La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

RESPONSABILIDAD CORPORATIVA EN LA PROMOCION DE LA INTEGRIDAD.

Presentaciones similares


Presentación del tema: "RESPONSABILIDAD CORPORATIVA EN LA PROMOCION DE LA INTEGRIDAD."— Transcripción de la presentación:

1 RESPONSABILIDAD CORPORATIVA EN LA PROMOCION DE LA INTEGRIDAD.
Mexico, Octubre 2.008

2 CONCEPTO Por Responsabilidad Corporativa se entiende el conjunto de acciones que toman en consideración las organizaciones para que sus actividades tengan repercusiones positivas sobre la Sociedad y que afirman los principios y valores por los que se rigen, tanto en sus propios métodos y procesos internos como en su relación con los demás actores. (O.I.T)

3 RESPONSABILIDAD CORPORATIVA CONTRIBUYENTES SOCIEDAD
VISION GENERAL DE LA RESPONSABILIDAD CORPORATIVA EN LA ADMINISTRACION TRIBUTARIA. PERSONAS Y ALIANZAS Control de conductas. Desarrollo profesional. Compromisos diversos. RESPONSABILIDAD CORPORATIVA CONTRIBUYENTES Cartas de Servicios. Catálogo de derechos. Canales de Participación. SOCIEDAD Garantía de Eficacia, Equidad, Legalidad Transparencia.

4 ASPECTOS A CONSIDERAR 1.- EL CONTROL DE LAS CONDUCTAS (A.E.A.T)
2.- UN CANAL DE PARTICIPACIÓN CIUDADANA: PRODEMIENTO DE QUEJAS Y SUGERENCIAS. (A.E.A.T) 3.- PROTECCION AL EMPLEADO PUBLICO QUE DENUNCIA UNA CONDUCTA Y SU TRAMITACION EN LA OFICINA DE ASUNTOS INTERNOS (C.R.A)

5 EL CONTROL DE LAS CONDUCTAS EN LA A.E.AT.

6 ESQUEMA GENERAL 1.- ORGANOS COMPETENTES.
2.- TIPOLOGIA DE LAS ACTUACIONES DE CONTROL. 3.- PROCEDIMIENTOS DE CONTROL. (Seguridad Informática y Accesos a las Bases de Datos Tributarias) 4.- PROCEDIMIENTO DE RECEPCION, TRAMITACION Y RESOLUCION DE QUEJAS.

7 ORGANOS COMPETENTES Y FUNCIONES

8 1- SERVICIO DE AUDITORIA INTERNA.
(Prevención, Detección e Investigación de Conductas) 2.- COMISIONES SECTORIALES DE SEGURIDAD Y CONTROL. (Análisis, Control y Seguimiento de Riesgos) 3.- DIRECTOR GENERAL, DIRECTORES Y DELEGADOS. (Iniciación, Instrucción y Resolución de Expedientes sancionadores) 4.- DEPARTAMENTO DE RR.HH. (Dirección, Coordinación y Asistencia Técnica en la tramitación de Expedientes Disciplinarios)

9 SERVICIO DE AUDITORIA INTERNA
1.- ESTRUCTURA ORGANICA Y FUNCIONAL. Independencia. Objetividad. 2.- COMPETENCIAS: “La prevención y detección de las conductas irregulares, la coordinación, en la forma que se determine por el Director General de la Agencia, de las acciones relativas a los mismos y, en su caso, su investigación, así como el análisis y evaluación de los sistemas de seguridad y control interno de la Agencia.”

10 “El informe y elaboración de las propuestas que el titular de la Dirección General formula en los expedientes de compatibilidad.” “El apoyo al Consejo para la Defensa del Contribuyente para la recepción, tramitación y resolución de quejas y sugerencias”

11 COMISIONES SECTORIALES DE SEGURIDAD Y CONTROL.
SON ORGANOS COLEGIADOS, DE COMPOSICION MIXTA AUNQUE CON PREDOMINIO DEL AREA DE ACTIVIDAD. SURGEN EN RESPUESTA A RIESGOS CONCRETOS MATERIALIZADOS EN LA AEAT. SU OBJETIVO FUNDAMENTAL ES: - Detectar e inventariar puntos de riesgo. - Analizar y Evaluar deficiencias y debilidades de control. - Acordar y hacer operativas medidas correctoras. FORMA PARTE DE ELLAS COMO VICEPRESIDENTE UN INSPECTOR DE SERVICIOS DEL S.A.I.

