Presentaci

1
RESPONSABILIDAD CORPORATIVA EN LA PROMOCION DE LA
INTEGRIDAD.
Mexico, Octubre 2.008
2
CONCEPTO
Por Responsabilidad Corporativa se entiende el
conjunto de acciones que toman en consideración
las organizaciones para que sus actividades
tengan repercusiones positivas sobre la Sociedad
y que afirman los principios y valores por los
que se rigen, tanto en sus propios métodos y
procesos internos como en su relación con los
demás actores. (O.I.T)
3
VISION GENERAL DE LA RESPONSABILIDAD CORPORATIVA
EN LA ADMINISTRACION TRIBUTARIA.
PERSONAS Y ALIANZAS

• Control de conductas.
• Desarrollo profesional.
• Compromisos diversos.

RESPONSABILIDAD CORPORATIVA
CONTRIBUYENTES

• Cartas de Servicios.
• Catálogo de derechos.
• Canales de Participación.

SOCIEDAD

• Garantía de Eficacia, Equidad, Legalidad
• Transparencia.

4
ASPECTOS A CONSIDERAR
1.- EL CONTROL DE LAS CONDUCTAS (A.E.A.T) 2.- UN
CANAL DE PARTICIPACIÓN CIUDADANA PRODEMIENTO DE
QUEJAS Y SUGERENCIAS. (A.E.A.T) 3.- PROTECCION
AL EMPLEADO PUBLICO QUE DENUNCIA UNA CONDUCTA Y
SU TRAMITACION EN LA OFICINA DE ASUNTOS INTERNOS
(C.R.A)
5
EL CONTROL DE LAS CONDUCTAS EN LA A.E.AT.
6
ESQUEMA GENERAL
1.- ORGANOS COMPETENTES. 2.- TIPOLOGIA DE LAS
ACTUACIONES DE CONTROL. 3.- PROCEDIMIENTOS DE
CONTROL. (Seguridad Informática y Accesos a las
Bases de Datos Tributarias) 4.- PROCEDIMIENTO DE
RECEPCION, TRAMITACION Y RESOLUCION DE QUEJAS.
7
ORGANOS COMPETENTES Y FUNCIONES
8
1- SERVICIO DE AUDITORIA INTERNA. (Prevención,
Detección e Investigación de Conductas) 2.- COMISI
ONES SECTORIALES DE SEGURIDAD Y
CONTROL. (Análisis, Control y Seguimiento de
Riesgos) 3.- DIRECTOR GENERAL, DIRECTORES Y
DELEGADOS. (Iniciación, Instrucción y Resolución
de Expedientes sancionadores) 4.- DEPARTAMENTO DE
RR.HH. (Dirección, Coordinación y Asistencia
Técnica en la tramitación de Expedientes
Disciplinarios)
9
SERVICIO DE AUDITORIA INTERNA

• 1.- ESTRUCTURA ORGANICA Y FUNCIONAL.
• Independencia.
• Objetividad.
• 2.- COMPETENCIAS
• La prevención y detección de las conductas
  irregulares, la coordinación, en la forma que se
  determine por el Director General de la Agencia,
  de las acciones relativas a los mismos y, en su
  caso, su investigación, así como el análisis y
  evaluación de los sistemas de seguridad y control
  interno de la Agencia.
• ..................................................
  .............................................

10
El informe y elaboración de las propuestas que
el titular de la Dirección General formula en los
expedientes de compatibilidad. El apoyo al
Consejo para la Defensa del Contribuyente para la
recepción, tramitación y resolución de quejas y
sugerencias
11
COMISIONES SECTORIALES DE SEGURIDAD Y CONTROL.

• SON ORGANOS COLEGIADOS, DE COMPOSICION MIXTA
  AUNQUE CON PREDOMINIO DEL AREA DE ACTIVIDAD.
• SURGEN EN RESPUESTA A RIESGOS CONCRETOS
  MATERIALIZADOS EN LA AEAT.
• SU OBJETIVO FUNDAMENTAL ES
• - Detectar e inventariar puntos de riesgo.
• - Analizar y Evaluar deficiencias y debilidades
  de control.
• - Acordar y hacer operativas medidas
  correctoras.
• FORMA PARTE DE ELLAS COMO VICEPRESIDENTE UN
  INSPECTOR DE SERVICIOS DEL S.A.I.

