La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Servicio de Auditoría Interna1 RESPONSABILIDAD CORPORATIVA EN LA PROMOCION DE LA INTEGRIDAD. Mexico, Octubre 2.008.

Presentaciones similares


Presentación del tema: "Servicio de Auditoría Interna1 RESPONSABILIDAD CORPORATIVA EN LA PROMOCION DE LA INTEGRIDAD. Mexico, Octubre 2.008."— Transcripción de la presentación:

1 Servicio de Auditoría Interna1 RESPONSABILIDAD CORPORATIVA EN LA PROMOCION DE LA INTEGRIDAD. Mexico, Octubre 2.008

2 Servicio de Auditoría Interna2 acciones repercusiones positivas afirman los principios y valores demás actores Por Responsabilidad Corporativa se entiende el conjunto de acciones que toman en consideración las organizaciones para que sus actividades tengan repercusiones positivas sobre la Sociedad y que afirman los principios y valores por los que se rigen, tanto en sus propios métodos y procesos internos como en su relación con los demás actores. (O.I.T) CONCEPTO

3 Servicio de Auditoría Interna3 VISION GENERAL DE LA RESPONSABILIDAD CORPORATIVA EN LA ADMINISTRACION TRIBUTARIA. RESPONSABILIDAD CORPORATIVA RESPONSABILIDAD CORPORATIVA PERSONAS Y ALIANZAS CONTRIBUYENTES SOCIEDAD Control de conductas. Desarrollo profesional. Compromisos diversos. Cartas de Servicios. Catálogo de derechos. Canales de Participación. Garantía de Eficacia, Equidad, Legalidad Transparencia.

4 Servicio de Auditoría Interna4 ASPECTOS A CONSIDERAR 1.- EL CONTROL DE LAS CONDUCTAS (A.E.A.T) 2.- UN CANAL DE PARTICIPACIÓN CIUDADANA: PRODEMIENTO DE QUEJAS Y SUGERENCIAS. (A.E.A.T) 3.- PROTECCION AL EMPLEADO PUBLICO QUE DENUNCIA UNA CONDUCTA Y SU TRAMITACION EN LA OFICINA DE ASUNTOS INTERNOS (C.R.A)

5 Servicio de Auditoría Interna5 EL CONTROL DE LAS CONDUCTAS EN LA A.E.AT.

6 Servicio de Auditoría Interna6 1.- ORGANOS COMPETENTES. 2.- TIPOLOGIA DE LAS ACTUACIONES DE CONTROL. 3.- PROCEDIMIENTOS DE CONTROL. (Seguridad Informática y Accesos a las Bases de Datos Tributarias) 4.-PROCEDIMIENTO DE RECEPCION, TRAMITACION Y RESOLUCION DE QUEJAS. ESQUEMA GENERAL

7 Servicio de Auditoría Interna7 ORGANOS COMPETENTES Y FUNCIONES

8 Servicio de Auditoría Interna8 1- SERVICIO DE AUDITORIA INTERNA. (Prevención, Detección e Investigación de Conductas) 2.-COMISIONES SECTORIALES DE SEGURIDAD Y CONTROL. (Análisis, Control y Seguimiento de Riesgos) 3.-DIRECTOR GENERAL, DIRECTORES Y DELEGADOS. (Iniciación, Instrucción y Resolución de Expedientes sancionadores) 4.- DEPARTAMENTO DE RR.HH. (Dirección, Coordinación y Asistencia Técnica en la tramitación de Expedientes Disciplinarios)

9 Servicio de Auditoría Interna9 DE AUDITORIA INTERNA SERVICIO DE AUDITORIA INTERNA 1.- ESTRUCTURA ORGANICA Y FUNCIONAL. Independencia. Objetividad. 2.- COMPETENCIAS: La prevención y detección de las conductas irregulares, la coordinación, en la forma que se determine por el Director General de la Agencia, de las acciones relativas a los mismos y, en su caso, su investigación, así como el análisis y evaluación de los sistemas de seguridad y control interno de la Agencia

10 Servicio de Auditoría Interna10 El informe y elaboración de las propuestas que el titular de la Dirección General formula en los expedientes de compatibilidad. El apoyo al Consejo para la Defensa del Contribuyente para la recepción, tramitación y resolución de quejas y sugerencias

11 Servicio de Auditoría Interna11 COMISIONES SECTORIALES DE SEGURIDAD Y CONTROL. SON ORGANOS COLEGIADOS, DE COMPOSICION MIXTA AUNQUE CON PREDOMINIO DEL AREA DE ACTIVIDAD. SURGEN EN RESPUESTA A RIESGOS CONCRETOS MATERIALIZADOS EN LA AEAT. SU OBJETIVO FUNDAMENTAL ES: - Detectar e inventariar puntos de riesgo. - Analizar y Evaluar deficiencias y debilidades de control. - Acordar y hacer operativas medidas correctoras. FORMA PARTE DE ELLAS COMO VICEPRESIDENTE UN INSPECTOR DE SERVICIOS DEL S.A.I.