12 TIPOLOGIA DE LAS ACTUACIONES DE CONTROL

13 LAS ACTUACIONES DE CARÁCTER PREVENTIVO
OBJETIVO: Prevención de Conductas Irregulares en relación con el incorrecto uso de la información contenida en las bases de datos tributarios. Tiene una fuerte vinculación con la seguridad de los sistemas de información.

14 EL DESARROLLO DE LAS ACTUACIONES DE CARÁCTER PREVENTIVO
Las actuaciones de carácter preventivo se desarrollan mediante dos tipos de procesos vinculados: 1.- EL PROCESO DE SEGURIDAD INFORMÁTICA. 2.- EL PROCESO DE GESTION DE USUARIOS.

15 ORGANOS INVOLUCRADOS EN LOS PROCESOS:
Involucran en su diseño y ejecución a diferentes órganos de la AEAT, desempeñando el SAI el papel de inspector. Comisión de Seguridad y Control de Informática Directores de Áreas o Departamentos y de Oficinas Territoriales Administradores de Seguridad (Gestión de usuarios) Autorizadores (gestionan puntos de control de las aplicaciones) Controladores (control accesos) Usuario Interno y Externo. Usuario externo

16 ROLES PRINCIPALES DEL PROCESO DE SEGURIDAD INFORMATICA:
Los roles principales de la política de seguridad de la AEAT son los siguientes: (Basados en un documento de seguridad y en un procedimiento especifico para su gestión) Responsable de Seguridad: Asume la responsabilidad de la seguridad de la información en el ámbito correspondiente.

17 Administrador de Seguridad: Se encarga, bajo la dependencia del Responsable de Seguridad, de asegurar el buen funcionamiento y control de la política de seguridad informática. Cada ámbito territorial y departamental dispone de un Administrador de Seguridad. Controlador: Controla los accesos a la información de un conjunto de usuarios, verificando que el acceso está justificado por el trabajo desempeñado. Autorizador: Concede autorizaciones a un conjunto de usuarios del sistema de información, que tiene asignados.

18 ASPECTOS PRINCIPALES DEL PROCESO DE GESTION DE USUARIOS:
La GESTION DE USUARIOS es el conjunto de operaciones cuyo objetivo es que los usuarios tengan un adecuado nivel de acceso al sistema de información de la AEAT, que les facilite el desempeño de su trabajo, garantizando la seguridad de la información. Cada usuario dispone de un solo usuario de acceso al sistema informático de la AEAT, denominado usuario único (“simple sign on”).

19 Los procedimientos de gestión de usuarios y concesión de autorizaciones están formalizados, documentados y automatizados, configurando un sistema auditable. El Administrador de Seguridad de cada ámbito, la Comisión de Seguridad y el SAI supervisan el buen funcionamiento del sistema.

20 ALTA, BAJA Y REVOCACIÓN DEL CÓDIGO DE USUARIO.
1º.- A cada empleado de la AEAT se le concede un código de usuario del sistema por el Administrador de Seguridad que le corresponde y una contraseña que es personal e intransferible. 2º.- El empleado debe utilizar la contraseña únicamente para su actividad laboral en la AEAT, efectuando consultas a información o tomando decisiones en los procedimientos automatizados que implican mantenimiento de datos. 3º.- El código de usuario es revocado si el usuario efectúa varios reintentos infructuosos de acceso. 4º.- El código se da de baja cuando el empleado deja de prestar servicio en la AEAT.

21 CONCESIÓN DE PERFILES Y AUTORIZACIONES.
1.- El conjunto de autorizaciones que se concede a un nuevo usuario trata de incluir las opciones del sistema de información que va a necesitar en el desempeño de su trabajo. 2.-A este perfil inicial se incorporan otras autorizaciones que deben ser concedidas por el autorizador competente, a solicitud de un responsable de la unidad. 3.- Ciertas autorizaciones especiales sólo pueden ser concedidas por ciertos autorizadores o por los Administradores de Seguridad.

