Embed Size (px)
Citation preview
1
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
EUROsociALEUROsociAL
2
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
TITULO VTITULO V
PREVENCIÓN, DETECCIÓN E PREVENCIÓN, DETECCIÓN E INVESTIGACIÓN DE CONDUCTAS INVESTIGACIÓN DE CONDUCTAS
IRREGULARESIRREGULARES
PREVENCIÓN, DETECCIÓN E PREVENCIÓN, DETECCIÓN E INVESTIGACIÓN DE CONDUCTAS INVESTIGACIÓN DE CONDUCTAS
IRREGULARESIRREGULARES
TRATAMIENTO DE LAS DENUNCIAS. TRATAMIENTO DE LAS DENUNCIAS. GESTIÓN Y TRATAMIENTO DE LAS GESTIÓN Y TRATAMIENTO DE LAS
QUEJAS Y PROPUESTAS QUEJAS Y PROPUESTAS ASESORAMIENTO Y CONSULTORÍAASESORAMIENTO Y CONSULTORÍA
TRATAMIENTO DE LAS DENUNCIAS. TRATAMIENTO DE LAS DENUNCIAS. GESTIÓN Y TRATAMIENTO DE LAS GESTIÓN Y TRATAMIENTO DE LAS
QUEJAS Y PROPUESTAS QUEJAS Y PROPUESTAS ASESORAMIENTO Y CONSULTORÍAASESORAMIENTO Y CONSULTORÍA
3
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
Prevención de Conductas Irregulares en relación con el
incorrecto y fraudulento uso de la información contenida
en las bases de datos tributarios.
Tiene una fuerte vinculación con la seguridad de los
sistemas de información.
Se hará referencia a los aspectos más significativos en
el diseño de medidas y medios de control a emplear.
PREVENCIÓN DE CONDUCTAS
4
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
ACTUACIONES DE PREVENCIÓN DE CONDUCTAS IRREGULARES.
CONCEPTO: Son actuaciones orientadas a definir perfiles de comportamientos de riesgo, y articular los medios para activar los controles que permitan su detección.
ALCANCE Y CONTENIDO: Involucran a diferentes órganos, siendo el OAI el supervisor de sus actuaciones. Los órganos intervinientes, con diferentes rangos de responsabilidad, son:
Órganos colegiados como Comisiones de Seguridad.
Áreas o Departamentos funcionales.
Administradores de Seguridad.
Autorizadores.
Controladores.
Usuarios internos y externos.
EPÍGRAFE 18.5.1EPÍGRAFE 18.5.1
5
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
DISEÑO DE UNA MEDIDA PREVENTIVA: GARANTIZAR EL CORRECTO ACCESO A LA INFORMACION CORPORATIVA.
ASPECTOS A CONSIDERAR:
Identificación precisa de todos los usuarios: Código + password.
Registro de todas las operaciones de acceso.
Análisis de coherencia de los accesos.
Definición de perfiles de acceso en función del puesto de trabajo: coherentes, abiertos, revisados periódicamente.
6
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
Los usuarios internos de los sistemas de información de la organización son en general empleados de la Administración Tributaria.
Los empleados deben cumplir las normas de seguridad de la organización, generales o específicas, en particular las que afectan a la seguridad de los sistemas de información.
Usuarios del sistema de información:
Los empleados dispondrán de un código de usuario y de una contraseña, correspondientes a un solo usuario.
EPÍGRAFE 16.4.8EPÍGRAFE 16.4.8 LOS USUARIOS INTERNOS
7
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
La seguridad de la identificación de los usuarios puede reforzarse por medios físicos y lógicos como tarjetas y certificados digitales.
El código de acceso y la contraseña, que deben reunir unas características sintácticas determinadas, son elementos personales e intransferibles de cada usuario.
La utilización del código de usuario está regulada. En particular, se deben implantar procedimientos para efectuar:
Las altas y bajas de los códigos de usuario.
Las modificaciones de las autorizaciones de los usuarios.