12 Servicio de Auditoría Interna12 TIPOLOGIA DE LAS ACTUACIONES DE CONTROL

13 Servicio de Auditoría Interna13 LAS ACTUACIONES DE CARÁCTER PREVENTIVO 4OBJETIVO: Prevención de Conductas Irregulares en relación con el incorrecto uso de la información contenida en las bases de datos tributarios. Tiene una fuerte vinculación con la seguridad de los sistemas de información.

14 Servicio de Auditoría Interna14 4EL DESARROLLO DE LAS ACTUACIONES DE CARÁCTER PREVENTIVO Las actuaciones de carácter preventivo se desarrollan mediante dos tipos de procesos vinculados: 1.- EL PROCESO DE SEGURIDAD INFORMÁTICA. 2.- EL PROCESO DE GESTION DE USUARIOS.

15 Servicio de Auditoría Interna15 Involucran en su diseño y ejecución a diferentes órganos de la AEAT, desempeñando el SAI el papel de inspector. yComisión de Seguridad y Control de Informática yDirectores de Áreas o Departamentos y de Oficinas Territoriales yAdministradores de Seguridad (Gestión de usuarios) yAutorizadores (gestionan puntos de control de las aplicaciones) yControladores (control accesos) yUsuario Interno y Externo. yUsuario externo 4ORGANOS INVOLUCRADOS EN LOS PROCESOS:

16 Servicio de Auditoría Interna16 Los roles principales de la política de seguridad de la AEAT son los siguientes: (Basados en un documento de seguridad y en un procedimiento especifico para su gestión) Responsable de Seguridad: Asume la responsabilidad de la seguridad de la información en el ámbito correspondiente. 4ROLES PRINCIPALES DEL PROCESO DE SEGURIDAD INFORMATICA:

17 Servicio de Auditoría Interna17 Administrador de Seguridad: Se encarga, bajo la dependencia del Responsable de Seguridad, de asegurar el buen funcionamiento y control de la política de seguridad informática. Cada ámbito territorial y departamental dispone de un Administrador de Seguridad. Controlador: Controla los accesos a la información de un conjunto de usuarios, verificando que el acceso está justificado por el trabajo desempeñado. Autorizador: Concede autorizaciones a un conjunto de usuarios del sistema de información, que tiene asignados.

18 Servicio de Auditoría Interna18 4ASPECTOS PRINCIPALES DEL PROCESO DE GESTION DE USUARIOS: La GESTION DE USUARIOS es el conjunto de operaciones cuyo objetivo es que los usuarios tengan un adecuado nivel de acceso al sistema de información de la AEAT, que les facilite el desempeño de su trabajo, garantizando la seguridad de la información. Cada usuario dispone de un solo usuario de acceso al sistema informático de la AEAT, denominado usuario único (simple sign on).

19 Servicio de Auditoría Interna19 Los procedimientos de gestión de usuarios y concesión de autorizaciones están formalizados, documentados y automatizados, configurando un sistema auditable. El Administrador de Seguridad de cada ámbito, la Comisión de Seguridad y el SAI supervisan el buen funcionamiento del sistema.

20 Servicio de Auditoría Interna20 4ALTA, BAJA Y REVOCACIÓN DEL CÓDIGO DE USUARIO. 1º.- A cada empleado de la AEAT se le concede un código de usuario del sistema por el Administrador de Seguridad que le corresponde y una contraseña que es personal e intransferible. 2º.- El empleado debe utilizar la contraseña únicamente para su actividad laboral en la AEAT, efectuando consultas a información o tomando decisiones en los procedimientos automatizados que implican mantenimiento de datos. 3º.- El código de usuario es revocado si el usuario efectúa varios reintentos infructuosos de acceso. 4º.- El código se da de baja cuando el empleado deja de prestar servicio en la AEAT.

21 Servicio de Auditoría Interna21 4CONCESIÓN DE PERFILES Y AUTORIZACIONES. 1.- El conjunto de autorizaciones que se concede a un nuevo usuario trata de incluir las opciones del sistema de información que va a necesitar en el desempeño de su trabajo. 2.-A este perfil inicial se incorporan otras autorizaciones que deben ser concedidas por el autorizador competente, a solicitud de un responsable de la unidad. 3.- Ciertas autorizaciones especiales sólo pueden ser concedidas por ciertos autorizadores o por los Administradores de Seguridad.

