UNIVERSIDAD NACIONAL (UNA) ee + Carta de Gerencia CG 1-2015 + Informe finalXX CARVAIAL DFIK Heredia, 16 de setiembre del 2016. Sefiores Universidad Nacional (UNA) Estimados sefiores: Segiin nuestro contrato de servicios, efectuamos la auditoria externa correspondiente al periodo 2015, a la Universidad Nacional (UNA) y con base en el examen efectuado notamos ciertos aspectos referentes al sistema de control intemo y procedimientos de contabilidad, los cuales sometemos a consideracidn de ustedes en esta carta de gerencia CG1-2015. Considerando el caracter de pruebas selectivas en que se basa nuestro examen, ustedes pueden apreciar que se debe confiar en métodos adecuados de comprobacién y de control interno, como principal proteccién contra posibles irregularidades que un examen basado en prucbas selectivas puede no revelar, si es que existiesen. Las observaciones no van dirigidas a funcionarios © colaboradores en particular, sino Gnicamente tienden a fortalecer el sistema de control interno y los procedimientos de contabilidad, Agradecemos una vez més la colaboracién recibida de los funcionarios y empleados de la Universidad Nacional (UNA) y estamos en la mejor disposicién de ampliar y/o aclarar el informe que se adjunta en una sesién conjunta de trabajo cuando nos convoquen. DESPACHO CARVAJAL & COLEGIADOS CONTADOR! ‘OS AUTORIZADOS Contador Publico Autorizado niimero 5607 Péliza de Fidelidad mimero 0116 FIG 7 Vence el 30 de setiembre del 2016 “Bxento de timbre de Ley nimero 6663 del Colegio de Contadores Piblicos de Costa Rica, por disposicién de su articulo niimero 8”. ‘Una Firma, un respaldo www.carvajaler.comXx CARVAJAL \DFIK TRABAJO REALIZADO A continuacién presentamos los procedimientos de evaluacién de control interno y pruebas sustantivas de auditoria, aplicados durante nuestra visita a la Universidad Nacional (UNA), asi como los resultados obtenidos: a) Procedimientos generales © Dimos lectura a las actas del Consejo Universitario del_periodo 2015. ‘© Solicitamos los informes de auditoria interna con fecha de corte al 31 de diciembre del 2015. ‘¢ Estudiamos, revisamos y evaluamos los procedimientos de control interno, contables, administrativos e informaticos, existentes. Evaluamos el sistema de control interno de acuerdo con el “Manual sobre Normas y Técnicas y Control Interno para la Contraloria General de la Repiblica”, asi como de acuerdo a las normas y procedimientos de auditoria aplicables, de acuerdo con lo establecido por el Colegio de Contadores Piiblicos de Costa Rica. © Durante la revisién de los riesgos de auditoria en las cuentas que se detallan mas adelante, donde evaluamos la posibilidad de que los procedimientos de control interno contable y administrativo existentes en cada area fuesen adecuados para evitar o detectar irregularidades. © Dimos seguimiento a los hallazgos de las cartas de gerencia de periodos anteriores Resultado de la revisié Como resultado de la evaluacidn del control interno de la Universidad Nacional (UNA), sé determina que existe una serie de situaciones que afectan el control intemo y que presentan wn nivel de riesgo medio, las mismas se detallan a continuacién: ‘una Firma, un respa www.carvajaler.comDX CARVAIAL FIC HALLAZGO 1: NO SE GUARDAN REPORTES FiSICOS Y ELECTRONICOS HISTORICOS. CONDICION: ‘Al realizar la auditoria de los estados financieros de la Universidad Nacional al 31 de diciembre del 2015, determinamos que no se guardan reportes fisicos historicos de los saldos como por ejemplo: « Reportes o conciliaciones de las cuentas por cobrar matricula, «© Reportes o conciliaciones fisicas de la cuenta propiedad, planta y equip * Reportes fisicos de la cuenta de inventarios. Lo anterior puede conllevar a que no se tenga la certeza de los saldos a una fecha en specifica, ya que no se cuenta con el respaldo suficiente sobre dichas cuentas. CRITERIO: Segin las Normas de Control Intemno aplicables para el Sector Publico 1a administracién, segiin sus competencias, debe establecer las medidas pertinentes para que los actos de la zgestién institucional, sus resultados y otros eventos relevantes, se registren y documenten en el lapso adecuado y conveniente, y se garanticen razonablemente la confidencialidad y el acceso a la informacion publica, segtin corresponda, RECOMENDACION: DE CUENTAS POR COBRAR E INVERSIONES. — CONDICION: [Al realizar la revisién de las politicas, manuales y procedimientos de la Universidad Nacional al 31 de diciembre del 2015, determinamos que para las cuentas de inversiones y cuentas por cobrar se carecen de los mismos documentos, ya que estén en una etapa de aprobacién final por parte de Ia administracién, lo cual afecta en la revisién de dichas cuentas, ya que no se tiene un pardmetro de medicién y tratamiento contable definido. www.carvajaler.comX_ CARVAJAL CRITERIO: Las Normas de Control Interno establecen 1a importancia de documentar todas las regulaciones en manuales de procedimientos, ademés determinan que esta documentacién debe estar disponible, en forma ordenada conforme a criterios previamente establecidos, para su uso, consulta y evaluacién RECOMENDACIO! La Universidad como parte de la realizacién y actualizacién de las politicas y procedimientos intemos que realiza de forma anual debe tomar en cuenta la implementacién de las mimas para 5) Caja y bancos © Realizamos cédulas sumarias comparativas y revisamos lo movimientos relevantes de la cuenta ‘© Revisamos las conciliaciones bancarias de las diferentes cuentas corrientes que posee la Universidad, al 31 de diciembre del 2015. « Solicitamos a la Administracién de la UNA los estados de cuenta bancarios posteriores a la fecha del balance general, con el propésito de verificar que los cheques han sido cancelados. © Solicitamos los resultados de los iltimos arqueos de fondos de trabajo efectuados por el Departamento de Tesoreria de la Universidad. © Seleccionamos una muestra de los desembolsos de efectivo para el periodo que es objeto la auditoria, revisamos la documentacién respaldo de las mismas al cierre del periodo de la auditoria @ Seleccionamos una muestra de depésitos de efectivo para el periodo que es objeto la auditoria y obtuvimos los comprobantes relacionados y documentacién de respaldo. ‘© Solicitamos confirmaciones a los bancos para comprobat los saldos, la existencia y propiedad de las cuentas, las personas autorizadas y cualquier otra relacién con las entidades bancarias. Resultado de la revisién: Con base en las pruebas de auditoria realizadas se determina que no existen situaciones de control interno, que deban informarse en esta carta de gerencia. ‘Una Firma, un respaldo wweearvajaler.comXx CARVAJAL ©) Inversiones ‘¢ Realizamos cédulas sumarias comparativas al 31 de diciembre del 2015, y revisamos variaciones importantes de la cuentas. © Cotejamos el registro auxiliar con el mayor general, al 31 de diciembre del 2015, © Realizamos el recilculo de los intereses por cobrar de los titulos al 31 de diciembre del 2015. © Solicitamos los estados de cuenta de las inversiones al 31 de diciembre del 2015 © Solicitamos confirmaciones de saldos a los diferentes entes bancarios con los que la Universidad mantiene inversiones. Resultado de ta revi El sistema de control intemo aplicado a las partidas de inversiones presenta un riesgo bajo, sin embargo se detectaron debilidades de control que se muestran en el hallazgo 2. d) Cuentas por cobrar ‘© Realizamos eédulas sumatias comparativas al 31 de diciembre del 2015, y revisamos variaciones importantes de la cuentas. © Cotejamos lo registros auxiliares de las cuentas por cobrar contra el mayor contable al 31 de iembre del 2015. Resultado de la revisi Mediante lo resultados de las pruebas realizadas a la UNA, se determina una diferencia entre el registro auxiliar y la cuenta mayor de ¢1.867.534,09. Es importante mencionar que esta es la misma diferencia que se obtuvo hace varios afios en una de las primeras conciliaciones efectuadas y es igual a diferencia determinada en la ultima conciliacién realizada el pasado 08 de agosto del 2016. Se determina Ia existencia de una serie de situaciones que representan un nivel de riesgo medio, las cuales se mencionan a continuacién: ‘Una Firma, un res} com“Xx CARVAIAL HALLAZGO3: POLITICA DE INCOBRABLES — PENDIENTE DE” CONDICIO: Efectuamos la revisién de las cuentas por cobrar al 31 de diciembre del 2015 y 8 cuentas determinamos que la Universidad por cobrar, principalmente las matriculas presentan Ala fecha de este inform: CRITERIO: isa de la incobrabilidad ‘ontabilidad (CN-01-2007, art No.02). Se pueden usar tres métodos % v a ss = ree cmentelimain de saldos y % RECOMENDACION: RN retvauiteremacyesteeanaciete, HALLAZGO 4: LAS CUENTAS POR COBRAR POR MATRICULA PRESENTAN UNA ANTIGUEDAD SUPERIOR A LOS 180 DiAS. CONDICIO! Efectuamos el anilisis de antigiiedad de las cuentas por cobrar cuya naturaleza son las matriculas con el detalle suministrado al 31 de diciembre 2015 y se cotejé con el saldo anterior a mayo 2015, el detalle se presenta a continuacién: Antigiiedad en Saldo a mayo Saldo a dias 2015 Porcentaje diciembre 2015 __Porcentaje De 0a 180 24.572.264 4% ¢24.712.220 3% De 180 360 45.031.664 M% 43.974.112 6% Mas de 360 533.493,356 80% 554.399.597 78% Créditos 2015 61.261.484 9% 91.129.334 13% Total £639.786.504 100% :714.215.263 100% -www.carvajaler.com ‘Una Firma, un rey& CARVAIAL \DFEIK CRITERIO: Un adecuado control interno establece lo siguiente: se analizaran los valores a cobrar efectuado por un empleado que no tenga acceso al manejo del efectivo, ni participacién en la aprobacién de créditos, o en la determinacién de los ingresos tributarios. El anilisis y evaluacién de los valores a cobrar se efectuara periddicamente, de preferencia en forma mensual, para comprobar la eficiencia de las recaudaciones y la cobranza de las cuentas vencidas, indicando su antigtiedad. RECOMENDACION: el ©) Inventario ‘¢ Realizamos cédulas sumarias comparativas al 31 de diciembre del 2015. © Cotejamos los registros auxiliares del inventario y de la mercaderia en trinsito con los saldos contables al 31 de diciembre del 2015. ¢ Participamos en la toma fisica que realiza proveeduria y contabilidad en las bodegas de la UNA. Resultado de la revision: De acuerdo con la revisién efectuada, coneluimos que la cuenta de inventario presenta un nivel de riesgo bajo y no se presentan situaciones que deban informarse a la administracién. PD Gastos pagados por anticipado ‘© Realizamos cédulas sumarias comparativas al 31 de diciembre del 2015. © Realizamos un recilculo de las primas y los descuentos producto de las inversiones al 31 de diciembre del 2015. Resultado de la revisién: De acuerdo con la revisién efectuada, coneluimos que la