.000,00 54.162,00 Cabe mencionar que las citadas garantías ya fueron informadas como vencidas en nuestro informe del ejercicio anterior. Al respecto, cabe aclarar que si bien la Sociedad ha efectuado un importante recupero durante el ejercicio, a la fecha del presente informe no se han recuperado las garantías arriba indicadas. RECOMENDACION Llevar un adecuado control sobre el vencimiento de las garantías otorgadas por la Sociedad a fin de solicitar oportunamente su devolución, evitando así la inmovilización de fondos. OPINION DEL SECTOR La Sociedad reiterará las instrucciones a la Gerencia de Comercialización a fin de que la misma adopte las medidas necesarias tendientes a un exhaustivo control sobre la devolución de las garantías otorgadas. 5 2.- CIRCUITO: SISTEMAS INFORMATICOS 2.1.- ORGANIZACION DE LA GERENCIA DE COMPUTOS Debido a la cantidad limitada de personal con que cuenta la Gerencia, el personal ejecuta tareas incompatibles, respecto del esquema de control interno, entre sí tales como la gestión y control de los proyectos realizados por la Gerencia de Cómputos (esta tiene a su cargo funciones operativas que a su vez debe controlar). La ejecución de tareas incompatibles reduce la controlabilidad de dichas tareas por lo cual se ve incrementado el riesgo de que algún miembro del personal ejecute tareas no deseadas poniendo en peligro la integridad o disponibilidad de la información. Por otra parte la responsabilidad operativa existente en la Gerencia de Cómputos impide la correcta supervisión de la misma. RECOMENDACION Para aquellas tareas no ejecutadas por la Gerencia de Cómputos se recomienda un control directo por parte de esta. Respecto del control de las operaciones realizadas por la Gerencia de Cómputos, se recomienda sean estas auditadas en forma regular por personal de Auditoría Interna o en su defecto por una Auditoría Externa. OPINION DEL SECTOR Se tomó conocimiento. 2.2.- ADMINISTRACION DE LA GERENCIA DE COMPUTOS De la documentación relevada (detallada en la sección de Alcances del presente informe) se desprende la inexistencia de elementos formales que permitan evaluar el desempeño de la Gerencia de Cómputos. RECOMENDACION Se recomienda definir, documentar y establecer un mecanismo de evaluación y control de las operaciones y tareas realizadas en la Gerencia de Cómputos. OPINION DEL SECTOR 6 Si bien existen rutinas de control interno de las tareas que se realizan a diario en el Centro de Cómputos, las mismas no están documentadas. Se toma conocimiento de lo observado por la Auditoría y se implementarán mecanismos de evaluación y control de operaciones y tareas que queden registrados formalmente. 2.3.- PLAN DE CONTINGENCIAS A la fecha se está comenzando a trabajar en la definición de lineamientos del Plan de Contingencias, previéndose su finalización para el próximo año. La falta de un Plan de Contingencias incrementa la exposición de la Gerencia de Cómputos a riesgos de distinta naturaleza. RECOMENDACION Se recomienda completar el Plan de Contingencias de la Gerencia de Cómputos, involucrando en el mismo a aquellas Gerencias y Jefaturas que utilizan los servicios provistos por la Gerencia de Cómputos. OPINION DEL SECTOR Se tomó conocimiento. 2.4.- METODOLOGIA DE DESARROLLO DE SISTEMAS Si bien de las entrevistas surge la utilización de metodologías generalmente aceptadas, no existe documentación de las mismas. La documentación de los desarrollos y mantenimientos realizados permite independizar el trabajo de cada programador de las diferentes aplicaciones, no quedando por lo tanto la Empresa sujeta a la disponibilidad de determinado recurso humano para completar una modificación o nuevo desarrollo, y sin el costo de re-entrenamiento de un nuevo recurso humano en dicha aplicación. Adicionalmente la no documentación de aplicaciones impide la revisión de la implementación de controles internos. RECOMENDACION 7 Se recomienda documentar la metodología utilizada como todos los aspectos referidos al análisis y desarrollos de aplicaciones. OPINION DEL SECTOR Se tomó conocimiento. 