22 Servicio de Auditoría Interna Los Departamentos responsables funcionales de las aplicaciones deben mantener eficazmente perfiles tipo. 5.-Bajo ciertas condiciones, se puede revocar automáticamente la autorización de un usuarios para las opciones que no son utilizadas.

23 Servicio de Auditoría Interna23 LA DETECCION DE CONDUCTAS IRREGULARES –Se encaminan a identificar a los empleados que pudieran haber incurrido en la comisión de conductas irregulares, así como los posibles colaboradores necesarios en la comisión del hecho. –También se realiza para detectar posibles incompatibilidades del personal de la AEAT.

24 Servicio de Auditoría Interna24 Aplicaciones informáticas para el control de los accesos. (CONTROLA). CRUCES informáticos para detectar incompatibilidades. 4CLASES DE ACTUACIONES DE DETECCION

25 Servicio de Auditoría Interna25 4CARACTERISTICAS DE LA APLICACIÓN INFOMATICA CONTROLA El control de los accesos es el proceso seguido para registrar los accesos de los usuarios a la información, almacenar los accesos en un soporte adecuado para su análisis y recuperación, y establecer una supervisión de esos accesos conforme a unas pautas de comportamiento aprobadas por la Dirección de la AEAT. Los procedimientos de control de accesos están formalizados, documentados y automatizados, configurando un sistema auditable. El Administrador de Seguridad de cada ámbito, la Comisión de Seguridad y el SAI supervisan el buen funcionamiento del sistema.

26 Servicio de Auditoría Interna26 Cada vez que un usuario accede al sistema de información corporativo para una consulta o para una actividad de gestión, debe declarar el motivo del acceso. El acceso queda registrado, con un conjunto de datos técnicos y administrativos que permiten su control posterior. El registro de los accesos a todos los subsistemas es consolidado cada quince días por una única aplicación de control de accesos (CONTROLA) para toda la AEAT. En ocasiones, se realizan controles especiales cruzando información de varias fuentes. En la AEAT, la gestión de los usuarios y el control de accesos emplea tecnologías de análisis de información propias (ZÚJAR). 4 REGISTRO DE LOS ACCESOS.

27 Servicio de Auditoría Interna27 La aplicación CONTROLA realiza un análisis de riesgo para determinar los accesos que son susceptibles de presentar una cierta incoherencia con las tareas desempeñadas por el usuario. Los accesos seleccionados deben ser explicados por los usuarios y la justificación debe ser aceptada por el controlador del usuario en un proceso administrativo que está automatizado. Bajo ciertas condiciones, los accesos no justificados pueden dar lugar a un expediente disciplinario. Los resultados obtenidos en el proceso de control de los accesos retroalimentan el sistema, mediante las opciones estadísticas de CONTROLA y los informes que elaboran los Administradores de Seguridad. 4CONTROL DE LOS ACCESOS

28 Servicio de Auditoría Interna28 AUTORIZADORESUSUARIO PERFIL DE ACCESO ADMINISTRADOR DE SEGURIDAD IDENTIFICACION CONTRASEÑA ACCESO A B.D. TRIBUTARIA REGISTRO AUTOMATICO DE ACCESOS CONTROL ANALISIS RIESGOS CONTROLADOR JUSTIFICACION

29 Servicio de Auditoría Interna29 CESION DE LOS ACCESOS A LA INFORMACION La información tributaria y aduanera de la AEAT no puede ser cedida a otros organismos públicos, excepto cuando existe una norma que lo autoriza explícitamente. La Ley General Tributaria habilita a la AEAT para ceder la información a determinados organismos públicos con el fin de luchar contra el fraude: fiscal, aduanero, a la Seguridad Social, en la percepción de subvenciones, etc. La normativa también permite la cesión de información a otros organismos públicos para evitar la petición directa de certificados a la AEAT por parte de los ciudadanos, siempre que éstos autoricen la cesión. 4PROPÓSITO DE LAS CESIONES

30 Servicio de Auditoría Interna30 ¥Las cesiones de información están generalmente sometidas a un Convenio o Acuerdo entre la AEAT y el otro organismo, que regula las características de los intercambios. ¥Las cesiones de información están automatizadas: En la mayoría de los casos, se emplean aplicativos específicos y sistemas automáticos de transmisión que aseguran la autenticación, integridad, confidencialidad y no repudio del mensaje. Ciertos organismos públicos disponen de usuarios externos del sistema de información de la AEAT, con los que pueden acceder on line a ciertos contenidos e información, de manera limitada. 4PROCEDIMIENTO DE LAS CESIONES:

31 Servicio de Auditoría Interna31 4CONTROL DE LAS CESIONES: Los Convenios y Acuerdos contienen cláusulas específicas que estipulan que: 1.El Servicio de Auditoría Interna de la AEAT puede supervisar el cumplimiento de las condiciones de la cesión. 2.El organismo cesionario debe implantar medidas de protección de la información eficaces, por ejemplo contar con un Documento de Seguridad. Los organismos que tienen acceso on line a las bases de datos de la AEAT, deben efectuar un control de accesos equivalente al de la AEAT, que se encarga de supervisar el SAI elaborando un informe anual del estado de la cuestión.

32 Servicio de Auditoría Interna32 4CRUCES PARA LA DETECCION DE INCOMPATIBILIDADES. -Retribuciones del personal de la AEAT satisfechas por terceros (informe anual) Actividades públicas: Profesor Universitario Asociado Actividades Privadas -Docencia Privada -Actividades Profesionales -Ejercicio de cargos en Consejos de Administración u órganos de Gobierno de Entidades Privadas (R.M.) (informe anual)

33 Servicio de Auditoría Interna33 EL PAPEL DE AUDITORIA INTERNA EN LA ACTIVIDAD DE CONTROL SOBRE CONDUCTAS. El rol del Servicio de Auditoría en la supervisión y control de la seguridad de la información se resume en: 1º) La participación en la Comisión de Seguridad y Control de Informática Tributaria y en sus Grupos de Trabajo técnicos. El SAI actúa como dinamizador de la Comisión de Seguridad y Control de Informática Tributaria, dirigiendo distintos Grupos de Trabajo. 2º) La realización de actuaciones de auditoría (Inspección de los Servicios y auditoría informática), incluidas en el Plan de Actuaciones anual del SAI.

34 Servicio de Auditoría Interna34 3º) Verificación de la gestión de la seguridad de la información realizada por los Responsables y Administradores de Seguridad, determinando entre otras cuestiones, si: Se tramitan con rapidez las altas y bajas, así como las opciones solicitadas por los usuarios. Se controlan de manera eficaz y en plazo los accesos a la información residente en los sistemas corporativos. 4º) Comprobación de la infraestructuras de seguridad informática, mediante actuaciones de auditoría informática en el Departamento de Informática Tributaria, determinando entre otras cuestiones si:

35 Servicio de Auditoría Interna35 Se registran los accesos a la información de forma exhaustiva. Se dispone de un adecuado sistema de salvaguardas y de un Plan de Contingencias. 5º) Comprobación del cumplimiento de las instrucciones de seguridad informática, mediante actuaciones de auditoría informática en las Dependencias Regionales de Informática, determinando entre otras cuestiones si: Las redes de área local y los equipos se configuran adecuadamente. La información de carácter personal se protege convenientemente en los entornos de red.

36 Servicio de Auditoría Interna36 LA INVESTIGACION DE CONDUCTAS 1.- ASPECTOS GENERALES: A diferencia de las actuaciones de prevención y detección, buscan obtener evidencias y pruebas de conductas irregulares. En función de los medios que se utilicen pueden ser ordinarias y especiales. Unas y otras son realizadas por Inspectores de los Servicios del S.A.I. Las actuaciones de investigación especiales se realizan por un área específica dentro de la estructura organizativa del SAI

37 Servicio de Auditoría Interna INVESTIGACIONES CONVENCIONALES : Serían las orientadas a recabar información relevante de entre la disponible en una Organización (en sus archivos, locales, bases de datos y ordenadores en general), y en los Registros Públicos a los que se pueda acceder libremente. El inicio de éstas actuaciones, requiere simplemente orden de servicio expedida por el Director del Organo de Auditoria Interna. 2.- INVESTIGACIONES ESPECIALES : Estas actuaciones estarían dirigidas a obtener y aportar información y pruebas sobre conductas o hechos privados o públicos, en la medida en que tales informaciones, pruebas o conductas no consten en la Organización ni en los Registros Públicos a los que se pueda acceder libremente. Se consideran conductas o hechos privados los que afecten al ámbito económico, laqboral, mercantil, financiera y, en general, a la vida personal, familiar o social, exceptuada la que se desarrolle en los domicilios o lugares reservados.