cuenta de gastos pagados por anticipado presenta un nivel de riesgo bajo y no se presentan situaciones que deban informarse a la administracién. ‘Una Firma, un respaldoIK “Xx CARVAJAL g) Activo propiedad, mobiliario y equipo amos cédulas sumarias comparativas al 31 de diciembre del 2015 y revisamos variaciones importantes de las cuentas, © Cotejamos el registro auxiliar con el mayor general al 31 de diciembre del 2015. © Realizamos una prueba global de la depreciacién acumulada y el gasto por depreciacién al 31 de diciembre del 2015. © Seleccionamos una muestra de las adiciones y retiros efectuada durante el period y revisamos con la documentacién soporte Resultado de la revision: Los resultados de las pruebas realizadas indican que la cuenta de activo fijo de la UNA. presenta debilidades de control interno y q detallan de la siguiente manera: HALLAZGO 5: DEBILIDADES DE CONTROL INTERNO EN LA CUENTA DE _ INMUEBLE, MAQUINARIA Y EQUIPO, Efectuamos nuestras pruebas de auditoria a las partidas de inmueble, maquinaria y equipo al 31 de diciembre del 2015 y determinamos las siguientes debilidades de control: 2) Procedimos a cotejar el saldo del reporte generado por el departamento de contabilidad con el saldo registrado contablemente, con lo cual determinamos una diferencia que asciende a la suma de ¢61.260 (en miles) la cual se origina debido a: © Registros de diferenciales cambiarios por parte de la Proveeduria, que generaron un registro a la cuenta de mayor pero no al auxiliar, no obstante, al remitir la Proveeduria la documentacién para aumentar el valor del activo y al ingresar a la forma de ajuste en el auxiliar, se aumentaba el valor al activo, que también generaba un aumento en la cuenta de mayor; significando esto un doble registro en la cuenta de mayor. © Casos en los que la Proveeduria anulé placas de activos que ya se habian registrado en el auxiliar, y estos nunca generaron un registro desde esa instancia a la cuenta de mayor, sin embargo, al remitir la documentacién a esta oficina para la anulacién y generar el documento "m" de eliminacién, genero un registro en el mayor por esa eliminacién. ‘¢ Registros desde la Proveeduria que generaron cargos en cuentas de mayor, es decir cuentas de activos, cuyos bienes no correspondian al tipo de activo registrado en el auxiliar, es decir, cargos a cuenta de activos cuya orden compra indicaba varios tipos de activos, sin embargo, el sistema lo cargaba a un solo tipo de activo. “Una Firma, un respaldo ajalcr.com“2 CARVAIAL © Registros manuales en el mayor de activos fijos, por sumas que no correspondian a actives fijos, es decir se cargo a las cuentas de activos (mayor) montos de bienes de consumo, los cuales se aumentaron por el monto correcto en el auxiliar. Se generé un cargo superior en Ia cuentas de mayor y en el auxiliar un aumento menor (el correct). \DFIK © Registros duplicados por remisién doble de documentacién en dos vias. '® Activos donados no registrados en la cuenta mayor. Act El detalle se muestra a continuacién: /os cuyos procesos de capitalizacién quedaron inconclusos. Saldo en Libros Saldo Auxiliar Diferenci ‘Maquinaria y equipo de TIPOO! AOI produccién 676.386 676.028 357 TIPO02 AQ02 —_Equipo de Transporte 3.725.485 3.725.483 2 TIPO03 AQ03 Equipo de comunicacién 3.389.407 3.391.809 (2.492) TIPO04 O04 Equipo y mobiliario de oficina 3.361.953 3.346.415 15.538 TIPO0S AQOS Equipo y programa de computo 7.123.227 7.130.011 (6.783) TIPO06 AON Equipo sanit, laborat e investig «7.814.612 7.913.496 (98.884) TIPO07 AQ07 Eq y mob educ, depo, y recreat 289.148 361.105 (71.957) TIPOOS AQOS — Maquinaria y equipo diverso 2.147.205 2.103.298 43.907 TIPO09 AOLL —Terrenos 3.194.659 3.194.548, ut TIPO10 _AOI0__Edificios 25,230,063 _25.048.602__ 181.461 Total 56.952.145 _56.890.885 __61.260 lo que se nos comenta que la nnciliacion siempre va a presentar diferencias, lo que de igual manera representa una debilidad de control interno. b) Realizamos el re-calculo de la depreciacién acumulada al 31 de diciembre del 2015 y se presenta una diferencia material por un monto de ¢863.829( en miles) con respecto al saldo auxiliar. El encargado de activos nos comenta que esta diferencia se genera debido a que el proceso intemo para la entrada de los activos no se completa en el sistema por lo que existen activos que no se estin depreciando o el cAleulo se realiza con pardmetros errados. ©) No se efectitan revaluaciones de inmueble, maquinaria y equipo. “Una Firma, un respaldo www.carvajaler.com 10ZX CARVAJAL CRITERIO: periédicamen ‘eterminar cualquier diferencia y adoptar las medidas procedentes. ‘Ademés el jerarca y los titulares subordinados, segiin sus competencias, deben establecer actividades’ de control que orienten la ¢jecucién eficiente y eficaz de la gestién institucional. Lo anterior, tomando en cuenta, fundamentalmente, el bloque de legalidad, la naturaleza de sus operaciones y los riesgos relevantes a los cuales puedan verse expuestas Con posterioridad @ su reconocimiento inicial como activo, todos los elementos de la Propiedad, planta y equipo, deben ser contabilizados a su costo de adquisicién menos la depreciacion acumulada practicada y el importe acumulado de cualesquiera pérdidas por deterioro del valor que hayan suftido a lo largo de su vida util. Con posterioridad al reconocimiento inicial como activo, todo elemento de a Propiedad, planta y equipo, debe ser contabilizado a su valor revaluado, que viene dado por su valor razonable, en el momento de la revaluacion, menos la depreciacién acumulada practicada posteriormente y el importe acumulado de las pérdidas por deterioro de valor que haya sufrido el elemento. Las revaluaciones deben ser hechas con suficiente regularidad, de manera que el importe en libros, en todo momento, no difiera significativamente del que podri determinarse utilizando el valor razonable en la fecha de los estados financieros, RECOMENDACION: Es importante que el departamento de proveeduria en conjunto con el departamento de contabilidad conerete un de manera que se determinen oportunamente las diferencias que se puedan presentar, asi como tener las debidas justificaciones sobre el origen de las mismas. La administracién debe realizar las gestiones necesarias para cada uno de los activos incluidos en el registro auxiliar contable, con el fin de determinar el valor de la depreciacién acumulada y el valor en libros actual, asi como efectuar Ia ajustes considerados pertinente para mostrar un valor actual de la propiedad, planta y equipo. La administracién también debe sacar revatuasonee perioiens pare ue de este mode revelar un saldo contable a valor razonable en la fecha de estados financieros. ‘Una Firma, un respaldo wor cava i‘Una Firma, un respaldo “Xx CARVAJAL h) Documentos por pagar © Realizamos cédulas sumarias comparativas al 31 de diciembre del 2015. © Realizamos una conciliacién de saldos al 31 de diciembre del 2015. ‘© Solicitamos las tablas de pago de la deuda al 31 de diciembre del 2015. ‘© Revisamos el gasto por intereses de la cuenta al 31 de diciembre del 2015 © Solicitamos confirmaciones de saldos a los diferentes entes bancarios al 31 de diciembre del 2015 Resultado de la revisién: De acuerdo con la revisién efeetuada, concluimos que la cuenta de documentos por pagar presenta un nivel de riesgo bajo y no se presentan situaciones que deban informarse a 1a administracién. i) Cuentas por pazar © Realizamos cédulas sumarias comparativas al 31 de diciembre del 2015 y revisamos variaciones importantes de la cuenta. © Cotejamos el saldo de los registros auxiliares contra los saldos de la contabilidad al 31 de diciembre del 2015. © Realizamos un memorndum explicativo de la cuenta. Resultado de la revisién: Los resultados de las pruebas realizadas indican que las cuentas por pagar de la Universidad se presentan en con un nivel de riesgo bajo, sin embargo se presentas debilidades de control que se detallan a continuacién: ryDX CARVAIAL \DFIK HALLAZGO 6: DEFICIENCIAS DE CONTROL EN EL REGISTRO AUXILIAR DE LAS CUENTAS POR PAGAR. CONDICION: Al realizar la revision de las cuentas por pagar al 31 de diciembre del 2015, se determinaron una serie de deficiencias de control referentes al registro auxiliar de las cuentas por pager, dichas deficiencias se detallan a continuacién ‘¢ No se observa el detalle de las facturas pendientes de pago por parte de la UNA. * No se identifica la antigiiedad de las cuentas por pagar. CRITERIO De acuerdo con las Normas de Control Interno para el Sector Public, referentes a la exigencia de confiabilidad y oportunidad de la informacién, la Administracién debe disefiar, adoptar, evaluar y perfeccionar las actividades de control pertinentes a fin de asegurar razonablemente que se recopile, procese, mantenga y custodie informacién de calidad sobre el funcionamiento de un Sistema de Control Interno y sobre el desempefio institucional. Lo anterior incluye la constitucién de registros auxiliares que permitan la conciliaci6n de los registros contables asi como su constante actualizacién. RECOMENDACION Constituir un registro auxiliar para las cuentas por pagar, que muestre apropiadamente las caracteristicas de cada uno de los documentos sujetos de pago, con suficiente detalle para realizar los andlisis que se requieran. BD Patrimonio ‘© Realizamos cédulas sumarias comparativas al 31 de diciembre del 2015 revisamos variaciones importantes de la cuenta. ‘© Revisamos el estado de cambios en el patrimonio con el fin de revisar los movimientos importantes de la cuenta Resultado de la revision: De acuerdo con la revisién efectuada, concluimos que la cuenta de patrimonio un nivel de riesgo bajo y no se presentan situaciones que deban informarse a la administracién. “Una Firma, un respaldo wonw.carvajaler.comDe CARVAJAL \DFEIK 4) Ingresos y Gastos © Realizamos eédulas sumarias comparativas al 31 de diciembre del 2015 revisamos variaciones importantes de la cuenta, © Solicitamos el movimiento de las principales cuentas de ingresos y gastos al 31 de diciembre del 2015. ¢ Verificamos una muestra de movimientos relevantes de ingresos y gastos del periodo 2015. © Realizamos una prueba de planillas, que consiste en la comparacién de la informacién contable relativa a los sueldos y salarios, el reporte de la planilla de la CCSS y el reporte del INS. Adicionalmente, se verificé mediante el recdlculo de dichas ciftas, aquellos saldos de pasivo gasto relacionados con la planilla de la Universidad. Resultado de la revision: Como resultado de nuestra revisin de los documentos antes descritos, determinamos que la cuenta posee un nivel de riesgo bajo, ya que no detectamos situaciones que afectan el control interno. TRABAJO REALIZADO EN LAS GIRAS 4 