2.5.- RESGUARDO/ RECUPERO DE DATOS Las dos ubicaciones en donde se encuentran resguardados los medios magnéticos se encuentran en diferentes pisos del mismo edificio. El hecho de pertenecer las dos ubicaciones de medios magnéticos al mismo edificio aumenta el riego de perder la información resguardada en caso de existir algún siniestro. RECOMENDACION Se recomienda trasladar una de las cajas ignífugas a una locación en una distancia no menor de 300 metros de la otra caja. OPINION DEL SECTOR Se tomó conocimiento. 2.6.- SEGURIDAD FISICA No existen normas de seguridad física específicas para la Gerencia de Cómputos. Si bien no existen controles de acceso al recinto donde se encuentran ubicados los servidores NT y el cofre ignífugo, se ha instalado una cerradura en la puerta de acceso a la Gerencia de Cómputos. Adicionalmente, se sustenta la seguridad a través de las rondas que personal de seguridad realiza por todo el edificio. La no restricción del acceso a los recintos de los servidores/medios magnéticos permite el ingreso de personal no autorizado a dichas instalaciones, poniendo en riesgo el equipamiento y la información allí almacenada. 8 RECOMENDACION Se recomienda desarrollar, implementar y mejorar las normas y procedimientos de seguridad física como ser controles de acceso por medio de llaves/ tarjetas magnéticas/ etc. y un sistema de monitoreo de dichos accesos que permita determinar quien y cuando entró/ salió de cada recinto. OPINION DEL SECTOR La Gerencia tiene previsto realizar el traslado de los Servidores a un recinto con restricción de acceso, luego de mudar el equipo UNISYS A6. 2.7.- SEGURIDAD EN LA GERENCIA DE COMPUTOS No existen normas de seguridad específicas para la Gerencia de Cómputos. No existen detectores de incendio, calor o humedad en los recintos en que se encuentran los servidores. RECOMENDACION Se recomienda desarrollar e implementar normas y procedimientos de seguridad, junto con un sistema básico de detección de incendios. OPINION DEL SECTOR Se tomó conocimiento. 9 II.- RECOMENDACIONES DEL EJERCICIO 1.- CIRCUITO: SISTEMAS INFORMATICOS 1.1.- COMITE DE SISTEMAS Si bien se ha creado un Comité de Sistemas que como objetivo "fijará las prioridades de desarrollo de los Sistemas de Información y el mantenimiento de los mismos, a fin de que coincidan con el plan estratégico de la Empresa", de la evidencia reunida no se desprende el Plan Estratégico de la Empresa, razón por la cual no se puede definir un plan de desarrollo y mantenimiento y como consecuencia de ello, tampoco se han detectado los planes de tareas mensuales. Lo comentado dificulta la definición de políticas y cursos de acción de la Gerencia de Cómputos que aumenten la eficiencia del área, así como la determinación del uso correcto de los recursos. RECOMENDACION Se recomienda evaluar la realización de una adecuada transmisión del Plan Estratégico de la Empresa, para que sobre dicha base, el Comité de Sistemas formalice los planes de la Gerencia de Cómputos en lo relativo a nuevos desarrollos y mantenimiento de los existentes. OPINION DEL SECTOR Se tomó conocimiento. 1.2.- PLAN DE SISTEMAS Se elevó a la Gerencia General un "Plan Informático" el cual establece lineamientos generales respecto al rumbo de la Gerencia de Cómputos, este plan no cumple con las características mínimas de un Plan de Sistemas formal ni de un Plan Estratégico de Sistemas tales como la determinación de objetivos, metas y cronogramas claros. 10 RECOMENDACION Se recomienda que el Comité de Sistemas defina un Plan de Sistemas formal que detalle las tareas a llevarse a cabo durante el próximo año con el fin de prever los recursos necesarios para el normal desarrollo de acuerdo a los objetivos no solo de la Gerencia sino de la Sociedad. Adicionalmente se recomienda la definición de un Plan Estratégico para los próximos 3 años en el que se detalle los proyectos más importantes a llevarse a cabo en el período. OPINION DEL SECTOR Se tomó conocimiento. 