Las revocaciones del código de usuario cuando se detecte alguna incidencia.
8
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
SISTEMA DE GESTIÓN DE LA SEGURIDAD (1)
El establecimiento de un Sistema de Gestión de la Seguridad de la Información (SGSI) supone un nivel de formalización propugnado por entidades que se ocupan de la normalización y de la certificación, elaborando normas específicas.
El establecimiento y mantenimiento de una determinada norma, supone un esfuerzo por parte de todas las áreas de la organización, especialmente las que se ocupan de la informática y de su control.
Como contrapartida, un SGSI contribuye a mitigar los factores de riesgo asociados a la actividad informática y a asegurar la confianza de los usuarios en el SI.
9
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
EJEMPLO DE ROLES (1)
En el sistema de administración de la seguridad de la AT pueden establecerse los siguientes roles:
El Comité de Seguridad de los SI coordina la administración de la seguridad de la información, bajo la dependencia de la Dirección, que ejerce la responsabilidad corporativa (véase el Epígrafe 16.5.3).
El OAI ejerce la supervisión de la administración de la seguridad de la información, mediante actuaciones de auditoría encuadradas en programas especializados.
Los responsables de seguridad asumen la decisión final en cuestiones de seguridad de la información en el ámbito correspondiente, bajo la supervisión de los órganos competentes.
10
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
EJEMPLO DE ROLES (2)
Los administradores de seguridad son oficiales de la organización encargados del buen funcionamiento y control de la política de seguridad de los SI.
Los autorizadores son aquellos agentes que conceden las autorizaciones a los usuarios de los SI de un ámbito funcional o territorial considerado.
Los controladores son aquellos agentes que desarrollan actividades de control interno, en particular que revisan los accesos realizados por los usuarios de un determinado ámbito.
Los autorizadores y controladores dependen del administrador de seguridad, y éste depende a su vez del responsable de seguridad.
11
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
DEFINICIÓN
El Comité de Seguridad de los Sistemas de Información es un órgano colegiado de la AT, cuyos objetivos coinciden con los de la política de seguridad de la información de la organización.
La constitución de un Comité de Seguridad de los Sistemas de Información es una práctica recomendada para las grandes organizaciones.
El Comité adopta medidas para mejorar el tratamiento de los temas críticos y permanentes de la seguridad informática corporativa.
EPÍGRAFE 16.5.3EPÍGRAFE 16.5.3 EL COMITÉ DE SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN
12
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
FUNCIONES DEL COMITÉ DE SEGURIDAD DE LOS SI (1)
Aprobar las políticas y procedimientos que desarrollan la política de seguridad de los SI.
Vigilar el cumplimiento de las obligaciones normativas de la AT en materia de seguridad de la información.
Seguir la evolución de la seguridad informática de la organización.
Supervisar el funcionamiento de los sistemas de gestión de la seguridad de la información.
Impulsar el establecimiento y la mejora de los controles existentes en el SI.
Revisar las incidencias de seguridad acaecidas en los SI.
13
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
DEFINICIÓN
La gestión de usuarios y autorizaciones es el conjunto de operaciones cuyo objetivo es que los usuarios tengan un adecuado nivel de acceso al SI, que les facilite el desempeño de su trabajo, garantizando la seguridad de la información.
Los procedimientos de gestión de usuarios y autorizaciones deben estar formalizados, documentados y automatizados, y ser comunicados.
La gestión de usuarios y autorizaciones forma parte de las actividades de administración de la seguridad de la información.
EPÍGRAFE 16.5.4EPÍGRAFE 16.5.4SISTEMA DE GESTIÓN DE USUARIOS Y DE AUTORIZACIONES
14
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
IMPLEMENTACIÓN DEL SISTEMA DE GESTIÓN DE USUARIOS (1)
La implementación tenderá hacia el establecimiento de un único sistema auditable, que actúe:
Garantizando el funcionamiento eficaz de los procedimientos tributarios.
Graduando las autorizaciones en relación con el puesto desempeñado.