LAS DIRECCIONES REGIONALES Como parte de nuestros procedimientos de auditoria realizamos una visita a las siguientes Sedes Regionales: Sede Regional Chorotega ‘© Realizamos un memorindum de conocimiento del funcionamiento de la Sede, ademas de los procesos realizados. © Solicitamos y revisamos los tiltimos arqueos de caja chica, realizados a la Sede. © Verificamos el control intemo de la cuenta de propiedad, planta y equipo, © Solicitamos el registro auxiliar de activos y realizamos la toma fisica de una muestra de Jos mismos. Sede Regional Sarapiqui ‘© Realizamos un memordndum de conocimiento del funcionamiento de la Sede, ademas de los procesos realizados. ‘Una Firma, un respaldo voww.earvajaler comDX CARVAIAL \DFIK ¢ Solicitamos y revisamos los tltimos arqueos de caja chica, realizados a la Sede. © Verificamos el control interno de la cuenta de propiedad, planta y equipo, © Solicitamos el registro auxiliar de activo fijo y realizamos la toma fisiea de una muestra de los mismos. Resultado de la revisién: De acuerdo a las pruebas de auditoria realizadas a las Sedes se identificaron deticiencias de control en el manejo de activos de la Sede de Sarapiqui, aparte de esto no se presentan otras situaciones que deban ser informadas a la administracién, HALLAZGO 7: DEBILIDADES DE CONTROL INTERNO EN LAS PARTIDAS DE INMUEBLE, MAQUINARIA Y EQUIPO EN LA SEDE DE SARAPIQUi. CONDICION: Efectuamos la revision de los actives fijos de la Campus de Sarapiqui y determinamos las siguientes debilidades de control interno: ‘A. Determinamos que los custodios desconocen los activos que tiene bajo su responsabilidad. B. Se logran identificar activos que no cuentan con su placa respectiva, algunos ejemplos se detallan a continuacién: Etiqueta permanente Descripcién__Valor en libros ‘NOO132296 Tractor 4.308.351 NO0131230 Sistema De Alarma 2.457.667 00135018 Tuba 1.305.000 NO0134934—-Hidrante 1.062.547 NO0132580 _Pizarra Interactiva 861.535 NOO124598 -Embarcacién 780.000 00135854 Maniqui 777523 NOO135855 — Maniqui 777.523 00135856 Maniqui 1 C. Activos daiiados y fuera de uso, pendientes de traslado 0 destruccién, algunos ejemplos se detallan a continuacién: ‘Una Firma, un respaldo woww.carvajaler.comX\_ CARVAJAL Etiqueta jermanente NOO121861 _Invernadero desmontable 3.070.205 00134932 Bomba contra incendios 1.930.266 NOO121863 __ Equipo de riego 861.025 Segin las Normas Generales para la Administracién y Control de los bienes de la Institucién en el inciso III que establece que los Directores 0 Jefes, al tomar posicion de sus cargos, exigirdn a sus antecesores y a falta de estos, al superior inmediato, el inventario yy entrega de los bienes que queden a su cargo. Si el inventario y la entrega Fuesen correctos, se hard constar asi, de lo contrario el funcionario entrante hard las observaciones que sean del caso en cuanto a funciones o sea trasladado a otro puesto o sitio de trabajo, tiene la obligacién de faltantes 0 estado de los bienes, y en ambos casos firmari conjuntamente con la devolucién por inventario todos los bienes que tenia a su cargo persona que le hace enirega. Los funcionarios que bajo inventario se hagan cargo de bienes, serin responsables administrativa y fiscalmente, ya sea directa o indirectamente, de la pérdida, dano 0 depreciacién de los mismos, salvo que provengan del deterioro natural por razén del uso legitimo o de otra causa justificada, Ningiin funcionario esté obligado a firmar un inventario de bienes, si estos no estén bajo su inmediato control o responsabilidad, es decir los que tengan a su cargo para uso, custodia, administraci6n o para el desempeiio de sus funciones. Cuando al elaborar los inventarios se descubran faltantes, datios 0 deterioros de bienes, que no se deban a dolo o culpa de la persona que los tiene a su cargo, ésta podrd firmar los inventarios, dejando de ello constancia expresa en el mismo documento, y al mismo tiempo debe realizar las gestiones conducentes para que se le exima de toda responsabilidad. Cuando por olvido u omisién del Director o Jefe de alguna dependencia, entre en funciones 6 se retire un funcionario, sin firmar el recibo o efectuar la devolucién de los bienes a su cargo, o si cualquiera de estos funcionarios no firmen los inventarios correspondientes, los faltantes o dafios que se encuentren posteriormente quedarin bajo la responsabilidad del Director o Jefe respectivo. ‘Ademds segin las Normas Generales para la Administracién y Control de los bienes de la Instituci6n contabilidad tiene la responsabilidad de elaborar listas de los bienes registrados contablemente con el fin de enviarlos al Centro de Cémputo para su procesamiento. Estas listas deben contener la informacion necesaria que permita identificar la localizacién y deseripcién de todos y cada uno de los bienes. Un adecuado control intemo establece las siguientes regulaciones en la administracién de ‘Una Firma, un respaldo www.carvajaler.com“x CARVAIAL \Dri<¢ activo fijo: © El registro y custodia de la documentacién asociada a 1a adquisicién, 1a inscripeién, €1 uso, el control y el mantenimiento de los actives. * El control de los activos asignados a dependencias desconcentradas 0 descentralizadas. * El cumplimiento de requerimientos legales asociados a determinados activos, tales como inscripeién, placas y distintivos. RECOMENDACION: Efectuar una actualizacién de los custodios de los activos fijos mantenidos en el campus de Sarapiqui, efectuar la revision de activos no plaqueados e identificartos, ‘Una Firma, un respaldo www.carvajal 7Goo Dpeaea mn Fon un PULL DUT, Topnap opTes woo € aN 1eSed 10d sewwons Fepeyp FIGOF StLSt vioparse [pUEIPMISO BDLOIU]-seRed 40d EUR 906% svded sod eyueta, £87 jatuouduuog spumns sed 10d sean ploy awugoo 10d sean seQ) 3yqeHUOS 7 Nia ezojeinjeu ns apuodsarion ou = = eet CECT a onuvjapn | Oke avd sod sean 2p ‘quiano 8991 sspyoliny nsta-amigoo sod viuon.> R]_woytseppar_ag ls pe- se1qoo sod viuon3 NN T Na P| 9p saquat0s | 9ZFOTD OTF OTD - sejuona se] ap/9zF0To (ounsung 0218 argos) svifed sod seyuan, Te ee eae 046 It S-€LES9 FID YONE- OboURG OUT a1gog oniaiqos ott sisal osp'8eg S-EZOT PID YE OMMOURG O4IT aLqos aysnly (onpe1a) onaad wopdrasag * ajqeywoy yuan.) oN Td PU ap ugpeandxg OPENS op sure x(souojoo op soqyt us opeso.adxa) vuio}x9 e}Loypae e] 40d soproyde ugroeayrse|sa4 ap sojuaISY TWD AC SidaToo pears an un Duns DUN, SZ6'OFS: STOORS | 9107 [9p S4quiatoip ap | SET99F 89°08 | ideo op ugrsu@aut |"R 10-99 Te (e 2eypane onsifir jo exuos TLO-OV eIuana vf ap upezieas | £89°08 BET OOP soudne,|, 110v uolsiaar ey apuodsaii0) 9107 [9p Saquiarip op | TFRLPT TPS LPL 7 de | Le je seypxne onsiar ja eyuOD | _ PO-O¥ Buono BL ap vpeziqvas Ips LPh 10-99 ugIstior vp] v apuodsauio3| IPs'LtL r0-OV TOT [oP axqMONDID op | FIGLTE FILE 9 Lg 1 aeyxne onsiFor [> wUOD ee {0-OV tiuAN vf op vprzyvar| F998 [peer eudeo op ugisioauy 10:99 UgIsIAaL «e] -& spuodsaui03| P87 199°8 uoreaqunuios ap odinby £0-OV 996F1E 99GFIE ey i 9107 fap aaquioroyp ap) Ley | ane pence se160e les'sh Teudea ap uoisioauy| 10-99 ugisisas w]e apuodsaxoy | !€8'SF SElooe auodsuva op odinby u0-v 96611 96601 —— W tl | 9107 FAP aiquiatoip ap|— rs auodsuvn ap odinby | + Z0-VV Le [e aeyxne onsifos [a v]u0D 5 * TOY ‘Bueno wy op upezqran| OSE ze! syed ap UOISIOAUT 10-99 npIsiAa! &] °@ | opuodsaain; | 968 oos'e conpoud odinbo & wueumnbeyy 10-0V — (oup245) onard - — wopdLossq oN Id Pa opens op aouered A aqqeiuo;y eon sia TIVAdY A vray> CARVAIAL \DE RESULTADOS ENCONTRADOS DE LA EVALUACION AL DEPARTAMENTO DE TECNOLOGIAS DE INFORMACION ORIGEN DEL ESTUDIO Como parte de la evaluacién de los estados financieros de la Universidad Nacional (de ahora en adelante, UNA), realizamos la evaluacién de los controles generales de la gestion de tecnologia de informacién, con el objetivo de medir el grado de riesgo de la informacion en lo que respecta a seguridad, integridad, efectividad, eficiencia, confidencialidad, confiabilidad, disponibilidad y continuidad de la plataforma tecnolégica. La evaluacién la realizamos basados en el manual de “Normas Técnicas para la Gestion y el Control de las Tecnologias de la Informacién (N-2-2007-CO-DFOE)” emitidas por a Contraloria General de la Repiblica, los Objetivos de Control de Tecnologias de Informacién (COBIT por sus siglas en inglés) emitidos por la “Information Systems Audit and Control Association” (ISACA por sus siglas en inglés) y en general. las mejores prdcticas de la industria de tecnologia de informacién. ALCANCE En esta visita el trabajo fue enfocado principalmente a las siguientes areas 1. Seguimiento a recomendaciones anteriores. Verificacién del control interno en materia tecnolégica en base a la normativa intema establecida. 3. Recomendaciones identificadas en la evaluacién. El alcance de la auditoria realizada se fundamenta en lo establecido en las “Normas Técnicas para la Gestion y el Control de las Tecnologias de Informacion (N-2-2007-CO- DFOE)” emitido por la Contraloria General de la Repiblica. OBJETIVO DEL ESTUDIO 1. Establecer un entendimiento integral de la institucién, asi como de la plataforma tecnoligica que soporta sus operaciones y documentacién asociada. 2. Con el propésito de cumplir con los requerimientos estipulados en la Norma Intemacional de Auditoria 315, Entendiendo de la realidad y su entomo y evaluacién de representacion errénea de importancia relativa y en la Norma Intemacional de Auditoria 330, Procedimientos del auditor en respuesta a los riesgos evaluados, evaluamos la gestién de las tecnologias de informacién de la UNA ‘Una Firma, un respaldo 20“x CARVAJAL \DFK PERIODO DE LA AUDITORi. El estudio se realiz6 durante los meses de julio y agosto del presente afio y comresponde a la auditoria del periodo 2015. LIMITACIONES DEL ESTUDIO. Durante el presente estudio de auditoria no se suministré la siguiente informacién o detalle sobre el estado del mismo: 1. Usuarios activos en Bases de Datos, tinicamente se suministré del sistema BANNER. a, Fechas de solicitud: Requerimientos iniciales 15 de julio de 2016, 27 de julio de 2016, 3 de agosto de 2016 y 5 de agosto de 2015. b. Consecuencia: No se puede verificar la existencia de cuentas de ex funcionarios activos en Bases de Datos, a excepcién de Banner. Contratos activos con terveros en el periodo 2015 e informes de seguimiento que DTIC realiza para verificar el cumplimiento de los contratos del periodo 2015. a. Fechas de solicitud: Requerimientos iniciales 15 de julio de 2016, 29 de julio de 2016, 3 de agosto de 2016, 5 de agosto de 2016. b. Consecuencia: No se puede verificar que se realicen seguimiento al cumplimiento contractual de contratos en materia tecnologica, por tanto, se procede a realizar el hallazgo 04 del presente informe. 