1.3- CAPACITACION DE RECURSOS HUMANOS La Gerencia de Cómputos no cuenta con personal especializado en el desarrollo del Plan de Contingencias del área. La falta de conocimientos específicos del tema puede llevar a una definición incorrecta o incompleta del Plan de Contingencias lo cual aumenta la exposición de la Sociedad a eventuales riesgos o contingencias. RECOMENDACION Se recomienda capacitar al personal de la Gerencia y Sectores relacionados en el desarrollo de Planes de Contingencia. OPINION DEL SECTOR Se tomó conocimiento. 1.4.- CRONOGRAMAS DE TAREAS Si bien se cuentan con Manuales de Operaciones, de la evidencia analizada no se determina la existencia de cronogramas completos de tareas diarios. 11 La no existencia de un cronograma de tareas/ procesos periódico impide el seguimiento de las operaciones a realizar por la Gerencia de Cómputos, no pudiendo determinarse el cumplimiento de las operaciones. RECOMENDACION Se recomienda definir un cronograma periódico de tareas/ procesos a fin de determinar las fechas y horas de ejecución de cada proceso de la Gerencia de Cómputos. OPINION DEL SECTOR Se tomó conocimiento y se incorporará en el Manual de Operaciones la especificación de la fecha en la que se realizan las distintas rutinas. 1.5.- ADMINISTRACION DEL SERVICIO DE MANTENIMIENTO Si bien existe una planilla de solicitudes de mantenimiento del equipamiento de los sectores usuarios, la misma se utiliza en forma inadecuada dado que no se completan las columnas con la información que corresponde a las mismas, por lo cual se podría llevar a la pérdida o a la mala utilización de los recursos de la Empresa a la hora de reparar o contabilizar el equipamiento existente. RECOMENDACION Se recomienda se prepare un instructivo de la planilla de solicitudes de mantenimiento explicando el procedimiento adecuado para completar la misma y su rediseño buscando poder identificar para cada entrada el responsable usuario y del Sector Mantenimiento. OPINION DEL SECTOR De acuerdo a lo manifestado por la Auditoría se incluirá el dato OBSERVACIONES en el Cuaderno de Reparación de Periféricos 12 1.6.- ADMINISTRACION DE SEGURIDAD La función de Administrador de Seguridad es llevada a cabo actualmente por la Gerencia de Cómputos, sin haberse definido explícitamente al responsable de la función. La no determinación de un responsable de dicha función, impide concentrar las decisiones y requerimientos, pudiendo llevar a la ejecución de tareas no permitidas o definiciones de usuarios o grupos de usuarios incorrectas. La falta de control de las tareas de seguridad incrementa el riesgo de pérdida de confidencialidad e integridad de la información. RECOMENDACION A continuación se proponen tres alternativas de implementación del rol de Administrador de Seguridad ordenadas de acuerdo al nivel de recomendación de implementación, analizando la estructura y la cultura organizacional y los recursos disponibles, cada alternativa detallará sus fortalezas y debilidades. a) Administrador de Seguridad perteneciente a la Gerencia de Sistemas con auditorías externas periódicas. Se recomienda auditorías mensuales sobre la base de un plan de auditoría anual. Fortalezas: No requiere de recursos adicionales a los ya existentes. La definición de seguridad estará claramente ligada a la operación de la misma. Se asegura un control independiente de la organización. Debilidades: Administración de Seguridad dependiente de la Gerencia de Sistemas, dado que la Gerencia de Sistemas es la principal involucrada en la estructura de seguridad informática de la organización, existe el problema de la no independencia de la Administración de Seguridad. Esta debilidad se minimiza con el control por auditorías de seguridad informática externas. 