12
TIPOLOGIA DE LAS ACTUACIONES DE CONTROL
13
LAS ACTUACIONES DE CARÁCTER PREVENTIVO

• OBJETIVO

Prevención de Conductas Irregulares en relación
con el incorrecto uso de la información contenida
en las bases de datos tributarios. Tiene una
fuerte vinculación con la seguridad de los
sistemas de información.
14

• EL DESARROLLO DE LAS ACTUACIONES DE CARÁCTER
  PREVENTIVO

Las actuaciones de carácter preventivo se
desarrollan mediante dos tipos de procesos
vinculados 1.- EL PROCESO DE SEGURIDAD
INFORMÁTICA. 2.- EL PROCESO DE GESTION DE
USUARIOS.
15

• ORGANOS INVOLUCRADOS EN LOS PROCESOS

• Involucran en su diseño y ejecución a diferentes
  órganos de la AEAT, desempeñando el SAI el papel
  de inspector.
• Comisión de Seguridad y Control de Informática
• Directores de Áreas o Departamentos y de Oficinas
  Territoriales
• Administradores de Seguridad (Gestión de
  usuarios)
• Autorizadores (gestionan puntos de control de las
  aplicaciones)
• Controladores (control accesos)
• Usuario Interno y Externo.
• Usuario externo

16

• ROLES PRINCIPALES DEL PROCESO DE SEGURIDAD
  INFORMATICA

• Los roles principales de la política de
  seguridad de la AEAT son los siguientes
• (Basados en un documento de seguridad y en un
  procedimiento especifico para su gestión)
• Responsable de Seguridad Asume la
  responsabilidad de la seguridad de la información
  en el ámbito correspondiente.

17

• Administrador de Seguridad Se encarga, bajo la
  dependencia del Responsable de Seguridad, de
  asegurar el buen funcionamiento y control de la
  política de seguridad informática. Cada ámbito
  territorial y departamental dispone de un
  Administrador de Seguridad.
• Controlador Controla los accesos a la
  información de un conjunto de usuarios,
  verificando que el acceso está justificado por el
  trabajo desempeñado.
• Autorizador Concede autorizaciones a un conjunto
  de usuarios del sistema de información, que tiene
  asignados.

18

• ASPECTOS PRINCIPALES DEL PROCESO DE GESTION DE
  USUARIOS

• La GESTION DE USUARIOS es el conjunto de
  operaciones cuyo objetivo es que los usuarios
  tengan un adecuado nivel de acceso al sistema de
  información de la AEAT, que les facilite el
  desempeño de su trabajo, garantizando la
  seguridad de la información.
• Cada usuario dispone de un solo usuario de acceso
  al sistema informático de la AEAT, denominado
  usuario único (simple sign on).

19

• Los procedimientos de gestión de usuarios y
  concesión de autorizaciones están formalizados,
  documentados y automatizados, configurando un
  sistema auditable.
• El Administrador de Seguridad de cada ámbito, la
  Comisión de Seguridad y el SAI supervisan el buen
  funcionamiento del sistema.

20

• ALTA, BAJA Y REVOCACIÓN DEL CÓDIGO
• DE USUARIO.
• 1º.- A cada empleado de la AEAT se le concede un
  código de usuario del sistema por el
  Administrador de Seguridad que le corresponde y
  una contraseña que es personal e intransferible.
• 2º.- El empleado debe utilizar la contraseña
  únicamente para su actividad laboral en la AEAT,
  efectuando consultas a información o tomando
  decisiones en los procedimientos automatizados
  que implican mantenimiento de datos.
• 3º.- El código de usuario es revocado si el
  usuario efectúa varios reintentos infructuosos de
  acceso.
• 4º.- El código se da de baja cuando el empleado
  deja de prestar servicio en la AEAT.

21

• CONCESIÓN DE PERFILES Y AUTORIZACIONES.
• 1.- El conjunto de autorizaciones que se concede
  a un nuevo usuario trata de incluir las opciones
  del sistema de información que va a necesitar en
  el desempeño de su trabajo.
• 2.-A este perfil inicial se incorporan otras
  autorizaciones que deben ser concedidas por el
  autorizador competente, a solicitud de un
  responsable de la unidad.
• 3.- Ciertas autorizaciones especiales sólo pueden
  ser concedidas por ciertos autorizadores o por
  los Administradores de Seguridad.