3. Toda la documentacién relacionada al ciclo de vida del desarrollo de software, segiin la metodologia de desarrollo interna, para el proyecto Sistema de Transporte Institucional o Prondsticos de la Demanda de Bienes. a. Fechas de solicitud: esto se solicité el dia 5 de agosto, posterior a recibir la lista de desarrollos del periodo 2015 solicitados el 29 de julio de 2016, y 3 de agosto de 2016, y la metodologia relacionada al ciclo de vida del desarrollo solicitada desde los requerimientos iniciales 15 de julio de 2016. b, Consecuencia: No se puede verificar el cumplimiento de la metodologia de zgestién de desarrollo de software, asi como dar seguimiento al hallazgo 14 “NO SE DOCUMENTAN LAS REVISIONES NI PRUEBAS DE CADA ETAPA DEL CICLO DE DESARROLLO DE SOFTWARE” de periodos anteriores. 4, Suministrar para los proyectos “Migracién de las bases de datos de SIGESA a version 12c Enterprise Edition de Oracle” 0 “Proyecto conjunto con CGT para Implementar sistemas de VDI, para la virtualizacién de escritorios en ambientes Windows y Linux” los siguiente: FO-DTIC-05-05 Carta Constitutiva del Proyecto, ‘Una Firma, un res} swww.carvajaler.com a— 4 DC CARVAIAL \DrKK FO-DTIC-03-07 Plan Gestién del Proyecto, FO-DTIC-05-10 Plantilla EDT 0 WBS, FO-DTIC-05-12 Roles y Funciones, FO-DTIC-05-15 Cronograma de eventos, FO- DTIC-05-18 Aseguramiento de la Calidad, Plan de administracién de riesgos (FO- DTIC-06-18 Gestién de Riesgos de DTIC), FO-DTIC-05-19 Adquisicién de Bienes y Servicios, FO-DTIC-05-28 Acta de Recepeién. a. Fechas de solicitud: esto se solicits el dia 5 de agosto, posterior a recibir la lista de proyectos del period 2015 solicitados en requerimientos iniciales 15 de julio de 2016, 27 de julio de 2016, 29 de julio de 2016, 3 de agosto de 2016 b. Consecuencia: No se puede verificar el cumplimiento de la normativa relacionada a gestién de proyectos, por tanto, se procede a realizar el hallazgo 05 del presente informe. METODOLOGiA Para llevar a cabo este trabajo utilizamos una modalidad de andlisis de a informacién suministrada por la Direccién de Tecnologia de Informacién y Comunicacién, aplicamos cuestionarios de control interno relacionados con la administracién del Departamento, seguridad fisica y logica de los sistemas de informacién, continuidad de las operaciones, politicas en cuanto al uso adecuado del equipo de cémputo, internet y correo, planes de capacitacion, procesos de mantenimiento y reparacién del equipo de computo, bitécoras de Jos sistemas, manuales de puestos, plan operativo anual y sistemas de informacién que posee la organizacién. ‘Ademés, se formularon preguntas sobre la existencia de controles informaticos, en todos los casos necesarios solicitamos a los funcionarios las evidencias en documentos escritos 0 en formato digital que respaldaran sus afirmaciones. ‘una Firma, un respaldo www carvajaler.com 2x CARVAIAL \DFK HALLAZGOS ¥ RECOMENDACIONES HALLAZGO 1: INCUMPLIMIENTO DE LA NORMATIVA RELACIONADA CON LA GESTION DE CALIDAD PARA LOS SERVICIOS DE CONDICION: Se determiné que la DTIC cuenta con un documento llamado “M-AGDTIC-001-2010 Manual de Ja calidad”. El documento esta basado en la norma INTE-ISO 9001, y el alcance de aplicacion del sistema de gestién de calidad (SGC) abarcando los siguientes procesos: ¢ Implementacién Servicios TI en Telecomunicaciones. Desarrollo de Sitios WEB. .efio Redes de Datos y Soporte de Servicios TI Desarrollo Sistemas Informaticos. Soporte Técnico y Atencién de Usuarios. Control y Supervisién de Servicios Informiticos, Este manual de calidad adicionalmente cuenta con procedimientos relaciones sobre la revisién del SGC (P-AGDTIC-002-2010), solicitud y control de las acciones correctivas y preventivas, y emisién de mejoras (P-AGDTIC-002-2010), control de productos no conforme (P-AGDTIC-004- 2010), auditorias intemas (P-AGDTIC-005-2010) y control de registro (P-AGDTIC-006-2010).. Se solicité como evidencia al cumplimiento de la normativa intema lo siguiente: Todos los planes de ealidad del periodo 2015. El programa anual de auditorias internas del SGC del periodo 2015. Resultados de las ediciones del periodo 2015, Encuesta de satisfaccién del cliente del periodo 2015. Documentacién de productos no conformes, acciones correctivas y preventivas, el registro de los resultados de las acciones tomadas y la verificacién de la efectividad de las acciones tomadas del periodo 2015. Sin embargo, dado que el DTIC se encuentra en proceso de revision y actualizacién de la documentacién, se indie6 a esta auditoria que no se tiene la evidencia al cumplimicnto debido al proceso de transicién que se tuvo en el afio 2015 por medio de una consultoria con la empresa GTI. Cabe resaltar que se defini un plan de trabajo, en el cual en el item 11 se define el objetivo de clasificacién de documentos de calidad, 1a ejecucién de esta tarea es responsabilidad del Comité de Calidad ‘Al no cumplit con lo estipulado en el documento M-AGDTIC-001-2010 Manual de la calidad y sus procedimientos relacionados a la gestién de calidad, podria no garantizarse una calidad suficiente en los servicios y productos de TL, lo que podria provocar fallas, reprocesos e impedimento de la mejora continua. ‘Una Firma, un respaldo swww.carvajal 3“Dx CARVAJAL CRITERIO: El apartado 1.2 “Gestién de la calidad™ presente en el documento N-2-2007-CO-DFOE Normas ‘Técnicas para la Gestién y Control de las Tecnologias de Informacién emitidas por la Contraloria General de la Reptiblica menciona: “La organizacién debe generar los productos y servicios de Tide conformidad con los requerimienios de sus usuarios con base en un enfoque de eficiencia y mejoramiento continuo.” RECOMENDACIONES: Ala Direct de Tecnolos Establecer y ejecutar acciones altemas para gestionar la calidad de los productos y servicios de TL mientras se efectda la actualizacion de la normativa de gestién de calidad actual. HALLAZGO 2; CUMPLIMIENTO PARCIAL DE LA METODOLOGIA DEL SISTEMA ESPECIFICO DE VALORACION DEL RIESGO INSTITUCIONAL. CONDICI Se verifies que la UNA cuenta con el Sistema Especifico de Valoracién del Riesgo Institucional (SEVRD, la cual define las etapas de identificac 1. valoracién y administracion de riesgos. Esta metodologia permite gestionar riesgos de manera tal que se relacionen con las metas del Plan de Mediano Plazo 2013-2017 y cada riesgo se puede clasificar de manera cuantitativa y cualitativa, definiendo aspectos como frecuencia, consecuencia y niveles de riesgo. Adicionalmente permite clasificar niveles de madurez de medidas administrativas para afrontar los riesgos y las opciones de respuesta a los riesgos. Por otra parte, se identificaron 36 riesgos relacionados con T.L. y para cada uno de estos riesgos se identifican aspectos como tipo de riesgo, escenarios y consecuencias generales del riesgo. Sin embargo, no son identificados para estos riesgos aspectos definidos en el SEVRI como frecuencia, consecuencia, nivel de madurez de medidas administrativas, niveles de riesgo, causas y efectos, riesgos inherentes y residuales, planes de accién, beneficios y costos, entre otros. ‘Al no cumplir con lo establecido en el marco de gestién de riesgos, no se garantiza que se haya realizado una adecuada administracién del riesgo tecnolégico en la UNA. Dado lo anterior, podria materializarse algin riesgo relacionado a tecnologias de informacién, potenciando la interrupeidn parcial o total de algiin proceso eritico, pérdida financiera, fuga de datos, vulnerabilidades de seguridad, daftos en la infraestructura, pérdida de calidad de los servicios, entre otros. “Una Firma, un respaldlo cry‘DFIK CARVAIAL CRITERIO: E] apartado 1.3 “Gestién de riesgos” presente en el documento N-2-2007-CO-DFOE Normas Técnicas para la Gestién y Control de las Teenologias de Informacién emitida por la Contraloria General de la Republica menciona lo siguiente: “La organizacién debe responder adecuadamente a las amenazas que puedan afectar la gestién de las TI, ‘mediante una gestién continua de riesgos que esté integrada al sistema especifico de valoracién del riesgo institucional y considere el marco normativo que le resulte aplicable.” RECOMENDACIONES: Ala Direccién de Tecnologias de Informacién y Comunica: 1. Finalizar con las etapas de valoracién y administracién de riesgos definido en el documento “Metodologia del Sistema Especifico de Valoracién del Riesgo Institucional”. Dar seguimientos periddicos a los riesgos identificados, evaluando la efectividad de los controles definidos. Esta tarea debe quedar documentada. 3. Revalorar los riesgos de forma periddica y actualizarlos de ser necesario, HALLAZGO 3: DEFICIENCIAS EN LA SEGURIDAD FISICA DE LOS CUARTOS DE SERVIDORES. CONDICION: Producto de la revision efectuada a los cuartos de servidores de la UNA, se identificaron un conjunto de deficiencias en la seguridad fisica, las cuales se detallan a continuacién: a) Sobre el Centro de datos ubicado en las oficinas de la DTIC de la UNA en Heredia: 1, Existen ventanas en tres de las paredes del centro de datos, las cuales colindan con el exterior del edificio y la puerta de la entrada al centro de datos es de cristal, tal como se muestra en las siguientes imagenes: ‘Una Firma, un respaldo www_carvajaler.com.D CARVAIAL 2. Una de las paredes est formada por paneles de madera: 3. Existe equipo en desuso y desordenado en el suelo del centro de datos, como se muestra en la siguiente imagen:> CARVAJAL b) Sobre el cuarto de comunicaciones, el Rack A y Rack B ubicado en el campus de Nicoya 1, Las puertas de acceso tienen Ilavines de tipo convencional, como se muestra en la siguiente imagen: 2. Algunas de las paredes son de paneles de madera como se muestra en la siguiente imagen: 3. Existen ventanas que colindan al exterior, como se muestra en la siguiente imagen: ‘una Firma, un respalido swonw.carvajaler.com a7CARNAL \DEK No existen medidores de humedad. No existen detectores de humo. Existen oficinas ubicadas dentro del cuarto de comunicaciones, Rack A y B. Existen equipos en desuso desordenados y ubicados en el suelo en el cuarto de comunicaciones, como se muestra en la siguiente imagen: sas 8. Existe cableado ordenado, pero sin etiquetar en el cuarto de comunicaciones como se muestra en la siguiente imagen: 9, No se cuenta con bitaicoras para el registro del acceso. 