Trabajo Auditoria Intormatica 2

SERVICIO DE SERVICIO DE RENTAS INTERNASRENTAS INTERNAS

Auditoría Informática

Integrantes: Mayra Delgado

Doris Aguirre Tatiana Altamirano

Juan Francisco Valencia

2

Descripción del Servicio Descripción del Servicio de Rentas Internas de Rentas Internas

> La Administración Tributaria tiene a su cargo la ejecución de la política tributaria del país en lo que se refiere a los impuestos internos, para lo cual cuenta con las siguientes facultades asignadas en la normativa vigente:

> Misión:> > Fomentar la cultura tributaria en la sociedad

ecuatoriana y consolidar la participación de los impuestos administrados por el SRI en el Presupuesto General del Estado. Prestar servicios de calidad al ciudadano y lograr el correcto cumplimiento de sus obligaciones.

> > > Visión:> > Consolidar al SRI como una entidad

despolitizada, reconocida por la sociedad por su carácter técnico, de servicio y regida por principios de honestidad, transparencia y legalidad.

3

4 4

5

> Organigrama y Estructura del departamento de Desarrollo Tecnológico

5

El modelo de gestión del Servicio de Rentas Internas, se sustenta en tres pilares fundamentales: la autonomía financiera, la profesionalización de sus funcionarios y el uso intensivo de la tecnología, elementos que han contribuido a mantener los procesos administrativos institucionales en un marco de eficiencia y orientación al cumplimiento de objetivos.

6


6

Uso intensivo de la tecnología: La utilización de las herramientas informáticas como apoyo fundamental en la sistematización de los procesos tributarios, se ha focalizado en la eficiente prestación de los servicios al ciudadano y en el aprovechamiento de la información de las bases de datos para ejecutar eficazmente los procesos de recaudación, control, cobranzas y devolución de tributos.

7


7

La institución ha identificado dos grandes objetivos dentro de tecnología, los cuales son: Mantener servicios de tecnología de información adecuados para que la institución alcance sus objetivos de gestión.Administrar el ciclo de vida de la información e integrarlo dentro de la cadena de valor. Actualmente el área de TI y Dirección Nacional de Desarrollo Tecnológico del SRI mantiene una estructura planar, se lo puede graficar de la siguiente manera:

8 8

DESARROLLO DE SISTEMAS INFORMATICA DE PRODUCCION

DESARROLLO DE APLICACIONES

DISEÑO

CONTROL DE CALIDAD

SOPORTE DE SERVICIOS DE TECNOLOGIA

COMUNICACIONES Y SEGURIDAD ELECTRONICA

SOPORTE TECNICO DE USUARIOS

PRODUCCION

DIRECCION NACIONAL DE DESARROLLO TECNOLOGICO

ESPECIALISTA EN PROCESOS

ASISTENTE DE DIRECCION NACIONAL DE D. T.

9


9

TI mantiene un número moderado de funcionarios que de cierta manera soportan las necesidades tecnológicas de la institución, pero en temporadas altas, dicho personal no es suficiente. Adicionalmente, las actividades realizadas por TI suelen tomar un tiempo prolongado debido a que no todo el personal del área tiene claro el ciclo del negocio.

DIRECTOR NACIONAL DE DESARROLLO TECNOLÓGICO 1 ESPECIALISTA EN PROCESOS 1 ASISTENTE DE DIRECTOR NACIONAL DE D. T. 1 DESARROLLO DE APLICACIONES 20 DISEÑO 3 CONTROL DE CALIDAD 3 PRODUCCION 10 SOPORTE TECNICO DE USUARIOS 8 COMUNICACIONES Y SEGURIDAD ELECTRONICA 3 SOPORTE DE SERVICIOS DE TECNOLOGIA 6 TOTAL 56

10

> Desarrollo Tecnológico

10

Área de Desarrollo: Mantenimientos y Actividades ejecutadas con personal interno del SRI, entre otras: Inclusión del nuevo Look And Feel en las aplicaciones de Internet y en las aplicaciones que se entregan a los contribuyentes (DIMM). Mantenimiento y soporte de los siguientes sistemas en producción como son: RUC, ADM, Lista Blanca, Vector Fiscal, SAD, Cobranzas, Tramites, Consulta Consolidada, Facturación, etc. Administración técnica del proyecto del Portal Web del SRI