22 4.- Los Departamentos responsables funcionales de las aplicaciones deben mantener eficazmente perfiles tipo. 5.- Bajo ciertas condiciones, se puede revocar automáticamente la autorización de un usuarios para las opciones que no son utilizadas.

23 LA DETECCION DE CONDUCTAS IRREGULARES
Se encaminan a identificar a los empleados que pudieran haber incurrido en la comisión de conductas irregulares, así como los posibles colaboradores necesarios en la comisión del hecho. También se realiza para detectar posibles incompatibilidades del personal de la AEAT.

24 CLASES DE ACTUACIONES DE DETECCION
Aplicaciones informáticas para el control de los accesos. (CONTROLA). CRUCES informáticos para detectar incompatibilidades.

25 CARACTERISTICAS DE LA APLICACIÓN INFOMATICA CONTROLA
El control de los accesos es el proceso seguido para registrar los accesos de los usuarios a la información, almacenar los accesos en un soporte adecuado para su análisis y recuperación, y establecer una supervisión de esos accesos conforme a unas pautas de comportamiento aprobadas por la Dirección de la AEAT. Los procedimientos de control de accesos están formalizados, documentados y automatizados, configurando un sistema auditable. El Administrador de Seguridad de cada ámbito, la Comisión de Seguridad y el SAI supervisan el buen funcionamiento del sistema.

26 REGISTRO DE LOS ACCESOS.
Cada vez que un usuario accede al sistema de información corporativo para una consulta o para una actividad de gestión, debe declarar el motivo del acceso. El acceso queda registrado, con un conjunto de datos técnicos y administrativos que permiten su control posterior. El registro de los accesos a todos los subsistemas es consolidado cada quince días por una única aplicación de control de accesos (“CONTROLA”) para toda la AEAT. En ocasiones, se realizan controles especiales cruzando información de varias fuentes. En la AEAT, la gestión de los usuarios y el control de accesos emplea tecnologías de análisis de información propias (“ZÚJAR”).

27 CONTROL DE LOS ACCESOS La aplicación CONTROLA realiza un análisis de riesgo para determinar los accesos que son susceptibles de presentar una cierta incoherencia con las tareas desempeñadas por el usuario. Los accesos seleccionados deben ser explicados por los usuarios y la justificación debe ser aceptada por el controlador del usuario en un proceso administrativo que está automatizado. Bajo ciertas condiciones, los accesos no justificados pueden dar lugar a un expediente disciplinario. Los resultados obtenidos en el proceso de control de los accesos retroalimentan el sistema, mediante las opciones estadísticas de CONTROLA y los informes que elaboran los Administradores de Seguridad.

28 REGISTRO AUTOMATICO DE ACCESOS
ADMINISTRADOR DE SEGURIDAD AUTORIZADORES USUARIO PERFIL DE ACCESO IDENTIFICACION CONTRASEÑA ACCESO A B.D. TRIBUTARIA JUSTIFICACION ANALISIS RIESGOS REGISTRO AUTOMATICO DE ACCESOS CONTROL CONTROLADOR

29 CESION DE LOS ACCESOS A LA INFORMACION
PROPÓSITO DE LAS CESIONES La información tributaria y aduanera de la AEAT no puede ser cedida a otros organismos públicos, excepto cuando existe una norma que lo autoriza explícitamente. La Ley General Tributaria habilita a la AEAT para ceder la información a determinados organismos públicos con el fin de luchar contra el fraude: fiscal, aduanero, a la Seguridad Social, en la percepción de subvenciones, etc. La normativa también permite la cesión de información a otros organismos públicos para evitar la petición directa de certificados a la AEAT por parte de los ciudadanos, siempre que éstos autoricen la cesión.

30 PROCEDIMIENTO DE LAS CESIONES:
Las cesiones de información están generalmente sometidas a un Convenio o Acuerdo entre la AEAT y el otro organismo, que regula las características de los intercambios. Las cesiones de información están automatizadas: En la mayoría de los casos, se emplean aplicativos específicos y sistemas automáticos de transmisión que aseguran la autenticación, integridad, confidencialidad y no repudio del mensaje. Ciertos organismos públicos disponen de usuarios “externos” del sistema de información de la AEAT, con los que pueden acceder on line a ciertos contenidos e información, de manera limitada.