22
4.- Los Departamentos responsables funcionales de
las aplicaciones deben mantener eficazmente
perfiles tipo. 5.- Bajo ciertas condiciones, se
puede revocar automáticamente la autorización de
un usuarios para las opciones que no son
utilizadas.
23
LA DETECCION DE CONDUCTAS IRREGULARES

• Se encaminan a identificar a los empleados que
  pudieran haber incurrido en la comisión de
  conductas irregulares, así como los posibles
  colaboradores necesarios en la comisión del
  hecho.
• También se realiza para detectar posibles
  incompatibilidades del personal de la AEAT.

24

• CLASES DE ACTUACIONES DE DETECCION

• Aplicaciones informáticas para el control de los
  accesos. (CONTROLA).
• CRUCES informáticos para detectar
  incompatibilidades.

25

• CARACTERISTICAS DE LA APLICACIÓN INFOMATICA
  CONTROLA

• El control de los accesos es el proceso seguido
  para registrar los accesos de los usuarios a la
  información, almacenar los accesos en un soporte
  adecuado para su análisis y recuperación, y
  establecer una supervisión de esos accesos
  conforme a unas pautas de comportamiento
  aprobadas por la Dirección de la AEAT.
• Los procedimientos de control de accesos están
  formalizados, documentados y automatizados,
  configurando un sistema auditable.
• El Administrador de Seguridad de cada ámbito, la
  Comisión de Seguridad y el SAI supervisan el buen
  funcionamiento del sistema.

26

• REGISTRO DE LOS ACCESOS.

• Cada vez que un usuario accede al sistema de
  información corporativo para una consulta o para
  una actividad de gestión, debe declarar el motivo
  del acceso.
• El acceso queda registrado, con un conjunto de
  datos técnicos y administrativos que permiten su
  control posterior.
• El registro de los accesos a todos los
  subsistemas es consolidado cada quince días por
  una única aplicación de control de accesos
  (CONTROLA) para toda la AEAT.
• En ocasiones, se realizan controles especiales
  cruzando información de varias fuentes.
• En la AEAT, la gestión de los usuarios y el
  control de accesos emplea tecnologías de análisis
  de información propias (ZÚJAR).

27

• CONTROL DE LOS ACCESOS

• La aplicación CONTROLA realiza un análisis de
  riesgo para determinar los accesos que son
  susceptibles de presentar una cierta incoherencia
  con las tareas desempeñadas por el usuario.
• Los accesos seleccionados deben ser explicados
  por los usuarios y la justificación debe ser
  aceptada por el controlador del usuario en un
  proceso administrativo que está automatizado.
• Bajo ciertas condiciones, los accesos no
  justificados pueden dar lugar a un expediente
  disciplinario.
• Los resultados obtenidos en el proceso de control
  de los accesos retroalimentan el sistema,
  mediante las opciones estadísticas de CONTROLA y
  los informes que elaboran los Administradores de
  Seguridad.

28
ADMINISTRADOR DE SEGURIDAD
AUTORIZADORES
USUARIO
PERFIL DE ACCESO
IDENTIFICACION CONTRASEÑA
ACCESO A B.D. TRIBUTARIA
JUSTIFICACION
ANALISIS RIESGOS
REGISTRO AUTOMATICO DE ACCESOS
CONTROL
CONTROLADOR
29
CESION DE LOS ACCESOS A LA INFORMACION

• PROPÓSITO DE LAS CESIONES

• La información tributaria y aduanera de la AEAT
  no puede ser cedida a otros organismos públicos,
  excepto cuando existe una norma que lo autoriza
  explícitamente.
• La Ley General Tributaria habilita a la AEAT para
  ceder la información a determinados organismos
  públicos con el fin de luchar contra el fraude
  fiscal, aduanero, a la Seguridad Social, en la
  percepción de subvenciones, etc.
• La normativa también permite la cesión de
  información a otros organismos públicos para
  evitar la petición directa de certificados a la
  AEAT por parte de los ciudadanos, siempre que
  éstos autoricen la cesión.

30

• PROCEDIMIENTO DE LAS CESIONES

• Las cesiones de información están generalmente
  sometidas a un Convenio o Acuerdo entre la AEAT y
  el otro organismo, que regula las características
  de los intercambios.
• Las cesiones de información están automatizadas
• En la mayoría de los casos, se emplean
  aplicativos específicos y sistemas automáticos de
  transmisión que aseguran la autenticación,
  integridad, confidencialidad y no repudio del
  mensaje.
• Ciertos organismos públicos disponen de usuarios
  externos del sistema de información de la AEAT,
  con los que pueden acceder on line a ciertos
  contenidos e información, de manera limitada.

