Post on 25-Jul-2015
SERVICIO DE SERVICIO DE RENTAS INTERNASRENTAS INTERNAS
Auditoría Informática
Integrantes: Mayra Delgado
Doris Aguirre Tatiana Altamirano
Juan Francisco Valencia
2
Descripción del Servicio Descripción del Servicio de Rentas Internas de Rentas Internas
> La Administración Tributaria tiene a su cargo la ejecución de la política tributaria del país en lo que se refiere a los impuestos internos, para lo cual cuenta con las siguientes facultades asignadas en la normativa vigente:
> Misión:> > Fomentar la cultura tributaria en la sociedad
ecuatoriana y consolidar la participación de los impuestos administrados por el SRI en el Presupuesto General del Estado. Prestar servicios de calidad al ciudadano y lograr el correcto cumplimiento de sus obligaciones.
> > > Visión:> > Consolidar al SRI como una entidad
despolitizada, reconocida por la sociedad por su carácter técnico, de servicio y regida por principios de honestidad, transparencia y legalidad.
3
5
> Organigrama y Estructura del departamento de Desarrollo Tecnológico
5
El modelo de gestión del Servicio de Rentas Internas, se sustenta en tres pilares fundamentales: la autonomía financiera, la profesionalización de sus funcionarios y el uso intensivo de la tecnología, elementos que han contribuido a mantener los procesos administrativos institucionales en un marco de eficiencia y orientación al cumplimiento de objetivos.
6
> Organigrama y Estructura del departamento de Desarrollo Tecnológico
6
Uso intensivo de la tecnología: La utilización de las herramientas informáticas como apoyo fundamental en la sistematización de los procesos tributarios, se ha focalizado en la eficiente prestación de los servicios al ciudadano y en el aprovechamiento de la información de las bases de datos para ejecutar eficazmente los procesos de recaudación, control, cobranzas y devolución de tributos.
7
> Organigrama y Estructura del departamento de Desarrollo Tecnológico
7
La institución ha identificado dos grandes objetivos dentro de tecnología, los cuales son: Mantener servicios de tecnología de información adecuados para que la institución alcance sus objetivos de gestión.Administrar el ciclo de vida de la información e integrarlo dentro de la cadena de valor. Actualmente el área de TI y Dirección Nacional de Desarrollo Tecnológico del SRI mantiene una estructura planar, se lo puede graficar de la siguiente manera:
8 8
DESARROLLO DE SISTEMAS INFORMATICA DE PRODUCCION
DESARROLLO DE APLICACIONES
DISEÑO
CONTROL DE CALIDAD
SOPORTE DE SERVICIOS DE TECNOLOGIA
COMUNICACIONES Y SEGURIDAD ELECTRONICA
SOPORTE TECNICO DE USUARIOS
PRODUCCION
DIRECCION NACIONAL DE DESARROLLO TECNOLOGICO
ESPECIALISTA EN PROCESOS
ASISTENTE DE DIRECCION NACIONAL DE D. T.
9
> Organigrama y Estructura del departamento de Desarrollo Tecnológico
9
TI mantiene un número moderado de funcionarios que de cierta manera soportan las necesidades tecnológicas de la institución, pero en temporadas altas, dicho personal no es suficiente. Adicionalmente, las actividades realizadas por TI suelen tomar un tiempo prolongado debido a que no todo el personal del área tiene claro el ciclo del negocio.