13 b) Administrador de Seguridad dependiente de la Gerencia General. Fortalezas: Independencia de la Administración de Seguridad respecto a las gerencias involucradas en la implementación de la seguridad informática. Nivel de decisión alto. Debilidades: Necesita de un alto compromiso al nivel de Gerencia General. Es difícil conseguir recursos idóneos fuera de la Gerencia de Sistemas. c) Administrador de Seguridad perteneciente a otra Gerencia distinta de la de Sistemas. Fortalezas: Independencia de la Administración de Seguridad respecto a las gerencias involucradas en la implementación de la seguridad informática. Debilidades: Necesita de un alto compromiso al nivel de la Gerencia responsable. Es difícil conseguir recursos idóneos fuera de la Gerencia de Sistemas. OPINION DEL SECTOR Se tomó conocimiento. 1.7.- NORMATIVA DE SEGURIDAD LOGICA Si bien existe un documento titulado "Normas de procedimiento de Seguridad Lógica", el mismo no contempla de manera integral los procedimientos mínimos de seguridad lógica, siendo a su vez parcial y estando desactualizado. La falta de políticas, normas y procedimientos de seguridad lógica compromete la confidencialidad e integridad de los datos al no permitir una correcta implementación de la misma y no capacitar a los usuarios de los riesgos relacionados. 14 RECOMENDACION Se recomienda definir, documentar y comunicar las políticas de seguridad lógica especificando alcances y responsabilidades por cada plataforma tecnológica. OPINION DEL SECTOR Se tomó conocimiento y se procederá en consecuencia. 1.8.- ADMINISTRACION DE PERMISOS DE ACCESO La documentación referida a permisos de usuarios por sistemas existentes abarca únicamente al Sistema de Abastecimientos, no observándose documentación similar de los sistemas adicionales de la Gerencia. La falta de documentación de usuarios/ grupos de usuarios relacionados con programas puede llevar a una asignación errónea de nuevos usuarios al no poder definirse en forma concreta los grupos de usuarios relacionados con los programas de cada sistema. RECOMENDACION Se recomienda actualizar la información de accesos para todos los sistemas faltantes. OPINION DEL SECTOR Cabe aclarar que el Sistema de Abastecimiento es el mas importante de todos, el cual involucra a otros Sistemas como ser el de Costos, Expedición, Comercialización y Emisión de Orden de Fabricación. Se documentará el Sistema de Recursos Humanos y Sistema de Control de la Planta de Billetes. 15 1.9.- CONFIGURACION DE SERVIDORES WINDOWS NT Del relevamiento realizado en los servidores de red MS Windows NT, estos carecen de las características mínimas de seguridad requeridas en lo que respecta a administración de políticas de cuentas. Se destacan las siguientes observaciones: Las contraseñas nunca caducan. Las cuentas de usuario no son bloqueadas nunca. La inadecuada configuración de las políticas de cuentas ponen en peligro la confidencialidad e integridad de los datos almacenados en los respectivos servidores. RECOMENDACION Se recomienda definir una política de cuentas que contemple vencimiento de contraseñas, bloqueo y desconexión de cuentas de usuarios, etc. OPINION DEL SECTOR Esta situación fue transitoria y debida a que gran cantidad de usuarios con cuentas sobre el Servidor Novell tuvieron que incorporarse a la red Windows NT. Se volverá habilitar progresivamente la rotación de claves de acuerdo a lo recomendado. 16 III.- ASPECTOS OBSERVADOS EN EL EJERCICIO ANTERIOR, REGULARIZADOS A LA FECHA A continuación se detallan por circuito, las observaciones mencionadas en nuestra Carta con Recomendaciones de control interno y otros aspectos contables correspondiente a la auditoría de los estados contables al 31/12/97, que se han regularizado a la fecha del presente informe, o no se han presentado durante nuestra revisión al 31/12/98: CIRCUITO: CONTABILIDAD GENERAL ♦ Carencia de una planilla íntegra de cálculo relativa al valor contable de los Bienes de uso. CIRCUITO: IMPUESTOS ♦ Presentación de las declaraciones juradas del Impuesto sobre los Ingresos Brutos (CM-05). ♦ Crédito fiscal del Impuesto al Valor Agregado sujeto a prorrateo. ♦ Falta de presentación del formulario de declaración jurada períodos fiscales 1995 y 1996. ♦ Presentación del formulario de declaración jurada 479. BUENOS AIRES, 25 de noviembre de 1999. 17 F.760/C por los