31

• CONTROL DE LAS CESIONES
• Los Convenios y Acuerdos contienen cláusulas
  específicas que estipulan que
• El Servicio de Auditoría Interna de la AEAT puede
  supervisar el cumplimiento de las condiciones de
  la cesión.
• El organismo cesionario debe implantar medidas de
  protección de la información eficaces, por
  ejemplo contar con un Documento de Seguridad.
• Los organismos que tienen acceso on line a las
  bases de datos de la AEAT, deben efectuar un
  control de accesos equivalente al de la AEAT, que
  se encarga de supervisar el SAI elaborando un
  informe anual del estado de la cuestión.

32

• CRUCES PARA LA DETECCION DE INCOMPATIBILIDADES.

• Retribuciones del personal de la AEAT satisfechas
  por terceros (informe anual)
• Actividades públicas Profesor Universitario
  Asociado
• Actividades Privadas
• - Docencia Privada
• - Actividades Profesionales
• Ejercicio de cargos en Consejos de Administración
  u órganos de Gobierno de Entidades Privadas
  (R.M.)
• (informe anual)

33
EL PAPEL DE AUDITORIA INTERNA EN LA ACTIVIDAD DE
CONTROL SOBRE CONDUCTAS.

• El rol del Servicio de Auditoría en la
  supervisión y control de la seguridad de la
  información se resume en
• 1º) La participación en la Comisión de Seguridad
  y Control de Informática Tributaria y en sus
  Grupos de Trabajo técnicos.
• El SAI actúa como dinamizador de la Comisión de
  Seguridad y Control de Informática Tributaria,
  dirigiendo distintos Grupos de Trabajo.
• 2º) La realización de actuaciones de auditoría
  (Inspección de los Servicios y auditoría
  informática), incluidas en el Plan de Actuaciones
  anual del SAI.

34

• 3º) Verificación de la gestión de la seguridad de
  la información realizada por los Responsables y
  Administradores de Seguridad, determinando entre
  otras cuestiones, si
• Se tramitan con rapidez las altas y bajas, así
  como las opciones solicitadas por los usuarios.
• Se controlan de manera eficaz y en plazo los
  accesos a la información residente en los
  sistemas corporativos.
• 4º) Comprobación de la infraestructuras de
  seguridad informática, mediante actuaciones de
  auditoría informática en el Departamento de
  Informática Tributaria, determinando entre otras
  cuestiones si

35

• Se registran los accesos a la información de
  forma exhaustiva.
• Se dispone de un adecuado sistema de salvaguardas
  y de un Plan de Contingencias.
• 5º) Comprobación del cumplimiento de las
  instrucciones de seguridad informática, mediante
  actuaciones de auditoría informática en las
  Dependencias Regionales de Informática,
  determinando entre otras cuestiones si
• Las redes de área local y los equipos se
  configuran adecuadamente.
• La información de carácter personal se protege
  convenientemente en los entornos de red.

36
LA INVESTIGACION DE CONDUCTAS
1.- ASPECTOS GENERALES

• A diferencia de las actuaciones de prevención y
  detección, buscan obtener evidencias y pruebas de
  conductas irregulares.
• En función de los medios que se utilicen pueden
  ser ordinarias y especiales.
• Unas y otras son realizadas por Inspectores de
  los Servicios del S.A.I.
• Las actuaciones de investigación especiales se
  realizan por un área específica dentro de la
  estructura organizativa del SAI

37
1.- INVESTIGACIONES CONVENCIONALES Serían las
orientadas a recabar información relevante de
entre la disponible en una Organización (en sus
archivos, locales, bases de datos y ordenadores
en general), y en los Registros Públicos a los
que se pueda acceder libremente. El inicio de
éstas actuaciones, requiere simplemente orden de
servicio expedida por el Director del Organo de
Auditoria Interna. 2.- INVESTIGACIONES
ESPECIALES Estas actuaciones estarían dirigidas
a obtener y aportar información y pruebas sobre
conductas o hechos privados o públicos, en la
medida en que tales informaciones, pruebas o
conductas no consten en la Organización ni en los
Registros Públicos a los que se pueda acceder
libremente. Se consideran conductas o hechos
privados los que afecten al ámbito económico,
laqboral, mercantil, financiera y, en general, a
la vida personal, familiar o social, exceptuada
la que se desarrolle en los domicilios o lugares
reservados.
38
2.- CARÁCTER Y ALCANCE DE LAS ACTUACIONES

• Consideración de actuaciones reservadas y
  confidenciales
• En la medida que les resulte aplicable, se rigen
  por las normas de procedimientos de la Inspección
  de los Servicios.
• En especial, le son de aplicación un protocolo
  de actuaciones específico.
• Requieren en todo caso, una autorización previa
  del máximo responsable del S.A.I.