Estableciendo procedimientos para las altas, bajas, modificaciones y revocaciones de usuarios y autorizaciones.
Efectuando un tratamiento de los usuarios externos coherente con las cesiones de información autorizadas.
15
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
IMPLEMENTACIÓN DEL SISTEMA DE GESTIÓN DE USUARIOS (2)
Incorporando controles automáticos.
Ejemplo: Las revocaciones automáticas por un número excesivo de reintentos en el acceso al sistema.
Introduciendo técnicas de análisis de información, que faciliten el trabajo de supervisión.
Ejemplo: La detección automática y la comunicación a los supervisores de situaciones de riesgo, tales como la acumulación de autorizaciones que no son utilizadas habitualmente por el usuario.
16
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
EJEMPLO DE SISTEMA DE GESTIÓN DE USUARIOS (1)
Un sistema auditable de gestión de usuarios y autorizaciones se compondría de los siguientes procedimientos debidamente implementados:
Alta del código de usuario.
Revocación del código de usuario.
Baja del código de usuario.
Concesión de una autorización a un usuario.
Concesión de una autorización especial a un usuario.
Asignación de un perfil tipo a un usuario.
17
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
EJEMPLO DE SISTEMA DE GESTIÓN DE USUARIOS (2)
Mantenimiento de un perfil tipo de usuario.
Adaptación de las aplicaciones a una estructura preparada para ser compatible con el sistema de gestión de usuarios y autorizaciones.
Establecimiento de controles automáticos que revisan los perfiles y autorizaciones de los usuarios y determinan las incoherencias.
Auditabilidad del sistema de gestión de usuarios y autorizaciones de cara a su revisión por los responsables del control y la supervisión.
18
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
PARTICIPACIÓN DEL OAI
El OAI participa, como los administradores de seguridad y el Comité de Seguridad de los SI, en la supervisión del sistema de gestión de usuarios para garantizar la seguridad de la información.
El OAI revisará también que el sistema permita a los usuarios disponer a tiempo de las autorizaciones que requieren por su trabajo.
19
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
ACTUACIONES DE DETECCION DE CONDUCTAS IRREGULARES.
CONCEPTO:
Se encaminan a identificar a los empleados que han cometido una conducta de riesgo o irregular.
También se realiza para detectar posibles incompatibilidades.
Se realiza por el personal del O.A.I.
EPÍGRAFE 18.5.2EPÍGRAFE 18.5.2
20
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
FORMAS DE REALIZACION DE LAS
ACTUACIONES DE CONTROL
ACTUACIONES GENERICAS:
Se realizan el la sede del órgano o unidad en la que presta
servicios el usuario.
Se sirven de una herramienta informática específica.
Contempla un procedimiento de resolución de incidencias.
ACTUACIONES ESPECIFICAS DEL OAI.
Son actuaciones más precisas, que se orientan a recoger y
analizar evidencias de posibles conductas irregulares.
Forman parte del Plan de actuaciones del OAI por medio de
técnicas de auditoria y del procesamiento de la información
disponible.
21
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
DEFINICIÓN
El control de los accesos consiste en el proceso seguido para registrar los accesos de los usuarios a la información residente en los SI, almacenar los accesos en un soporte adecuado para su análisis y recuperación, y establecer una supervisión de esos accesos conforme a unas pautas de comportamiento aprobadas por la Dirección.
Los procedimientos de control de los accesos deben estar formalizados, documentados, automatizados, y ser comunicados.
El control de los accesos forma parte de las actividades de administración de la seguridad de la información.
EPÍGRAFE 16.5.5EPÍGRAFE 16.5.5 SISTEMA DE CONTROL DE ACCESOS
22
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
PRINCIPIOS DE ACTUACIÓN
Principios:
Exhaustividad del registro de los accesos: Todos los accesos debe ser registrados, para lo que se utilizarán los medios tecnológicos más eficientes.