11


11

Área de Soporte: Con el fin de brindar el apoyo necesario al cumplimiento de las actividades realizadas por las diferentes unidades, el área de Soporte participa en los siguientes proyectos: Activación de las islas de Internet en las distintas oficinas del SRI a nivel nacional Difusión y entrenamiento en herramientas Open Office del personal de las áreas de Servicios Tributarios, Generación de más de 15,000 CD con el anexo transaccional para ser entregados a los contribuyentes. Administración técnica del proyecto del Portal Web del SRI

12


12

Área de Diseño: Diseño de los proyectos: Look and Feel en aplicaciones Internet Nuevos Servicios Sistema de Facturación Recepción de Información Precios de Transferencia

Diseño de proyectos de inteligencia de negocios (BI): Sistema de Indicadores de Gestión Matriz de Selección de Contribuyentes

13


13

Área de Producción Instalación, configuración, pruebas del nuevo site para el Portal Instalación y configuración de herramientas de monitoreo de bases de datos y servidores de aplicación Oracle, para mejorar el rendimiento de las aplicaciones. Revisión y configuración de seguridades en los sistemas operativos, bases de datos y servidores de aplicaciones. Configuraciones para el control automático de servicios, envío de notificaciones de fallas a celulares y correos electrónicos.

14


14

Área de Control de Calidad Mejoras a los sistemas: RUC , Lista Blanca , Vector Fiscal , Matriz Global, etcSoporte para pruebas al Proveedor en la estabilización del nuevo Portal del SRI próximo a entrar en producción. Área de Servicios de Soporte Se desarrollan actividades en las siguientes disciplinas: Base de datos de Comercio Exterior:

15

> Aplicaciones en desarrollo

15

• Automatización de trámites, atención y consulta integrada por Internet.• Crear mecanismos de cruces automáticos de diferencias e inconsistencias en las

declaraciones de los contribuyentes• Mecanismos de alerta sobre la conducta riesgosa de los contribuyentes ante la

falta de veracidad en la información que proporcionan a la Administración Tributaria.

• Sistema de inscripción, actualización y cancelación del RUC por Internet.• Implantar la facturación electrónica. • Incluir en el Internet una opción de consulta de cálculos de intereses y multas.• Emisión de documentos habilitantes como comunicaciones de diferencias e

inconsistencias y actas de determinación de manera automática, así como la posibilidad de notificar a los contribuyentes con ayuda del correo electrónico, (ésta no estaría facultado legalmente, dado que el Código Tributario actual no contempla dicha posibilidad).

16

AUDITORIA INFORMÁTICA SISTEMA INTERNO DE RIESGO del Servicio de Rentas Internas

OBJETIVOS:

Realizar una auditoría Informática al Sistema utilizado en el Área de Infracciones.

Evaluar el nivel de confianza de los datos proporcionados por el sistema.

Identificar las áreas de mayor riesgo con respecto a la generación, registro y presentación de datos e información de interés tributario.

17

Estudio Inicial del Entorno Auditable

> Organización: Departamento de Gestión Tributaria Regional Norte

> Determinar, recaudar y controlar los tributos internos.

> Difundir y capacitar al contribuyente respecto de sus obligaciones tributarias.

> Preparar estudios de reforma a la legislación tributaria.

> Aplicar sanciones.

18

Relaciones Jerárquicas y funcionales entre órganos de la Organización

ID ROL DESCRIPCION

1 ADMINISTRADOR Soporte Técnico

2 SUPERVISOR Administrador y supervisor de usuarios

3 ANALISTA1 Analista de Sanciones

4 ANALISTA2 Analista de Clausuras

5 CONTROL Control a nivel gerencial

6 CONSULTA Usuarios externos al área de Infracciones acceso sólo de consulta

19

Flujos de Información

ID TRASACCION BASE TABLA DESCRIPCIÓN

1 USUARIOS CARGA MENU

Acceso a la carga de Usuarios, contribuyentes, catálogo de ciudades, errores de comprobantes de venta y regional

2 POR RUCSANCION

ES MENUAcceso a la administración de Sanciones

por RUC

3 POR RUCREPORTE

S MENUAcceso a los reportes de contribuyentes

por RUC

4 GENERALREPORTE

S MENU

Acceso a los reportes de contribuyentes por Analista y por fechas de ingreso de transacciones

5POR COMPROB.