39

• Finalizan en un informe dirigido al Director
  General y/o al Director del Area funcional
  correspondiente, donde se expresen
• RELATO DE LOS HECHOS INVESTIGADOS.
• RECOPILACIÓN DE LOS MEDIOS Y LAS PRUEBAS
  OBTENIDAS DURANTE LA INVESTIGACIÓN.
• EN SU CASO, UNA CALIFICACIÓN SOBRE LAS
  IRREGULARIDADES ENCONTRADAS.

40
3.- NORMAS DE ACTUACIÓN
Estas normas afectan a todo el personal del
órgano de auditoría interna que intervenga en una
actuación de investigación.

• DERECHOS Y OBLIGACONES DE CARÁCTER GENERAL

Aplicables a cualquier tipo de actuación propia
del órgano de auditoría interna.

• DERECHOS
• Recabar la máxima colaboración de cualquier
  Órgano o Servicio de la AEAT.
• Libre acceso a locales, documentación e
  información
• Acceso irrestricto a las Bases de Datos de la
  AEAT
• Denunciar cualquier actuación tendente a
  obstaculizar su función o menoscabar su
  independencia.

41

• OBLIGACIONES
• Sigilo profesional (todos los datos,
  antecedentes, e informes a que tenga acceso)
• Identificarse

• DERECHOS Y OBLIGACONES DE CARÁCTER GENERAL

• Vigilancia de locales y establecimientos
• Investigación y seguimiento de personas.
• Obtención de información de carácter interno
• Accesos a información de Bases de Datos tanto de
  la AEAT como de Instituciones públicas o privadas
  con las que la AEAT tenga establecido Convenio.

42

• OBLIGACIONES
• Comunicación al Ministerio Fiscal a través del
  Servicio Jurídico de la AEAT de hechos que
  pudieran ser constitutivos de delito o falta
  penal, pudiendo continuar sus actuaciones.
• Si los hechos son constitutivos de delitos
  tipificados en el Código Penal como cometidos
  por funcionarios públicos deberán suspenderse
  las actuaciones.
• En ningún caso podrían utilizarse medios o
  técnicas que
• Menoscaben el derecho al honor, intimidad,
  personal o familiar, la imagen, secreto de
  comunicaciones.
• Recabar información sobre creencias ideológicas,
  políticas o sindicales.
• Conculcar derechos y libertades de las personas

43
ESQUEMA DEL PROCESO DE PARTICIPACION CIUDADANA
LA TRAMITACION DE QUEJAS
44

• CARACTERISTICAS
• Su resolución se atribuye a un órgano colegiado
  orgánica y funcionalmente independiente.
• La participación del S.A.I es esencial,
  prestando apoyo técnico y administrativo, con una
  infraestructura de unidades territorializadas.
• Hace intervenir necesariamente al jefe superior
  inmediato del funcionario responsable de la
  actuación.
• El contribuyente tiene conocimiento puntual de
  todas las actuaciones y acuerdos adoptados
  durante la tramitación.

45
PROCEDIMIENTO DE TRAMITACIÓN DE QUEJAS
CONTRIBUYENTE
Disconformidad en 15 días
Segunda contestación
UNIDAD RECEPTORA (una por cada oficina abierta al
público)
SERVICIO RESPONSABLE
Copia de la contestación
UNIDAD OPERATIVA
Petición de informe
Análisis de quejas
COMISIÓN PERMANENTE
GRUPOS DE TRABAJO
Análisis de quejas
Quejas Contestación Segundas contestaciones
(disconformidad) Análisis de las quejas
Propuesta s al Secretario de Estado
PLENO

• Revocación
• Propuestas normativas

46
1.- AMBITO CONDUCTAS IRREGULARES. 2.- ORGANOS
COMPETENTES. 3.- TIPOLOGIA DE LAS ACTUACIONES DE
CONTROL. 4.- ACTUACIONES PREVENTIVAS. 5.-
CTUACIONES DE DETECCION. 6.- ACTUACIONES DE
INVESTIGACION.
47
FIN DE LA PRESENTACIÓN
www.agenciatributaria.es