10. No se cuenta con contratos de mantenimiento para los equipos de UPS y aires acondicionados, el mantenimiento se realiza por personal intemo y no es registrado cn bitécoras. CRITERIO: El apartado 1.4.3, “Seguridad fisica y ambiental”, presente en el documento N-2-2007- CO-DFOE Normas Técnicas para la Gestién y Control de las Tecnologias de Informacién emitidas por la Contraloria General de la Repiblica menciona: “La organizacién debe proteger los recursos de TI estableciendo un ambiente fisico seguro y controlado, con ‘una Firma, un res) swww.carvajaler.com 2x CARVAIAL DFIK medidas de proteceién suficientemente fundamentadas en politicas vigentes y andlisis de riesgos Como parte de esa proteccién debe considerar: a. Los controles de acceso a las instalaciones: seguridad perimetral, mecanismos de control de acceso a recintos o areas de trabajo, proteccién de oficinas, separacién adecuada de éreas. b, Laubicacién fisica segura de las recursos de TI. c Elingreso y salida de equipos de la organizacién. d. Eldebido control de los servicios de mantenimiento. ce. Loscontroles para el desecho y reutilizacién de recursos de Tl f La continuidad, seguridad y control del suministro de energia eléctrica, del cableado de datos y de las comunicaciones inalimbricas. g. Elacceso de terceros. 4h. Los riesgos asociadas con el ambiente. RECOMENDACION: A la Direccién de Tecnologias de Informacién y Comunicacién en coordinacién con la Vicerrectoria de Administracién: Definir ¢ implementar las acciones necesarias para subsanar las deficiencias identificadas en la seccién Condicién del presente hallazgo para el Centro de datos ubicado en las oficinas de la DTIC dela UNA en Heredia Alencargado del centro de comunicaciones de la sede de Nicova: Definir e implementar las aeciones necesarias para subsanar las deficiencias identificadas en la seecién Condicién del presente hallazgo para el centro de comunicaciones, Rack A y Rack B ubicado en el campus de Nicoya. COMENTARIOS ADMINISTRACION: La DTIC ha estado gestionando la necesidad de un data center con mejores condiciones de las que tenemos actualmente, ante las autoridades superiores correspondientes (Rectoria, Vicerrectoria de Administracién), segin oficios UNA-DTIC-OFIC-150-2016, UNA-DTIC- OFIC-104-2016, DTIC-225-2014, ‘una Firma, un respaldo www.carvajaler.com 29DX CARVARL \DFK HALLAZGO 4: DEBILIDADES EN LA ADMINISTRACION DE LOS CONTRATOS CON PROVEEDORES DE TI. CONDICIO! Se verificé que la DTIC cuenta con documentacién como plantillas y guias para la gestion formal de los contratos con terceros, en esta documentacién se incluyen aspectos como guias de contratacién para productos y servicios, guias para la evaluacién de acuerdos de servicio, guias de cumplimiento para la contratacién de terceros, procedimientos para documentar roles y responsabilidades de terceros y procedimientos para el seguimiento de servicios contratados a terceros, entre otros. Se determind que la DTIC cuenta con contratos con proveedores extemos como por ejemplo el servicio de consultoria para la actualizacién de los procesos de TI gestionados en la DTIC, sin embargo, no se evidencid que los contratos cuenten con una estructura formal o que se dé un seguimiento adecuado sobre el cumplimiento de los contratos debido a que esta informacién no fue suministrada previa solicitud por parte de esta auditoria. Al no poder revisar que los contratos tuviesen una estructura formal y adecuada y al no tener evidencia de que se realiza un seguimiento del cumplimiento de los contratos podria no garantizarse el cumplimiento de las obligaciones contractuales, plazos y calidad definida en los contratos. Ademds, podria existir el riesgo de realizar pagos de hitos © productos no finalizados; ademis de no contar con un seguimiento continuo de principio a fin del contrato que facilite la rendicién de cuentas a los érganos superiores. CRITERIO: El apartado 4.6 “Administracién de servicios prestados por terceros”, presente en el documento N-2-2007-CO-DFOE Normas Técnicas para la Gestién y Control de las Tecnologias de Informacién emitidas por la Contraloria General de la Repiblica menciona: “La organizacién debe asegurar que los servicios contratados a terceros satisfagan los requerimientos en forma eficiente. Con ese fin, debe a. Establecer los roles y responsabilidades de terceros que le brinden servicios de TI. b. Establecer y documentar los procedimientos asociados con los servicios e instalaciones coniratados a terceros. ©. Figilar que los servicios contratados sean congruentes con las politicas relativas a calidad, seguridad y seguimiento establecidas por la organizacion. in respecto de los servicios contratados d. Minimizar la dependencia de la organizaci a un tercero. e. Asignar a un responsable con las competencias necesarias que evalite eriddicamente la calidad y cumplimiento oportuno de los servicios contratados.” “Una Firma, un respaldo 30‘DFK CARVAJAL RECOMENDACIONES: A la Direccién de Tecnologias de Informacién y Comunicacién: 4. Cumplir con los lineamientos establecidos que guian la conformacién y seguimiento formal de los contratos de TI con proveedores externos, 2. Mantener evidencia de las revisiones efectuadas a los contratos con terceros. HALLAZGO 5: DEBILIDADES EN LA METODOLOGIA DE ADMINISTRACION DE PROYECTOS DE DTIC. RIESGO BAJO. CONDICION: Se determiné que DTIC cuenta con una metodologia y un procedimiento para la administracién de proyectos debidamente documentados, con el fin de establecer el detalle de procesos definidos para cada una de las fases del ciclo de vida de desarrollo de proyectos. Adicionalmente se verifica que se definieron diferentes plantillas que permite elaborar los productos de cada etapa (inicio, planificacién, ejecucién, control y cierre del proyecto) Por otra parte, se identified que en el periodo 2015 se llevaron a cabo proyectos, sin embargo, no se evidencié que estos proyectos se efecutaran apoyandose en la metodologia y procedimiento para la gestién de proyectos debido a que no se suministré la evideneia solicitada por esta auditoria. De no utilizarse la metodologia formal para la gestién de proyectos no se garantiza una adecuada ‘gestidn de proyectos, potenciando el riesgo de que se tomen decisiones en base a informacién insuficiente, CRITERIO: El apartado 1.5 “Gestion de proyectos” presente en el documento “Normas Técnicas para la Gestién y el Control de las Teenologias de Informacién (N-2-2007-CO-DFOE)” de la Contraloria General de la Repiblica, menciona:” La organizacién debe administrar sus proyectos de TI de manera que logre sus objetivos, satisfaga los requerimientos y cumpla con los términos de calidad, tiempo y presupwesto dptimos preestablecidos” ‘una Firma, un respaldo www. carvajaler.com 3TXX CARVAIAL ADE RECOMENDACION: Ala Direceién de Tecnolo; Cumplir con lo definido en los documentos “Metodologia de Gestion de Proyectos” y “Procedimiento de Gestién de Proyectos”, documentando para cada proyecto aspectos como: Carta Constitutiva del proyecto. Plan de gestién del proyecto. Estructura de desglose de trabajo. Roles y funciones. Cronograma de eventos. Aseguramiento de la calidad. Gestién de riesgos. AdquisiciGn de bienes y servicios. Acta de recepeién, PRR mS AOR HALLAZGO 6: DEBILIDADES EN LA EJECUTORIA DEL COMITE DE ESTRATEGIA DE TI. CONDICION: a) Sobre Ia ausencia de un reglamento que regule el accionar el CETI: Mediante la resolucién R-0556-R-2013/DTIC-005-2013 del 18 de setiembre de 2013, se cred el Comité de Estrategia de TI (CETI) y el Comité de Gestién de TI (COGETI). Por otra parte, mediante la resolucién UNA-R-RESO-697-2015 del 30 de octubre de 2015, resuelve derogar el COGETI y mantener tnicamente el CETI. ‘Amibas resoluciones estuvieron vigentes en el periodo 2015, indicado como se integraran los comités y sus funciones y responsabilidades; sin embargo, no define los elementos necesarios que regule ¢l accionar de dichos comités, a su vez se evidencia un reglamento adicional que satisfaga dicha necesidad. b) Sobre la poca ejecutoria activa del CETI: Se evidencia por medio del oficio DTIC-047-2015 del 25 de febrero de 2015 que se comunicé a los miembros del COGETI el cronograma de las préximas sesiones (23 de ‘marzo, 20 de abril, 18 de mayo y 08 de junio). Por otra parte, se evidencia una minuta con fecha de 5 de junio de 2015 entre el Director CGT, Ditector CGI y el Coordinador EGTI sobre la presentacién de los proyectos de la sesién del 08 de junio; para esta Ultima sesion se evidencia la invitacién, la minuta y el oficio, (do syoww.carvajaler.comna Mail i “Xx CARVAJAL Dr Sin embargo, solo se evidencia, el cronograma para cuatro sesiones y la ejecucién de una sesién por parte del COGETI, y no se evidencia la ejecucién de sesiones por parte del CET antes 0 después de la resolucién de mantener tinicamente este comité. Al no mantener una ejecutoria activa el Comité de Tecnologias de Informacién, podria darse el riesgo de tener soporte y participacién deficiente de la alta direccién en los procesos claves de toma de decisiones tecnolégicos, lo que podria conllevar a que no se discutan temas importantes como la priorizacién de los proyectos de TI, la asignacion de recursos y la atencién de los requerimientos. CRITERIO: Asimismo el apartado 1.6 “Decisiones sobre asuntos estratégicos de TI” presente en cl documento “Normas Técnicas para la Gestion y el Control de las Tecnologias de Informacion (N-2-2007-CO-DFOE)” de la Contraloria General de la Republica, menciona: “EL jerarea debe apoyar sus decisiones sobre asuntos estratégicos de TI en la asesoria de una representacién razonable de la organizacién que coadyuve a mantener la concordancia con la estrategia institucional, a establecer las prioridades de los proyectos de Tl, a lograr un equilibrio en la asignacién de recursos v a la adecuada atencién de los requerimientos de todas las unidades de la organizacién”. RECOMENDACION: Al Rector en conjunto con la Direccién de Tecnologias de Informacién y Comunicacic 1. Definir, aprobar y divulgar un reglamento que regule el aecionar del CET! de la UNA, el mismo debe considerar al menos lo siguiente: Objeto del Comité de TI Conformacién del Comité de TI Funciones y responsabilidades. Actas. Acuerdos, Quérum. Sesiones. Grupos de trabajo. Vigencia. eer op es ge 2. Documentar mediante actas las sesiones tanto ordinarias como extraordinarias que realicen el CETI, asi como sesionar periédicamente con el fin de garantizar que se cumple con los objetivos para el cual fue creado el mismo. Las actas deben indicar al menos lo siguiente: ‘Néimero de acta. Fecha, hora de inicio y hora final. Presentes, ausentes ¢ invitados. ‘Temas tratados. nese ‘Una Firma, un respaldo wew.carvajalercom 3DX CARVAIAL “DF e. Acuerdos tomados, indicando los responsables y las fechas de ejecucién. f Seguimiento a acuerdos de sesiones anteriores. g. Firmas. HALLAZGO 7: INCONSISTENCIAS EN LOS INVENTARIOS DE SOFTWARE GENERAL E INSTALADO POR EQUIPO. CONDICI Producto de la revision efectuada se identificaron las siguientes situaciones: 1, Se cuenta con un inventario general de licencias adquiridas en el que se detalla el nombre del software, el proveedor y la fecha de vencimiento de la licencia entre otros aspectos, sin embargo, se identificé que no se indica la cantidad de licencias adquiridas para el siguiente software: Erwin Compilador COBOL ~ Fujitsu Oracle 2 RDBMS SE Licencias SQL Server EE SQL- server enterprise edition Axure RP Pro meno ge El inventario de software instalado por equipo se limita tinicamente a tres maquinas virtuales y tres servidores no se incluye otros equipos como computadoras de eseritorio y portitiles, se indieé que no se cuenta con herramientas para obtener este tipo de informacién de los equipos. 