DIRECTOR NACIONAL DE DESARROLLO TECNOLÓGICO 1 ESPECIALISTA EN PROCESOS 1 ASISTENTE DE DIRECTOR NACIONAL DE D. T. 1 DESARROLLO DE APLICACIONES 20 DISEÑO 3 CONTROL DE CALIDAD 3 PRODUCCION 10 SOPORTE TECNICO DE USUARIOS 8 COMUNICACIONES Y SEGURIDAD ELECTRONICA 3 SOPORTE DE SERVICIOS DE TECNOLOGIA 6 TOTAL 56
10
> Desarrollo Tecnológico
10
Área de Desarrollo: Mantenimientos y Actividades ejecutadas con personal interno del SRI, entre otras: Inclusión del nuevo Look And Feel en las aplicaciones de Internet y en las aplicaciones que se entregan a los contribuyentes (DIMM). Mantenimiento y soporte de los siguientes sistemas en producción como son: RUC, ADM, Lista Blanca, Vector Fiscal, SAD, Cobranzas, Tramites, Consulta Consolidada, Facturación, etc. Administración técnica del proyecto del Portal Web del SRI
11
> Desarrollo Tecnológico
11
Área de Soporte: Con el fin de brindar el apoyo necesario al cumplimiento de las actividades realizadas por las diferentes unidades, el área de Soporte participa en los siguientes proyectos: Activación de las islas de Internet en las distintas oficinas del SRI a nivel nacional Difusión y entrenamiento en herramientas Open Office del personal de las áreas de Servicios Tributarios, Generación de más de 15,000 CD con el anexo transaccional para ser entregados a los contribuyentes. Administración técnica del proyecto del Portal Web del SRI
12
> Desarrollo Tecnológico
12
Área de Diseño: Diseño de los proyectos: Look and Feel en aplicaciones Internet Nuevos Servicios Sistema de Facturación Recepción de Información Precios de Transferencia
Diseño de proyectos de inteligencia de negocios (BI): Sistema de Indicadores de Gestión Matriz de Selección de Contribuyentes
13
> Desarrollo Tecnológico
13
Área de Producción Instalación, configuración, pruebas del nuevo site para el Portal Instalación y configuración de herramientas de monitoreo de bases de datos y servidores de aplicación Oracle, para mejorar el rendimiento de las aplicaciones. Revisión y configuración de seguridades en los sistemas operativos, bases de datos y servidores de aplicaciones. Configuraciones para el control automático de servicios, envío de notificaciones de fallas a celulares y correos electrónicos.
14
> Desarrollo Tecnológico
14
Área de Control de Calidad Mejoras a los sistemas: RUC , Lista Blanca , Vector Fiscal , Matriz Global, etcSoporte para pruebas al Proveedor en la estabilización del nuevo Portal del SRI próximo a entrar en producción. Área de Servicios de Soporte Se desarrollan actividades en las siguientes disciplinas: Base de datos de Comercio Exterior:
15
> Aplicaciones en desarrollo
15
• Automatización de trámites, atención y consulta integrada por Internet.• Crear mecanismos de cruces automáticos de diferencias e inconsistencias en las
declaraciones de los contribuyentes• Mecanismos de alerta sobre la conducta riesgosa de los contribuyentes ante la
falta de veracidad en la información que proporcionan a la Administración Tributaria.
• Sistema de inscripción, actualización y cancelación del RUC por Internet.• Implantar la facturación electrónica. • Incluir en el Internet una opción de consulta de cálculos de intereses y multas.• Emisión de documentos habilitantes como comunicaciones de diferencias e
inconsistencias y actas de determinación de manera automática, así como la posibilidad de notificar a los contribuyentes con ayuda del correo electrónico, (ésta no estaría facultado legalmente, dado que el Código Tributario actual no contempla dicha posibilidad).
16
AUDITORIA INFORMÁTICA SISTEMA INTERNO DE RIESGO del Servicio de Rentas Internas
OBJETIVOS:
Realizar una auditoría Informática al Sistema utilizado en el Área de Infracciones.
Evaluar el nivel de confianza de los datos proporcionados por el sistema.
Identificar las áreas de mayor riesgo con respecto a la generación, registro y presentación de datos e información de interés tributario.
17
Estudio Inicial del Entorno Auditable
> Organización: Departamento de Gestión Tributaria Regional Norte
> Determinar, recaudar y controlar los tributos internos.
> Difundir y capacitar al contribuyente respecto de sus obligaciones tributarias.
> Preparar estudios de reforma a la legislación tributaria.
> Aplicar sanciones.
18
Relaciones Jerárquicas y funcionales entre órganos de la Organización
ID ROL DESCRIPCION
1 ADMINISTRADOR Soporte Técnico
2 SUPERVISOR Administrador y supervisor de usuarios
3 ANALISTA1 Analista de Sanciones
4 ANALISTA2 Analista de Clausuras
5 CONTROL Control a nivel gerencial
6 CONSULTA Usuarios externos al área de Infracciones acceso sólo de consulta
19
Flujos de Información
ID TRASACCION BASE TABLA DESCRIPCIÓN
1 USUARIOS CARGA MENU
Acceso a la carga de Usuarios, contribuyentes, catálogo de ciudades, errores de comprobantes de venta y regional
2 POR RUCSANCION
ES MENUAcceso a la administración de Sanciones
por RUC
3 POR RUCREPORTE
S MENUAcceso a los reportes de contribuyentes
por RUC
4 GENERALREPORTE
S MENU
Acceso a los reportes de contribuyentes por Analista y por fechas de ingreso de transacciones
5POR COMPROB.