31 CONTROL DE LAS CESIONES:
Los Convenios y Acuerdos contienen cláusulas específicas que estipulan que: El Servicio de Auditoría Interna de la AEAT puede supervisar el cumplimiento de las condiciones de la cesión. El organismo cesionario debe implantar medidas de protección de la información eficaces, por ejemplo contar con un Documento de Seguridad. Los organismos que tienen acceso on line a las bases de datos de la AEAT, deben efectuar un control de accesos equivalente al de la AEAT, que se encarga de supervisar el SAI elaborando un informe anual del estado de la cuestión.

32 CRUCES PARA LA DETECCION DE INCOMPATIBILIDADES.
Retribuciones del personal de la AEAT satisfechas por terceros (informe anual) • Actividades públicas: Profesor Universitario Asociado • Actividades Privadas - Docencia Privada - Actividades Profesionales Ejercicio de cargos en Consejos de Administración u órganos de Gobierno de Entidades Privadas (R.M.) (informe anual)

33 EL PAPEL DE AUDITORIA INTERNA EN LA ACTIVIDAD DE CONTROL SOBRE CONDUCTAS.
El rol del Servicio de Auditoría en la supervisión y control de la seguridad de la información se resume en: 1º) La participación en la Comisión de Seguridad y Control de Informática Tributaria y en sus Grupos de Trabajo técnicos. El SAI actúa como dinamizador de la Comisión de Seguridad y Control de Informática Tributaria, dirigiendo distintos Grupos de Trabajo. 2º) La realización de actuaciones de auditoría (Inspección de los Servicios y auditoría informática), incluidas en el Plan de Actuaciones anual del SAI.

34 3º) Verificación de la gestión de la seguridad de la información realizada por los Responsables y Administradores de Seguridad, determinando entre otras cuestiones, si: Se tramitan con rapidez las altas y bajas, así como las opciones solicitadas por los usuarios. Se controlan de manera eficaz y en plazo los accesos a la información residente en los sistemas corporativos. 4º) Comprobación de la infraestructuras de seguridad informática, mediante actuaciones de auditoría informática en el Departamento de Informática Tributaria, determinando entre otras cuestiones si:

35 Se registran los accesos a la información de forma exhaustiva.
Se dispone de un adecuado sistema de salvaguardas y de un Plan de Contingencias. 5º) Comprobación del cumplimiento de las instrucciones de seguridad informática, mediante actuaciones de auditoría informática en las Dependencias Regionales de Informática, determinando entre otras cuestiones si: Las redes de área local y los equipos se configuran adecuadamente. La información de carácter personal se protege convenientemente en los entornos de red.

36 LA INVESTIGACION DE CONDUCTAS
1.- ASPECTOS GENERALES: A diferencia de las actuaciones de prevención y detección, buscan obtener evidencias y pruebas de conductas irregulares. En función de los medios que se utilicen pueden ser ordinarias y especiales. Unas y otras son realizadas por Inspectores de los Servicios del S.A.I. Las actuaciones de investigación especiales se realizan por un área específica dentro de la estructura organizativa del SAI

37 1.- INVESTIGACIONES CONVENCIONALES: Serían las orientadas a recabar información relevante de entre la disponible en una Organización (en sus archivos, locales, bases de datos y ordenadores en general), y en los Registros Públicos a los que se pueda acceder libremente. El inicio de éstas actuaciones, requiere simplemente orden de servicio expedida por el Director del Organo de Auditoria Interna. 2.- INVESTIGACIONES ESPECIALES: Estas actuaciones estarían dirigidas a obtener y aportar información y pruebas sobre conductas o hechos privados o públicos, en la medida en que tales informaciones, pruebas o conductas no consten en la Organización ni en los Registros Públicos a los que se pueda acceder libremente. Se consideran conductas o hechos privados los que afecten al ámbito económico, laqboral, mercantil, financiera y, en general, a la vida personal, familiar o social, exceptuada la que se desarrolle en los domicilios o lugares reservados.

38 2.- CARÁCTER Y ALCANCE DE LAS ACTUACIONES
Consideración de actuaciones reservadas y confidenciales En la medida que les resulte aplicable, se rigen por las normas de procedimientos de la Inspección de los Servicios. En especial, le son de aplicación un protocolo de actuaciones específico. Requieren en todo caso, una autorización previa del máximo responsable del S.A.I.