38 Servicio de Auditoría Interna CARÁCTER Y ALCANCE DE LAS ACTUACIONES Consideración de actuaciones reservadas y confidenciales En la medida que les resulte aplicable, se rigen por las normas de procedimientos de la Inspección de los Servicios. En especial, le son de aplicación un protocolo de actuaciones específico. Requieren en todo caso, una autorización previa del máximo responsable del S.A.I.

39 Servicio de Auditoría Interna39 Finalizan en un informe dirigido al Director General y/o al Director del Area funcional correspondiente, donde se expresen: RELATO DE LOS HECHOS INVESTIGADOS. RECOPILACIÓN DE LOS MEDIOS Y LAS PRUEBAS OBTENIDAS DURANTE LA INVESTIGACIÓN. EN SU CASO, UNA CALIFICACIÓN SOBRE LAS IRREGULARIDADES ENCONTRADAS.

40 Servicio de Auditoría Interna NORMAS DE ACTUACIÓN Estas normas afectan a todo el personal del órgano de auditoría interna que intervenga en una actuación de investigación. DERECHOS Y OBLIGACONES DE CARÁCTER GENERAL Aplicables a cualquier tipo de actuación propia del órgano de auditoría interna. DERECHOS: Recabar la máxima colaboración de cualquier Órgano o Servicio de la AEAT. Libre acceso a locales, documentación e información Acceso irrestricto a las Bases de Datos de la AEAT Denunciar cualquier actuación tendente a obstaculizar su función o menoscabar su independencia.

41 Servicio de Auditoría Interna41 OBLIGACIONES: Sigilo profesional (todos los datos, antecedentes, e informes a que tenga acceso) Identificarse DERECHOS Y OBLIGACONES DE CARÁCTER GENERAL Vigilancia de locales y establecimientos Investigación y seguimiento de personas. Obtención de información de carácter interno Accesos a información de Bases de Datos tanto de la AEAT como de Instituciones públicas o privadas con las que la AEAT tenga establecido Convenio.

42 Servicio de Auditoría Interna42 OBLIGACIONES: Comunicación al Ministerio Fiscal a través del Servicio Jurídico de la AEAT de hechos que pudieran ser constitutivos de delito o falta penal, pudiendo continuar sus actuaciones. Si los hechos son constitutivos de delitos tipificados en el Código Penal como cometidos por funcionarios públicos deberán suspenderse las actuaciones. En ningún caso podrían utilizarse medios o técnicas que: a)Menoscaben el derecho al honor, intimidad, personal o familiar, la imagen, secreto de comunicaciones. b)Recabar información sobre creencias ideológicas, políticas o sindicales. c)Conculcar derechos y libertades de las personas

43 Servicio de Auditoría Interna43 ESQUEMA DEL PROCESO DE PARTICIPACION CIUDADANA : LA TRAMITACION DE QUEJAS

44 Servicio de Auditoría Interna44 CARACTERISTICAS: Su resolución se atribuye a un órgano colegiado orgánica y funcionalmente independiente. La participación del S.A.I es esencial, prestando apoyo técnico y administrativo, con una infraestructura de unidades territorializadas. Hace intervenir necesariamente al jefe superior inmediato del funcionario responsable de la actuación. El contribuyente tiene conocimiento puntual de todas las actuaciones y acuerdos adoptados durante la tramitación.

45 Servicio de Auditoría Interna45 PROCEDIMIENTO DE TRAMITACIÓN DE QUEJAS CONTRIBUYENTE UNIDAD RECEPTORA (una por cada oficina abierta al público) UNIDAD OPERATIVA COMISIÓN PERMANENTE PLENO SERVICIO RESPONSABLE Copia de la contestación Petición de informe Análisis de quejas Propuesta s al Secretario de Estado Revocación Propuestas normativas Disconformidad en 15 días Segunda contestación Quejas Contestación Segundas contestaciones (disconformidad) Análisis de las quejas GRUPOS DE TRABAJO

46 Servicio de Auditoría Interna AMBITO: CONDUCTAS IRREGULARES. 2.- ORGANOS COMPETENTES. 3.- TIPOLOGIA DE LAS ACTUACIONES DE CONTROL. 4.- ACTUACIONES PREVENTIVAS. 5.- CTUACIONES DE DETECCION. 6.- ACTUACIONES DE INVESTIGACION.

47 Servicio de Auditoría Interna47 FIN DE LA PRESENTACIÓN


Descargar ppt "Servicio de Auditoría Interna1 RESPONSABILIDAD CORPORATIVA EN LA PROMOCION DE LA INTEGRIDAD. Mexico, Octubre 2.008."

Presentaciones similares


Anuncios Google