VENTASANCION


por Comprobantes de Ventas

6POR GESTIÓN

TRIBUT.SANCION


por Gestión Tributaria

7

OTRAS SANCION

ESSANCION


por Otras Sanciones

10SUPERVISIÓN

TRNREPORTE

S MENU

Reporte para Gerencia sobre las transacciones ingresadas y pistas de Auditoría

20

Número de Puestos de trabajo > 11 usuarios del sistema> En el sistema existen 6 usuarios dedicados

exclusivamente al área de Sanciones. > Existe 1 usuario dedicado exclusivamente al

área de Clausuras > Existe un rol de supervisor que tiene acceso

tanto al módulo de sanciones como de clausuras

> Existe un rol de administrador que tiene acceso a los módulos de sanciones, clausuras y todo el menú de carga que corresponde a la administración de usuarios y catálogos del sistema.

21

Situaciones de riesgo > En ausencia del supervisor, si se tuviera

algún cambio que realizar al no tener la clave de supervisor, el administrador puede operar directamente en la base de datos sin que quede un registro de porqué se realizó tal cambio.

> No existe un control superior que verifique el grado de equivocaciones por parte de los analistas, de tal forma que tenga un mayor cuidado en el ingreso de las transacciones al sistema

22

Entorno Operacional

> Situación geográfica de los Sistemas:La Auditoria se realizará en el tercer piso, ala oriental que corresponde al Área de Infracciones desde el día lunes 29 de junio al viernes 03 de junio de 2009. Arquitectura y configuración de Hardware y Software:no dato

> Inventario de Hardware y Software: no dato

> d. Comunicación y Redes de Comunicación:no dato

23

Recursos de la Auditoria Informática

> - Recursos humanos No se cuenta con profesionales técnicos en el conocimiento y manejo de equipos de ayuda al proceso de auditoria

> - Recursos materialesLos mismos equipos interconectados de los usuarios, administrador y técnico de sistema

24

Elaboración del Plan y de los programas de trabajo

> Control de programas fuentes y ambiente de producción

> Pistas de auditoria en aplicación sir> Procesos ejecutados directamente en la

base de datos> Respaldos de información> Participación de auditoria interna> Plan de continuidad del proceso

25

Actividades de la Auditoria Informática

· Cuestionario general inicial OK· Cuestionario Checklist OK· Estándares NO· Monitores NO· Simuladores (Generadores de datos) NO· Paquetes de auditoria (Generadores

de Programas) NO· Matrices de riesgo NO

26

Cuestionarios> ¿Cuántos usuarios con roles de administrador encargado del soporte

técnico existe?> ¿El perfil del administrador tiene asociado a su perfil otras transacciones?> ¿Cuántos usuarios tienen el rol de control?> ¿Cuantos usuarios utilizan el sistema?> ¿Existen usuarios con roles habilitados aunque ya no manejen el sistema?> ¿Existe algún control superior que verifique el grado de error cometido

por los analistas?> ¿Hay algún control que asegure que se implementa en producción

únicamente los cambios autorizados por los usuarios?> ¿En que programa se desarrolló el sistema?> ¿El sistema tiene pistas de auditoria de cada transacción realizada?> ¿Se registra el número de consultas que realiza el analista?> Existen procedimiento de revisión de las pistas generadas?> ¿Se encuentran automatizados todos los procesos?> ¿Los procesos cuentan con políticas y procedimientos para regularlos?> ¿Están activas las pistas de auditoria para las bases de datos?> ¿Cómo se autoriza la ejecución de los procesos?> ¿Con que frecuencia se realizan los respaldos de la base?> ¿Tienen acceso todos los usuarios al respaldo de la base de datos?

27

Checklist

> Existen usuarios con roles de administrador encargado del soporte técnico

> ¿El perfil del administrador tiene asociado a su perfil otras transacciones?

> ¿Existen usuarios tienen el rol de control?> ¿Todos los usuarios utilizan el sistema?> ¿Existen usuarios con roles habilitados aunque ya no manejen el

sistema?> ¿Existe algún control superior que verifique el grado de error

cometido por los analistas?> ¿Hay algún control que asegure que se implementa en producción

únicamente los cambios autorizados por los usuarios?> ¿El sistema tiene pistas de auditoria de cada transacción realizada?> ¿Se registra el número de consultas que realiza el analista?> Existen procedimiento de revisión de las pistas generadas?> ¿Se encuentran automatizados todos los procesos?> ¿Los procesos cuentan con políticas y procedimientos para

regularlos?> ¿Están activas las pistas de auditoria para las bases de datos?> ¿Con que frecuencia se realizan los respaldos de la base?> ¿Tienen acceso todos los usuarios al respaldo de la base de datos?

Documents

Trabajo Auditoria Intormatica 2