39 Finalizan en un informe dirigido al Director General y/o al Director del Area funcional correspondiente, donde se expresen: RELATO DE LOS HECHOS INVESTIGADOS. RECOPILACIÓN DE LOS MEDIOS Y LAS PRUEBAS OBTENIDAS DURANTE LA INVESTIGACIÓN. EN SU CASO, UNA CALIFICACIÓN SOBRE LAS IRREGULARIDADES ENCONTRADAS.

40 3.- NORMAS DE ACTUACIÓN DERECHOS Y OBLIGACONES DE CARÁCTER GENERAL
Estas normas afectan a todo el personal del órgano de auditoría interna que intervenga en una actuación de investigación. DERECHOS Y OBLIGACONES DE CARÁCTER GENERAL Aplicables a cualquier tipo de actuación propia del órgano de auditoría interna. DERECHOS: Recabar la máxima colaboración de cualquier Órgano o Servicio de la AEAT. Libre acceso a locales, documentación e información Acceso irrestricto a las Bases de Datos de la AEAT Denunciar cualquier actuación tendente a obstaculizar su función o menoscabar su independencia.

41 DERECHOS Y OBLIGACONES DE CARÁCTER GENERAL
OBLIGACIONES: Sigilo profesional (todos los datos, antecedentes, e informes a que tenga acceso) Identificarse DERECHOS Y OBLIGACONES DE CARÁCTER GENERAL Vigilancia de locales y establecimientos Investigación y seguimiento de personas. Obtención de información de carácter interno Accesos a información de Bases de Datos tanto de la AEAT como de Instituciones públicas o privadas con las que la AEAT tenga establecido Convenio.

42 OBLIGACIONES: Comunicación al Ministerio Fiscal a través del Servicio Jurídico de la AEAT de hechos que pudieran ser constitutivos de delito o falta penal, pudiendo continuar sus actuaciones. Si los hechos son constitutivos de delitos tipificados en el Código Penal como “cometidos por funcionarios públicos” deberán suspenderse las actuaciones. En ningún caso podrían utilizarse medios o técnicas que: Menoscaben el derecho al honor, intimidad, personal o familiar, la imagen, secreto de comunicaciones. Recabar información sobre creencias ideológicas, políticas o sindicales. Conculcar derechos y libertades de las personas

43 ESQUEMA DEL PROCESO DE PARTICIPACION CIUDADANA : LA TRAMITACION DE QUEJAS

44 CARACTERISTICAS: Su resolución se atribuye a un órgano colegiado orgánica y funcionalmente independiente. La participación del S.A.I es esencial, prestando apoyo técnico y administrativo, con una infraestructura de unidades territorializadas. Hace intervenir necesariamente al jefe superior inmediato del funcionario responsable de la actuación. El contribuyente tiene conocimiento puntual de todas las actuaciones y acuerdos adoptados durante la tramitación.

45 PROCEDIMIENTO DE TRAMITACIÓN DE QUEJAS
CONTRIBUYENTE Segunda contestación Disconformidad en 15 días UNIDAD RECEPTORA (una por cada oficina abierta al público) SERVICIO RESPONSABLE Copia de la contestación UNIDAD OPERATIVA Petición de informe Análisis de quejas COMISIÓN PERMANENTE GRUPOS DE TRABAJO Análisis de quejas Quejas Contestación Segundas contestaciones (disconformidad) Análisis de las quejas Propuesta s al Secretario de Estado PLENO Revocación Propuestas normativas

46 1.- AMBITO: CONDUCTAS IRREGULARES.
2.- ORGANOS COMPETENTES. 3.- TIPOLOGIA DE LAS ACTUACIONES DE CONTROL. 4.- ACTUACIONES PREVENTIVAS. 5.- CTUACIONES DE DETECCION. 6.- ACTUACIONES DE INVESTIGACION.

47 FIN DE LA PRESENTACIÓN CONTRAPORTADA


Descargar ppt "RESPONSABILIDAD CORPORATIVA EN LA PROMOCION DE LA INTEGRIDAD."

Presentaciones similares


Anuncios Google