2. No se cuenta con un listado de software libre permitido en la Institucién, Esta condicién puede presentarse por deficiencias en el proceso de adquisicién y control de las licencias de software, lo cual podria provocar eventualmente inconsistencias en la gestidn det software instalado en 1a institucién, ademas el mantener software que no cuenta licencias podria provocar problemas como la falta de soporte por parte de los proveedores. Por otra parte, no se cuenta con una herramienta que pueda identificar el software instalado en cada maquina de la UNA. CRITERIO: El apartado 4.2, “Administracién y operacién de Ia plataforma tecnolégiea”, presente en el documento “Normas Técnicas para la Gestion y el Control de las Tecnologias de Informacién (N-2-2007-CO-DFOE)” de la Contraloria General de la Replica, menciona: “La organizacién debe mantener ta plataforma tecnolégica en dptimas condiciones y minimizar su riesgo de fallas. Para ello debe ‘una Firma, un respaldo www.carvajaler.com“Dx CARVAJAL DEK Meee a. Establecer y documentar los procedimientos y las responsabilidades asociados con la operacién de la plataforma. b. Vigitar de manera constante la disponibilidad, capacidad, desempeio y uso de la plataforma, asegurar su correcta operacién y mantener un registro de sus eventuales fallas. cc. Identificar eventuales requerimientos presentes y futuros, establecer planes para su satisfaccion y garantizar la oportuna adguisicion de recursos de TI requeridos tomando en cuenta la obsolescencia de la plataforma, contingencias, cargas de trabajo y tendencias tecnoligicas. d. Controlar la composicion y cambios de la plataforma y mantener un registro actualizado de sus componentes (hardware y software), custodiar adecuadamente las licencias de software y realizar verificaciones fisicas periédicas. €. Controlar la ejecucién de los trabajos mediante su programacién, supervision y registro. f Mantener separados y controlados los ambientes de desarrollo y produccién. ‘g. Brindar el soporte requerido a los equipos principales y periféricos. h. Definir formalmente y efectar rutinas de respaldo, custodiar los medios de respaldo en ambientes adecuados, controlar el acceso a dichos medios y establecer procedimientos de control para los procesos de restauracién. i, Controlar los servicios ¢ instalaciones externos.”” RECOMENDACIONE: A la Direcciin de Tecnologias de Informacién y Comunicacié: Mantener un inventario general de software adquirido y permitido, asi como otro instalado por equipo actualizado, incluyendo equipos como (servidores, méquinas virtuales, computadoras de escritorio y portitiles, etc.) a nivel institucional. Hacer uso, inicamente de las licencias adquiridas, desinstalando las liceneias que no cuentan con los derechos de instalacién respectivos o bien, obtener las licencias adicionales, requeridas para suplir las necesidades de la UNA. Remplazar el software que ya no cuenta con soporte del proveedor o se encuentra vencido, por versiones mas actualizadas y que cuenten con soporte en los casos que sea necesario. “Una Firma, un res} woww.carvajaler.com 38‘Drit HALLAZGO 8: AUSENCIA DE UN PROCEDIMIENTO ACTUALIZADO PARA LA ATENCION DE INCIDENTES Y PROBLEMAS DE TECNOLOGIAS DE INFORMACION. CONDICIO! Se determiné que ¢l DTIC cuenta con un procedimiento y formulario para la atencién de incidentes Hamada “P-AGDTIC-030-2011-MANEJO DE INCIDENTES” y “F-AGDTIC- 030-2011-MANEJO DE INCIDENTES”, respectivamente, sin embargo, con la entrada a produccién de la herramienta iTOP, esta normativa se encuentra desactualizada, La herramienta iTOP permite gestionar todo el ciclo de vida de este tipo de solicitudes, mediante la circular “CIRCULAR DTIC-CGT-001-2014", se comunicé a la comunidad universitaria que las solicitudes de requerimientos ¢ incidentes se deben realizar por medio de la herramienta iTOP, remplazindolo por solicitudes de lamadas telefénicas, correo electronica o de manera verbal. Sin embargo, no se evidencia la existencia de una metodologia 0 procedimiento actualizado {que permita gestionar todo el ciclo de vida de las solicitudes de requerimiento ¢ incidentes por medio de la nueva herramienta, que les provea a los usuarios/agentes una guia para tomar decisiones sobre como clasificar, priorizar, escalar y realizar las demas tareas para la gestion adecuada de este proceso. Al no poseer una metodologia formal para atencién de incidentes, no se garantiza que se dé una adecuada administracién a los incidentes, minimizando el riesgo de recurrencia y procurando el aprendizaje necesario. CRITERIO: El apartado 4.5, “Manejo de incidentes” presente en ‘el documento N-2-2007-CO-DFOE Normas Técnicas para la Gestion y Control de las Teenologias de Informacién emitidas por la Contraloria General de la Repiblica menciona: “La organizacién debe identificar, analizar y resolver de manera oportuna los problemas, errores e incidentes significativos que se susciten con las TI. Ademds, debe darles el seguimiento pertinente, minimizar el riesgo de recurrencia y procurar el aprendizaje necesario”. RECOMENDACIONES: Ala Direceién de Tecnologias de Informacién y Comunicacién: ‘Actualizar y aprobar formalmente un procedimiento para la gestién de todo el ciclo de atencién incidentes y problemas. Este procedimiento debe considerar al menos los siguientes aspectos: ‘Una Firma, un respaldo veww.carvajaler.com 36XX CARVAIAL »DFIK Roles y _responsabilidades (solicitante, _administrador/responsable, agente/encargado), ‘© Informacién del incidente: asunto, descripcién, fecha y hora de apertura del incidente, estados. © Priorizacién y categorizacion. Escalamiento. KPIs y reportes. ‘Auto-Ayuda. Encuestas de satisfaccién, HALLAZGO 9: AUSENCIA DE UN PLAN DE CAPACITACION FORMAL PARA EL PERSONAL DEL DTIC. RIESGO BAJO. CONDICION: Se determiné por medio del Programa de Desarrollo de Recursos Humanos que se esté implementando de forma paulatina el Sistema de Valoracién del Desempefio para el Sector Administrativo, el cual permite generar Planes de Desarrollo Personal. Sin embargo, a la fecha, 1a Direccién de Tecnologias de Informacién y Comunicacién no ha tenido cobertura en el sistema, tampoco se evidencia que se hayan aplicado planes de capacitacién al equipo de DTIC en el periodo 2015, utilizando otras herramientas o meétodos, Pese 2 lo anterior cabe sefialar que se indicé que para el 2015 la Institucion invirtio en la capacitacién técnica de 36 funcionarios del DTIC, para un total de 58 actividades formativas. Se indica por parte del Programa de Desarrollo de Recursos Humanos que se espera sea incorporado la DTIC al sistema en el periodo 2017 y la atencidn de los resultados de los procesos formativos se llevaria a cabo en el 2018. Cabe mencionar que la DTIC elabord Planes de Capacitacién para el aiio 2016, como una acoién alterna para administrar las capacitaciones en esta direccién, estos planes posteriormente se deben alinear a la estrategia de recursos humanos y a las mejores practicas. Al no desarrollar y aprobar formalmente planes de capacitacién para el personal de la Direccién de Tecnologia de Informacién y Comunicacién, podria no garantizarse que el Centro de Gestién Teenolégica y Centro de Gestién Informatica cuente con una fuerza de trabajo suficientemente motivada y competente, donde se refuerce dreas de conocimiento deficientes, como por ejemplo: estindares mundiales, tecnologias emergentes y habilidades interpersoneles. ‘Una Firma, un respaldo www.carvajaler com 7X CARVAAL \DEIC CRITERIO: El apartado 2.4 “Independencia y recurso humano de la Funcién de TI” presente en el documento N-2-2007-CO-DFOE Normas Técnicas para la Gestién y Control de las Teenologias de Informacién emitida por la Contraloria General de la Repiblica menciona lo siguiente: “EI jerarea debe asegurar la independencia de la Funcién de TI respecto de las dreas usuarias y que ésta mantenga la coordinacién y comunicacién con las demas dependencias tanto internas y como externas. Ademas, debe brindar el apoyo necesario para que dicha Funcién de TI cuente con una fuerza de trabajo motivada, suficiente, competente y a la que se le haya definido, de ‘manera clara y formal, su responsabilidad, autoridad y funciones.” RECOMENDACIONES: ‘Al Programa de Desarrollo de Recursos Humanos en conjunto con la Direccién de Tecnolo; Establecer y ejecutar acciones altermas para crear y ejecutar planes de capacitaciones para el personal de la DTIC, mientras se incorpora al CGI y CGT al Sistema de Valoracin del Desempeiio, debido a que cl PDRH prevé que serin incorporados hasta el 2017 y con atencidn de los resultados de los procesos formativos hasta el 2018, considerando al menos los siguientes aspectos: Alineaci6n estratégica. Objetivos del plan de capacitacién. Temas o areas de conocimiento que se desean abordar. Priorizacién de los temas o areas de conocimiento que se desea abordar. Cantidad de personal y personal al que va dirigido la eapacitacién. Fechas de ejecucién de las capacitaciones, Costos asociados (capacitacion, material, entre otros). @meeege HALLAZGO 10: CUENTAS DE EXFUNCIONARIOS HABILITADAS EN EL SISTEMA BANNER. CONDICIO! Producto de la revision efectuada se identificé la existencia de cuentas activas de ex funcionarios en el sistema BANNER. A continuacién, se enlistan los exfuncionarios activos, Rr nr Pee Rosa Adolio Cascante Renuncia (01/03/2015 Manuel Chavez. Nuez Despido sin responsabilidad patronal 22/09/2015 Rolando Mora Zelada Cese funciones por pensién o 01/07/2015 defuuncién ‘una Firma, un respalo www, carvajaler.com 38ki DK CARL \DFK Eduardo Saxe Femandez Cese funciones por pensién 0 01/03/2015 defuncién De no removerse Jas cuentas de exfuncionarios en un tiempo oportuno, puede provocarse que personas que ya no pertenecen a la institucién puedan acceder a informacién de la organizacién, CRITERIO: El apartado 1.4.5, “Control de acceso” presente en el documento N-2-2007-CO-DFOE Normas Técnicas para la Gestién y Control de las Tecnologias de Informacion emitidas por la Contraloria General de la Repablica menciona: "La organizacién debe proteger la informacién de accesos no autorizados. Para dicho propésito debe: a. ‘Una Firma, un respaldo Establecer un conjunto de politicas, reglas y procedimientos relacionados con el acceso a ta informacion, al software de base y de aplicacién, a las bases de datos y a las terminales y otros recursos de comunicacién, Clasificar los recursos de TI en forma explicita, formal y uniforme de acuerdo con términos de sensibilidad. Definir la propiedad, custodia y responsabilidad sobre los recursos de TI. Establecer procedimientos para la definicién de perfiles, roles y niveles de privilegio, y para la identificacion y autenticacion para el acceso a la informacién, tanto para usuarios como para recursos de TI. Asignar los derechos de acceso a los usuarios de los recursos de Tl, de conformidad con las politicas de la organizacion bajo el principio de necesidad de saber o menor privilegio. Los propietarios de la informacién son responsables de definir quiénes tienen acceso a la informacién y con qué limitaciones 0 restricciones. Implementar el uso y control de medios de autenticacién (identificacién de usuario, contrasefias y otros medios) que permitan identificar y responsabilizar a quienes utilizan los ‘recursos de TI. Ello debe acompaiiarse de un procedimiento que contemple la requisicion, aprobacién, establecimiento, suspension y desactivacién de tales medios de autenticacién, asi como para su revision y actualizacién periddica y atencién de usos irregulares. Establecer controles de acceso a la informacién impresa, visible en pantallas 0 ‘almacenada en medios fisicos y proteger adecuadamente dichos medios. Establecer los mecanismos necesarios (pistas de auditoria) que permitan un adecuado y periédico seguimiento al acceso a las TI. ‘Manejar de manera restringida y controlada la informacién sobre la seguridad de las TI." Eyx CARVAJAL RECOMENDACIONES: Humanos en conjunto con DTIC. ALPrograma de Desarrollo de Recui 1. Eliminar o inactivar del sistema BANNER, las cuentas de los exfuncionarios de Ia UNA sefialados en la condicién de este hallazgo. Establecer un mayor control formal en la gestién de accesos a los sistemas, deshabilitando las cuentas de usuarios que ya no deberian tener acceso a la plataforma tecnologica en un tiempo oportuno, considerando la implementacién de un procedimiento mediante el cual Programa de Desarrollo de Recurso Humano le notifique a la Direccién de Tecnologias de Informacién y Comunicacién cada vez que un funcionario abandona la institucién. ‘Una Firma, un respalido rT)Opyedsan un ung, Dun, TD £19) PP ofeqed ap Seay 9p Sajar “PEpHABAg op puUIOD :ojqusuodsoy | SORIV.LNAWOO TWojd op ou o [eUOTSUNY Of opuaiput @ soumsaoou uvas anb saisnfe soy opueupULgap ‘sepeztves seqanud se] ap sopeyjnsas Soj eWUaWNDOG “E (somo a1juo ‘peptate by] ap opeisa ‘ayqusuodsax ‘eyoa} ‘peplALnoe e] ap aiquioU) sapeplAnoe op uorstAar ‘eqonud e] ap sajuEdionied NOIOVANAWOOSE suganad v] ap sayuauoduos 0 sauorsvaijde opualuyop ‘pepinurjuo & serouatunuos ap urd pe seqonud sezyeay “Z : “LLC 1 9p pepriqrsuodsas ey so anb & YNA ¥| 404 sopeyroxsesap opts ueY anb erouafiunuod op seuyfd so] Sopo) FeyUEWO|U a. MSIARY “| ofeq | __O1G:1I ODI ‘SOGINIAAd VIONTONIINOD 4d SANV'Id SO'T SOGOL AG NOTOV.INAWA TANT ON ‘01 ODZV TIVE, “199 £ 1D) [pp solueATaTUT so} xed ouaduasap [ap uOIoUN|LAd opezyyead wey a8 ou “ojUP) Jod “UpLOvOLNUIO ‘ugfopuLiojuy ap aulC] Bj SbJ9 B41UD “BANLOgoD opiuiay UBY OU E4Da} E| w anb seroUEIsUr Ae aNb O} sod (Y¥CAS)OANENSINUPY Jog Jo vind OYSdwosag ap toINRIO|eA op LUIaIS!S [o BUNVE|NUd BUELL 9p OIONINSU] | by uo opueyuowaydurt gysa as anb “WN Bf ap SouBWUNp| SosIN|OY ap o[}O.IHSA ap FUEIFOIY [op oud sod woxptT ag odvisa L ALNGIONT NOIOVULSININGY _ SOPV.LNAWOD Smrofoun sefosuoae wiv a8eq B] SEIBIOpIsUOD aqap JOPEN|EAd-TOSPAIBUnS jap Zanl ap jaded [7 & -souopefeqen So] Sopo} ap Ande uoEdionied & ostuordios J9 a1ambas ouedwasep jop uOIEN|VAD 9p BUIDISIS [I © ‘oyaduiasap Jop Uo]OeNTPAS op PUIISIS Jop SoANALgo soj ayuoURRIE]D asiTUYOP UAqd & ‘ofoqen ap oisond [op a1ueasjas uoIoeUUOJU! UD seprVaTIEpUNY sys LAgop oYadwasep JOP UOIENIEAd vf 9p SaIPpUEISA SO] © NOIOVENSNOOTY sofequyy op vary 0 ugioezjue8s0 e[ Ua SeuOSiad se] ap O|foLNSAP |B UpIUN sHIs9 agap oYDduUAsop [Op UoLDENJeAD HT & :Wos $0389 ‘0]|OL1eSop ns UsTUBLAO anb soaiseq SotdiouLd ap o4s9s vUN Us vpEIuOUIRPUTY aeyso agap [end v] ‘ouoWROIpoad D1,LG P| ap Sa1opesogejoD SOT ap oYadurasep |e soUOIOENIRAS sRZAEOY “| Tere a her te. . aa __ > = ra OSA TL AC SIAOGVAOAVI1OD SOT V ONAAWASAG TA AUAOS SANOIDVAIVAT NVZITVAY AS ON 16 OOZV TIVE PLOT BPUAIAy ¥ ELI SUTMOTIAINY DD V OINAINII OAS FO ZTALP = TWA) Aios pena ‘opjodsox un DULAL, DUN, PEpISIOALUL) B] 9p SoUOISIDAUL se] 9p JOsTUOD [> SOIT 8p HOTEA, ] oe SOIL] ‘oad 9p P4994 ap peyso seudutoa ap eysa -zor90 ap ody opesdutioa spi ‘ow: oss, sodure 11 UN smLoUAT op agap EUIAISIS OADM [A "TZ swifo] ap uy [9 uod “ugrovoTUNUES & "YL, ‘emmd oonpuuoytn Pwo juauojdunt vy ogeo e saa] “L NOQIOVANAWOOEA “WOK 3) SANOISUHANI AG OGVADAINI VINALSIS Ta Na SHV Tidad 11 OOZVTIVA valujuo9 aigos Soue|t x soyuaruupaocid so] ap seqotud 2p LLNIGNad Odvisa ruaU[AUT ap ozeyd 0 BYD2<{ ~PIOz BauaIaD we arg NQIOVULSININGYwos au AA ‘opjodsox un DULL Pun, OuSTUNUNS o8 SOseD SOqUIE LIN “SopHionbor SonouNd So] OpUTOIPUT O SeIp op SomURA vied SEpOUBA ‘ou € sepiousn ‘soquarpuod svded sod smyuiona sey ubyytiap sofeNd So[ W'1dOUZA A VANOWZe Seuodad 50 SsU|jo oxjuo “eroUApIA vYDIP JoUSqns ered OpEZyteas UeY as onb souOIDOR SP] Op aIICOP “aug ua gx 4 OXD 9p peponsnue ap oyiodaa tn 1; rs9¢]‘SO}9g}o JWUNLUT|9 O sPZzUATURLA VIE SOLOS) jo € erouapina uoxensturums seutnsn svacy Se] “YINNVE euinIsIs ja anb wv EpeuOIEpeA wIouOFOyop v] v oWodsoy Oasise osaa0ud OL0z/T oe -woTRjUAIa|dun ap ozejd o eYD94 | NOIOVU.LSININGY VT Ad SORIV.LNAWOD ‘LLC PI ® aoVseIAsOKT ns eand souiensn svaxy svt ap oured sod soupsogou sojuanutianbas so| aesouas ap oqap os JOLLaTUE PepIANoe Berd“ sejquiednoaiit outos sepraryise]o upAs9 anb seyuand se] ap Jos]UOD uN. OpueAg|] YANNVE Bursts ja ua ‘eTed Jd sejuand & maqoo Jod syjuend ap svI|EXNe ONSIax uN AeUOLD.qFUOD “| YOd SVLNAND AA SOATYS AG GVGAQOLINY AG ALATA NO VAINAD ON MANNVE VIALS! “L107 [B uoIoRUAWE|dUN ap [eur ; un ap offouzesop fp a1gos YSHOTS o1PaKoad [ap 291 souorisodsiq ap woraeiuawo|diu] ap ur{d Jap orpaLt 10d ‘YDgY UOD ‘UP]OBULIOJUL ap CUI ‘sauo1sioAul op o]NpoW Jo wed souo!oeDYtoadsq ap OWLALNOOP [P OWIOD Ise “eLUDI [B SOE soyunse une) 9s 9puOp souoTUNaI UEpUFe 98 apuOp Soa1z09 gHISIUTUINS LLLUNsN vagy J ‘SeIOUO!O!JOp Se| reURSqNS NOLOVAONAWOOTY "AVOVd YOd SVINAID A UVAIOT IS Ta *Z1 OOZVTIVH red souorisof spy ap douRAv [9 a1q0g “WSADIS OprUR|| YNA BE] 2p ofeqen op odnus un op spars} B Opo ‘opesed oavisa | owe jo apsap opuefeges ouata as anb sauoisioaul ap wuiaysis oxanu uN osadoud UD yIS9 onb RAare as “oFequIA UES JoLoiue opouiad jap eLOHpHe ey Ua DUO] PUISTU BY Op “CUIDISIS Ja Ua OWHOD [aaXA UO O}UE} Aaj] 98 anb josquog un $9 SOUOISIOAU! ap ANIME Os\SHad Jo ayUOWTEMOe onb ‘euENsN vase [ap eyed 1od voIpUL og Osdo0ud RIOT/LO/LE suoIomUaUIO|duMT ap oze|d o RYDE NODVULSININGY ‘SOUOISIDAU! OP BUUDISIS OAANU UN IB|JOLESAP VIS9 VSADIS O940ad jap 90ued|e Jap osUAC] SORIV.LNANOO ‘opesisui ap 1oRA © ‘opeasauu op 192d @ ep IeEO RED aaa Tidy) XC idaSDyRIPANS AN opyodson un Duc Dun, 9107 ap arquiotAou v aytUT] oze|d UN VOD BPEUBSAns BIAS LO!IEPUOLIONDL EIS> anb ‘seanenstunupy souoisisodsig ap ugroeiuaurayduy ap ue[g [PP oIpauu sod gULUOJUL ayUUIMOTUN ‘sOAe SO] OP cougisty x07 Jap oHodos [op woronTuOWe|dutT op douA” [Op wIOuApIAA QuISHUILUNS OJodWE) D1, [9 “Ud BIO 10g opeonjsap soonpuniojut soxoIuofut So] # gO _LI ayueIpau 1s onb yuaureAante wpuay anb wuwudysis Jop vioua|Ly “eys9} op oFuvs o epeUTLO}p vyDey vUN B SOAK So] ap COUOISHH] JOeA Jo avu}xa ‘soyOdax sD1oUDH wind sepeZEqHM seULO} se] ap eUNsUIE enb vgaraduroD as,, anb ODIpUT NUTENSA Lop Jo “OFIRQUIO WHS “ouDIOYOp e] IeUEsqns vied sepEZ|e91 szUONSAT sel AGOS BIOUApIAa ‘OMDHOS 9g ALNAIGNGd odvisa O1OZ/T OE WoTRRNIBUID|TUN op zd o PYDA.T Soaqan So] ap oauIgIsIy 4o|BA ap autods Un Je|JoureSAp :soqDaJO TUN o AeZTUNTOTUL wed SoTORSD NOIOVULSININGY, SOIV.LNSWOD ‘Dpey DIOS wiolaur e] ap ESOVNS HoFoeIuDUD| aU ‘oun s0sF0] op Ul] [o Uod “ugIDeaTUNIOD A “[ | 9p UO!o9aXIq PY OD OU! ‘SoAHoE ap OpEAAvoUD [9 AIUDUTPARIE andionted aqop viofou! v8 9p uo.oeziypar | waved ‘uoiseioasdap vanpodsas ns € soanov Sol ap OD19ISI, Joe [9p onwos uN seAdq] euIua anb “YANNVE BUOISIS [pp o!paU sod soapow op s}odex uN se9UEy “1 “SOALLOV SOT Ad ODNIGLSIN UOTVA TAG ALWOdTA NO VAANAD ON WANNVA VINA. ‘opryuatojdiut sod uqup as ¢x:9 sauodaa soy v o190dsou ‘sapeuyy sues so] ap aud sod uoroeqords vod segonad ap udma ua visa 9X2 seHodas so anb voIpur as X “upoeuaMaydiut ap aduUAR op OpEISA Jo B4GOs |]. |B ROIUNULOD as [Md Jo Ud “9 [QZ OP O1SOBE op ¢ K 910Z ap NIA! Ap OT [> SOPEIAUD (9102-L67-D1AO-1D0-OLLA-NN_& 9102-962-D1IUO-1DD-OLLA-VNM1) Soyo sop gnstuUNs SILC “spuIOPY erouapira ouioa ojduiola un 943s uns as sosta soquute vied ‘sopyes op pepensiue sod sajruerpnysa s8iqoo sod seyuand & 5 "uO!ovJaA Uos S9]END SO] VSVOUZLA VSNWUZL Su0dD1 Sop XD “wiouapias owiod ojdurala Fiz Bpuedey v eAED Sse aD NOIOVANAWOOR ‘OldaiN | iS 1d 1 ODZWTIVHODSANI 'NOIOVIWAOANT V1 AG SODTYASAA AC VOLLTOd VI ALNAWTVNAOd OdYAOUdY VA as ON ‘sl ODZVTIVH Woo TF TEAINS A opjodsan un Tua, Dun, NQIOVULSININGY 910Z ap ofeur ap 97 [9 epeqoade & vpes0 guy ‘SORIVENANOD ‘IUOUURBOIPHIDM OpLATUTIPADOMT o roNjod Bj ap oquOrUAT|duuNd [> OYA“ -ppegoude ojuatupadoad o vonifod By 9p [eyo ‘oprorunuios Jo “oprypA orpaue azo uNsTe 0 odlUONDD}A auto Jod ‘SopEIanjoAur soLBUOLOUTY So] Sop} B AeIAUA “Z] _— NOIOVGNSNOOHA ‘uoronqoade ByoIp oqeo v 3eA9}] 9p BprsAPauIA k| Sa (DI,,C)) WoFOROTUNUIOD & UgLBUUOFU ap st¥FO]OUDa |, ap ug!osorg v7 ‘uoloewayU ap sopjedsar ap SojaruITaU| SO] AP Uo!sEqoude K HOrSIAaH AP sPYDR) AUT “TL s A i *orva | TUANNV€ 8WOISIS [PP uo}oezipenyoe aiprsedru ap o}9eKoud Jo vied seqonad ap sosea ap wotoeaypoadse X seqarud uoswziqeas 9s onb gyeysu0D 9s ugLonpoad Ua SeLLDISIS SO| v SoIqUIBD op UpIDUOYE BI wid OJUaTUNpEooLd UN ap UOFIEAp v Bred ssUOIDSN SPL Se] op viouapias us sefap £ wejuawnoop uvoydust sayono so] “sopeqosde eqanud ap soyuerumpadoad soy v odade p o|fouesap op sozopeurpi009 & sayol So] Sopo} v AINgUISIP A Jeep :sojoAJA AHURLUY|O o IBZTUNIUTU wed SOUONSOH ap UOISROKLIA ¥] ered “opeNstUIUNS any OU IS “ofUURqUID US ‘ssLOIg 9p epUELAC] P| Ap SooHsOUOIY O TeUOIONISH] oavisa auiodsuray. ap vluaysig sojoaXoud so] 9p oun vavd wptA ap O[>!9 Jap UOIDEILOLUNDOP E] UPOL AP RIDEPIAD OUDI}OS 9S osagoud SIOTILONGT TOLSHUATLATTU ap ozejd 0 ByOg cuvztjeou as onb seqarud | NOIOVULSINIINGY SORIV.LNAWOD ‘SDUIa)SIS 9p O|[OLESOP ap ejSozoporow v] op peuLsoy UOLOeqorde PY ogea k AAaT] (JDO) KONEULZOFUL UONSAD ap axjua, [a enb a1qBESOP SI “F