VENTASANCION
ES MENUAcceso a la administración de Sanciones
por Comprobantes de Ventas
6POR GESTIÓN
TRIBUT.SANCION
ES MENUAcceso a la administración de Sanciones
por Gestión Tributaria
7
OTRAS SANCION
ESSANCION
ES MENUAcceso a la administración de Sanciones
por Otras Sanciones
10SUPERVISIÓN
TRNREPORTE
S MENU
Reporte para Gerencia sobre las transacciones ingresadas y pistas de Auditoría
20
Número de Puestos de trabajo > 11 usuarios del sistema> En el sistema existen 6 usuarios dedicados
exclusivamente al área de Sanciones. > Existe 1 usuario dedicado exclusivamente al
área de Clausuras > Existe un rol de supervisor que tiene acceso
tanto al módulo de sanciones como de clausuras
> Existe un rol de administrador que tiene acceso a los módulos de sanciones, clausuras y todo el menú de carga que corresponde a la administración de usuarios y catálogos del sistema.
21
Situaciones de riesgo > En ausencia del supervisor, si se tuviera
algún cambio que realizar al no tener la clave de supervisor, el administrador puede operar directamente en la base de datos sin que quede un registro de porqué se realizó tal cambio.
> No existe un control superior que verifique el grado de equivocaciones por parte de los analistas, de tal forma que tenga un mayor cuidado en el ingreso de las transacciones al sistema
22
Entorno Operacional
> Situación geográfica de los Sistemas:La Auditoria se realizará en el tercer piso, ala oriental que corresponde al Área de Infracciones desde el día lunes 29 de junio al viernes 03 de junio de 2009. Arquitectura y configuración de Hardware y Software:no dato
> Inventario de Hardware y Software: no dato
> d. Comunicación y Redes de Comunicación:no dato
23
Recursos de la Auditoria Informática
> - Recursos humanos No se cuenta con profesionales técnicos en el conocimiento y manejo de equipos de ayuda al proceso de auditoria
> - Recursos materialesLos mismos equipos interconectados de los usuarios, administrador y técnico de sistema
24
Elaboración del Plan y de los programas de trabajo
> Control de programas fuentes y ambiente de producción
> Pistas de auditoria en aplicación sir> Procesos ejecutados directamente en la
base de datos> Respaldos de información> Participación de auditoria interna> Plan de continuidad del proceso
25
Actividades de la Auditoria Informática
· Cuestionario general inicial OK· Cuestionario Checklist OK· Estándares NO· Monitores NO· Simuladores (Generadores de datos) NO· Paquetes de auditoria (Generadores
de Programas) NO· Matrices de riesgo NO
26
Cuestionarios> ¿Cuántos usuarios con roles de administrador encargado del soporte
técnico existe?> ¿El perfil del administrador tiene asociado a su perfil otras transacciones?> ¿Cuántos usuarios tienen el rol de control?> ¿Cuantos usuarios utilizan el sistema?> ¿Existen usuarios con roles habilitados aunque ya no manejen el sistema?> ¿Existe algún control superior que verifique el grado de error cometido
por los analistas?> ¿Hay algún control que asegure que se implementa en producción
únicamente los cambios autorizados por los usuarios?> ¿En que programa se desarrolló el sistema?> ¿El sistema tiene pistas de auditoria de cada transacción realizada?> ¿Se registra el número de consultas que realiza el analista?> Existen procedimiento de revisión de las pistas generadas?> ¿Se encuentran automatizados todos los procesos?> ¿Los procesos cuentan con políticas y procedimientos para regularlos?> ¿Están activas las pistas de auditoria para las bases de datos?> ¿Cómo se autoriza la ejecución de los procesos?> ¿Con que frecuencia se realizan los respaldos de la base?> ¿Tienen acceso todos los usuarios al respaldo de la base de datos?
27
Checklist
> Existen usuarios con roles de administrador encargado del soporte técnico
> ¿El perfil del administrador tiene asociado a su perfil otras transacciones?
> ¿Existen usuarios tienen el rol de control?> ¿Todos los usuarios utilizan el sistema?> ¿Existen usuarios con roles habilitados aunque ya no manejen el
sistema?> ¿Existe algún control superior que verifique el grado de error
cometido por los analistas?> ¿Hay algún control que asegure que se implementa en producción
únicamente los cambios autorizados por los usuarios?> ¿El sistema tiene pistas de auditoria de cada transacción realizada?> ¿Se registra el número de consultas que realiza el analista?> Existen procedimiento de revisión de las pistas generadas?> ¿Se encuentran automatizados todos los procesos?> ¿Los procesos cuentan con políticas y procedimientos para
regularlos?> ¿Están activas las pistas de auditoria para las bases de datos?> ¿Con que frecuencia se realizan los respaldos de la base?> ¿Tienen acceso todos los usuarios al respaldo de la base de datos?