A16.aiJ08 ap o[jousap op oJ! [9p Bdryo wpeD ap seqanud X souoIstAax sv] AWHOWINOOG “~ “seurnsn, ap aud sod uoromdaoe vy sez vred uprsequauiajdutt ef B roUdysod segonad op uejd uN seoaIquisy °Z UOIORLLIOJUT ap SCUIDISIS SOT AHIUOUID|dUUU v ULA 9s END J UD ugtoonposd uo aquoiquie [e ajnue onb seqorud ap ajuatquie un aagos assemnoafo uogap seqanad sesq “woIvoNpord Us oouod op saque vUla|sis Jap OWWaHUBUOIDUTY O}OMO9 [> IWaYLDA ved seqanud ap uojd un sO>TqEIS “| NOQIOVANAWODaY OTIOWAVSAG AC O11 TAG VAVLA VAVO Ad SVAAN IN SUNOISIATA SVT NVINGWONDOG FIO? BUDAND & wVAL) TOR ZC ol AAVALAOS JS ON ‘tI ODZVTIVHTosa PART Oppedson un WULAd Pan, wraua‘ayap sqns as X aAT|a ap ojquiLo ap se[Bax se] 2p Biouapraa ONSHUTLUNS as ‘SPOLIOUINUEY|E LOS OU SoAL|D Se| anb OAzRJoY [> Ua eqvOIpUL 9s anb G¥C'] 9P Osva | kia seyosen1uod sv] op ugtounstutupe X ugfoisoduios ey v oadsor uoo oitiatuivour] © vonyjod ‘euLou RUNSUAE Yo wUAND OW LUUDISIS 9I89 oN LLG [AP aued s0d warp 2 ‘eyasesOD ap ugIaISodwo o SeYSSEINLICD op COHOISIY ‘OAE]D ap OMAHUNIOUAA Jo EIEd OWISTURDAW “XN @ ssbuoseniod ap OoLOISTY wprens OU four e-79A MUN OWARMIOUDA UONSED STOTSOIOE TiO ENSUID TAT sopunoy seorio] souossiaay sey uz NOIOVULSININGY SOIWY.LNAWOD ‘upenoUIa}TuU ROMO] pepLaNdtas y] w SapeULIO] svOIOLEM SoUOISIADL AUZIIVY “ “pepunias ap eanijod run tta sepefayjas asian uaqap e919] pupianias op suprpowl se] °Z ‘epenoape vo‘@o] pepunas wun woo Uuowions [PUOIEN PePISIOAIUP) k[ Ua sopeUEsdur seutaysts so] anb smangosv eed suLMsadoU SoMOIODR sey ACWOL “1 “IVNOIOVN CVGISYAAINA V1 AG SVWALSIS SONND'TY AG YOIDOT GVARIMDAS VI NG SVIONAL ‘opiiaiioo equanoue a8 erouaroyap ej SomUtey 10d “¢9-ZO-DLLG-Od OWauNdOp [ap oIpaut 4od g1OZ 9p OCU U9 DLL [>P soVANC A LOD op sowan “19 [ap sov0u1C] [9 Jd oyuatUpPUEIOy opeqoxde any DI.LC [>P Sopledsaz ap voHyod yy anb BuO}! 9g NOIOVGNAWODaY aN OSA [Q1AAG °91 ODZV TIVE, OdvLsd oarnaod FIOT HUAI & BBD aa! TWD XL‘opjodsas un Dui, Dun, Woo [eR AA -vorBopousay vausoyero|d 2] op uo!owinaysU09 P| ap SojuAUID|9 SOWUHSIP SO] ap UOFOROYTUDP] “uotonanyuoo v] op uoloenstunupe P| 10d pepriqesuodsas ap uproEUaISY “opezuione ou axempuey 0 auvaryos ap vioussne P| Wao uEses anb jonuOD ap SOUISIIEDA)Y voISojous9} BuLLOZME|A B] ap UOIaLINUOD Bl ap OIa;ULIIOLD [9p CAIOHUOWY seoun} Se] ap upezuiEpuayed UorseUIeIBOIg satiorovunsijuoo £ souoionsado so] ap ugloPsIStURUpY So[d1A196 So] 9p UorodnusaIt B] ap SOAHOWL & sauoLoENTEAg -vorojousay punioyero(d vy 9p sojvdiouusd sodinbs so ap owworwpuar jap eatpoviad uoLoenyeag jedioutud soxopi19s So] ap ojuartuesadoid ap peprovdea k| ap ooz011HO, ‘SOULIOJUE Ap UQIDRIAAD Nomvananooar Sseuimip souorsoesuesn op pepnueD © csondsou ap sodution op soipouiorg © :voifo[ousay eunioyerv(d vy op peploedeo ej ap u ‘saquoinais so] owwod sox0y>Ry BAN: op voifojousm vuuoyern|d ve] ap ovadwosap & puprondeo e[ ap uoHENSKULUpE vj ered feULIO} UPA UN IaDdaIquIS| “E “sepez}qvar souofoaoKoud se] ap sist|gt [> Ua wpeOYTUApL ousdwasap & pepioedes ap erouaroyap sombyens zeuaajos esd souesagau vole ap sounjd so] s1Uy9q “Z ‘vorSolouda} wuLOsH EIA vy ap jenjae peproedey “2 op sejSojousa) ap Sosaoouk seUtajsis 'SOI9IAI0S SOAaNU SOT “G suodos JOM PL ap sUIROyeAISO & sou|d ‘soarolgo So] “e =saH0}9Ry sojuatnis so] Soxyo arya opunoprsuod “ojoaja [mi avd uefd [> UO Sopinjou! 49s Uoqop sayeNd so] “va:s9fOUD} nuuojnio(d v| ap ouoduiasap Jo £ popioede> vj a1qos ommry v sojarduy sajqisod aeuoUNIp < swoYAWOPT “L “OFA ODSANA “IVNOIDWN GVGISUAAINA VTA TVALOV VOIDO TONDAL VANNOAV.LV Td V1 4d SAdVaIDVAV9 SV NA ASV NOD SANOIIITAOUd NVINAIADOM JS ON :1 VAOrAW AG GVGINALAOdO | FOZ BpUd.IN5 & BAL) avjuouiajdunt rod uproeso; AS ud UpJoeULIOGU ap sEsFoJOUDD Sey ap you J> wae. tw AC.{09 75]BIBAIDS NAN Opjodsan un DULL, PUN, upd |p epruyop eysay vy ezvd oquorpuod nqznuRUES UJepUAUIOSAL | ap UOLR}UAUID]duIT v] Pred douRAR op auLIO]UL odvisa |p ‘ofsequ us ‘ewus}xo euOUpne v| 10d sepeuEa sauoIepUoLIODD! so] ap UOLovIUDLUD]duu ap Ue[d uN oUOIoIodord a8 ‘pepunfas op vanyjod e] e oyuarudums wop as anb sRIsUApIAD aIqISod ony OU UOISIAar ap osadoud Jo o}UEING] AINAIGNAd O10T/I LOE uoIRIuAMIA;TUN ap ozmd 0 RYDE NQIOVULSININGY nas op vontiod P| ap ouaTwydwuns jop UOIstAdY ‘So}saJa FRUTUNTS Oo THZsuETUTL EAE SOUONSOD SORVLNAINOD Ope [ISH SO] OpUie|UOUUNDOp *[PUOIDEN PEPIMIPATUN) Hf ap UOCULOFUT Y 21 9p pepundos 2p vonyjod v| ap (esambos as opuano o oue |e Z94 wun sOuaLU [8) searpouad sauorstAas zezaéoy | _ NOIOVGNAINOOSE “OLVE ODSAN GVGRIASAS Ad VOM TOd V1 AC OINSINT TAWA Ta VSIATM AS ON *¢ VUOFAN Ad GVGIND.IAOdO ~ ~ *L10z oda e 910g axquondas | 9p seyjs9y 9p ouNfuoD uN OD UOFEWHAUIA;dUUT op A soouEAR IOIUMUIOD ap eYDaJ P| A o[qesuodsas | “ABzZtTPD1 ve saUoIoe sel P SANBASIUNUPY sauoisisodsig 9p ugIoeIUsUID|dW] ep Ue[q [> UNag ~UosEpUALIODAS F] OP uolorjuowojdwui v] us aouvat Ja a1gos EIOUAPLAa QUOIDOdoId as ooOdUIT jousa) wuLLOyere|d BI ap O]UALLIDa:O oavisa ap sauorsaaXoud se] aetoumsop wed eUDTUELOY| PUNAUIU UOD BLOND 9s Ou aNd OLLC [9p Sued Jod voxpur as ALNAIGNAd ‘ayuaunwatioodsor Z1OT/SO/OE X L10Z/CO/BT'91OT/T1/0E 9 TOC/OO/0E “uoIoEIUATIE|iUI ap o7eAC o ByDAY “souaqUe ZuIOAIIp B] ap OJLATUHINSas Jo eued OWLO|WIPodoAd UN BABIOGRIA aS epesistunupe & ‘epenyedo “epeorojiuow Js yianbas anb wunjonysaeaus Bf op SojUDUa|D So] s1Uyap PA ZiNJAIIP BUN y29901gEIS9 9S | “oulepua|ea oue ajuoinitis jp wand ugIsIoAu! ap o}Sandnsaud ap prylorjos yABY as “sOLIATUR O| UO aSeq UO) NOQIOVULSININGY vaminy & aquasod poproedeo ns vinjonnysaeggun ap sayedioutad sodinbo soy ap opeasa [pp SULQZUT & SOIIVLNAINOL ‘Sopmpuaast SoUO!oROTUNLID9I91 OP SOIDIALAS So] ap [NUL oJuUINL ap wIsondosd eIUDSAIY ‘voiojousay nuuioye nid bf ap Woroey|diue op jenur upISioatt| ap wysondosd seWUaSI2g © rpieztyead 9s ‘oLNpus|vo sasau sop sAyuOMS So] a4yUD ‘DI,LC PL 9P VOd [> OpELOgn|a Zan TU], ; a PIOZ EUO.N5 v UALS = nylWnd¥) XC ideTron Deas A oy [san un uaa, DUP, FUVALIOS TAG OSA Td VUVE TWNOIALLISNI VOLTTOd VNA AQ NOIOWaUD. © “TVNOIOVN AVGISYAAINN WT Na VOVYENID TWOLITTSINI AVda1dOUd WT IG OLNAWOd A NOIODALOUd ‘ose aysa ua savy apuodse1i09 ‘anb of ap (warping RUosasy “ERIGd) aWaIedutos aque |v wy[NsUO} ‘SoIHg}o sLUAUTTA seZyUNTUTEE wIEd SoUOSO V1 VUVd SWOLL 10d. BuIA} a18a P sepeUOIoLjar sofpUOIOMNsUE seony[Od Sop 9p BlOuersIXa e] QUILLAIEP 2S oavisa oarpa09 QloT/ TIE UORRWOU ‘ap oze(d 0 BysoT vontjod vj uyaq | NQIOVULSINIWGY SORIV.LNAWOD ~UOTSMIASH B] Op sasaiaiut so vfajoud anb opiyga equoumnsop ono n soysond ap sayenueu Soleqen ap ojsiuod Jap OsUDP BsIINJoUT uapond sojarumouty soysiql “vlfouesap se] upinb ap sauorDERI|qo Se] OUIOD ISe “OLA B] 9P SOpeLOqeIOD so od opejtoumsap oqony 081po9 Jap pepardoud vy auuoU as apuop jeUOIONINSUT ZINDGIp O Pood BUN JeDeIquIsA “L ‘ugponpoxd jutpaoard un ap viouersTKo P| a1qOs eIDUAPIAA quISTUILUNS 28 OF ope ‘SoUIDqSIS uD o1quutes 1 ap SoUAISIS 9p oIgULED 9p mor ojtiowundop un onsiaituns as uo soiquivo ap uofoejuawo|duuy e] xed yeeus0} 0} 19 WO OPEL _ @LNGIGNAd LOTT OE TpDeTuaUD;TUN op oze|d o LUDA, ojmotunwos owiod Jsv ‘oj egoade £ opLionbos o] seaLUNdOP :soj0g}o swUILUL|D o JeZIUITUTLL BAM SoUOHSOD NOIOVGNAWOOTY “OfVd OOSAL AININ VNUAINI OUVTTONNVSA |SUAVAMLIOS ‘THQ “IVAIVTAINI GVGSIdOwd VT _OGIDATAVISA VH AS ON ‘ VuOraW Ad dVAINNIYOdO oav.sa NOIOVUISININGY VT Ad SORIV.LNANOD SopeyDqos wosany ajuowieFAdad anb soqusitulianbor so| ap owwawydums opiqep jo & pepyeo y| seziyuews eed voUDaY uorENfEAS vUN opuEuaLiaydNt ‘ses0foUt (© So1quies so] op sopepiioud & vouapaoud B] SeUULD}P ap Ul] > ToD ‘oWUOIUNduID opigap & oyUDLLUIDOUOD rns ered Jeuosiod Je opeorunuios Jos agap ouatumIpasoad o voNA|Od eS “TeUOIOEN, PeprsiOAtUr] vy] ap Up!oNposd uD seUIaISIS SO] UO SOIqUIBS op UOLDEIUOWO[dU x] UO OpEUOIDE|a! oWaRUIpao.d oO vONyJod PUN 39001qRSA NOIOVANAWOOSY | Ad NOIOVINGWATANT VT VaVd TVINAOA OLNATNIGAIONd NO AG VIONALSIXANI PLOT BPpU..N & wyAe) iid TRC “OV ODSAIY ‘NOIDINGOUd Na SOIINVD vara Ad GVGINALAOdOWO TEPAES MAN Opjodsoa un DULAL, DUT, 89 op BrapeaneU jeuostad yop soaeyonb soyeured so] ap oup) anb opus! £ jentoojaiuy pepaidoid & sepeuornjar uos 1s ‘oyory oB1poo uo “aig 1 TWNOIDWN GVGISUAAINN VINA AMET FIOZ BIaua.1os) & EAE) ~aviwity) XY\DFIK “CARVAJAL ‘A continuacién se resume el cumplimiento de las recomendaciones emitidas en el informe de auditoria del periodo anterior: Estado Total alto 2014 Corregidas 2 Proceso | 4 Pendientes 6 Na | 0 Total 12 Recomendaciones a CG periodos anteriores 2Corregide \ Proceso mPendiente | SNA ‘Una Firma, un respaldo suw.carvajaler.com aXX CARVAAL DFK ANEXOI de Riesgos T.1. Direceién de Tecnologias de Informacién y Comun Periodo 2015 acién oe we [0 | wo | BAJO Requiere una atencién inmediata por su impacto en seguridad, integridad, _—efectividad, —_eficiencia, confidencialidad, — confiabilidad, —_disponibilidad —y continuidad de la plataforma tecnologica. No se han establecido controles en este nivel de riesgo. Alto Requicre una atencién intermedia ya que su impacto representaria riesgos sobre seguridad, _integridad, Medio efectividad, eficiencia, confidencialidad, confiabilidad, disponibilidad y continuidad de Ia plataforma tecnologica. Se han establecido controles insuficientes en este nivel de riesgo. Requiere una atencién no prioritaria ya que su impacto no es directamente sobre seguridad, integridad, efectividad, eficiencia, confidencialidad, confiabilidad, disponibilidad y continuidad de la plataforma tecnologica. Se han establecido controles adecuados en este nivel de riesgo. Bajo ‘Una Firma, un respaldo www: carvajaler.comHOD Ta|HVAIDS AN Cppodson un Duc DUN, ° ugioypuoa vse woo ajduana og | > oer up sopeoqusodiiba | 9rv oO “ugfopuoa wa won aydamo ag | 7 copays ose 01 | sv oO iopeu ap sound op pase wun awe x ovaiouoo ap sapaiea | oL'¥ ° - Pp ‘openiso ajuowrnyoqduioo sede | erV map oO otaypaos 2 woo ajduanaag | /® ae | ae : opus oO : waqueo no ase aqtans as |S ap emp sod open ap Comanuowy | _Y oO agtopuoa wo woo ayduno ag | 7® rap ap semsery | Orv C wos vIS9 UO >ICUIND 9% p incense o ‘pptpece names) of te woquguaeja wistiey woo _osmooy | OY 0 ‘woraypuos vse woo aydiana ag | 7S tunfosossooe ap euong |v [ 7 7 ‘SOUT Oo f | 10d sopegnduose wos _souong | 4 o P| omnce open moseun | 9 a ‘UpRAySp PoHBALIOHTAT o | ts ap_jouosiod_e opitinnsas osaaoy | SY ndOS SP o| , cennao &orsipa ye oso ap seioamg |__*¥ SpE ° s & osastuy_op_ sodmbo op uowazy | &¥ Tara o i tf wos Kowa yonosag | °¥ oO SopazOIME BE UBGRP SOD | A oxaifut ap uoiasauome ap 020% | FW vols @varinoas °¥ TWD) XLWoo DRIES NN ‘Opjedsoa un DuLAy, PUN, 2.u9 o1nypa ono ungoy | 1c'V oun 0 Spans r : Tasos ween imag | P vapopeay | _ae¥ sppapuoa ao von ayaunaag | | opeargjeuvs & opeqnqus opeaiqe | 61'V ppuos wo wo alunos | > vp snappy 2p ee [ai ‘uororpuos iso aos aqduna ag |S sopumiiose ugise sppersor | LV oy WIV) XC