Optimización de los controles de acceso: La revisión de los accesos será selectiva, aplicando tanto técnicas de análisis de riesgos como de muestreo, para determinar los accesos que ponen en mayor riesgo los objetivos de la seguridad de la información.
23
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
IMPLEMENTACIÓN DEL SISTEMA DE CONTROL DE ACCESOS (1)
La implementación tenderá hacia el establecimiento de un único sistema auditable, que actúe:
Registrando todos los accesos independientemente del subsistema utilizado.
Permitiendo recuperar los accesos efectuados junto con los parámetros directos o indirectos de comportamiento.
Valorando el riesgo asociado al acceso.
Efectuando una selección de los accesos de mayor riesgo para su justificación.
24
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
IMPLEMENTACIÓN DEL SISTEMA CONTROL DE ACCESOS (2)
Incorporando controles automáticos.
Ejemplo: Las alertas establecidas en el sistema cuando se detecta el acceso fuera del horario habitual, el acceso a personas especialmente protegidas o el volcado masivo de información.
Introduciendo técnicas de análisis de información que faciliten el trabajo de supervisión.
Ejemplo: El análisis de los ficheros que consolidan los accesos a los distintos subsistemas, determinando los accesos que tiene mayor riesgo de no estar debidamente motivados.
25
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
La aplicación de CONTROL de Accesos realiza un análisis de riesgo para determinar los accesos que son susceptibles de presentar una cierta incoherencia con las tareas desempeñadas por el usuario.
Los accesos seleccionados deben ser explicados por los usuarios y la justificación debe ser aceptada por el controlador del usuario en un proceso administrativo que está automatizado.
Bajo ciertas condiciones, los accesos no justificados pueden dar lugar a un expediente disciplinario.
Los resultados obtenidos en el proceso de control de los accesos retroalimentan el sistema, mediante las opciones estadísticas de la aplicación de CONTROL de Accesos y los informes que elaboran los Administradores de Seguridad.
DESCRIPCIÓN DEL SISTEMA DE CONTROL DE ACCESOS (2)
CONTROL DE LOS ACCESOS
26
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
EJEMPLO DE SISTEMA DE CONTROL DE ACCESOS (1)
Un sistema auditable de control de accesos se compondría de los siguientes procedimientos debidamente implementados:
Registro de los accesos a la información tributaria.
Consolidación de los accesos en un sistema integrado de control.
Selección de los accesos sometidos a revisión.
Justificación de los accesos elegidos.
Revisión por el agente de seguridad que actúa como controlador.
27
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
EJEMPLO DE SISTEMA DE CONTROL DE ACCESOS (2)
Toma de decisión sobre los accesos revisados, aceptando o no la justificación.
Retroalimentación de la selección de los accesos de riesgo, mediante la información obtenida durante la revisión de los accesos.
Auditabilidad del sistema de registro y control de los accesos de cara a su revisión por los responsables del control y la supervisión.
28
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
PARTICIPACIÓN DEL OAI
El OAI participa, como los administradores de seguridad y el Comité de Seguridad de los SI, en la supervisión del sistema de registro y control de los accesos.
El OAI se cerciorará también de que el control implantado no disuada a los usuarios de la utilización de los instrumentos informáticos puestos a su disposición para el desempeño de su actividad.
29
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
Autorizadores Perfil de Acceso
Sistema de Gestiónde Usuarios
(Código)y
(Contraseña)
ACCESO B.D. AEAT
Grabación Accesosen ficheros
Sistema Controlde Accesos
(riesgo)
Informe
A.S.
Controladorpide justificación
USUARIO
30
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
SELECCIÓN DE UN PORCENTAJE DE ACCESOS PARA SU REVISIÓN SEGÚN DIFERENTES CRITERIOS
CRITERIO 1: SELECCIÓN EFECTUADA POR EL SUBSISTEMA CONTROLA CON UN CRITERIO ALEATORIO
CRITERIO 2: SELECCIÓN EFECTUADA POR EL SUBSISTEMA CONTROLA, DEBIDA AL RIESGO CALCULADO
CRITERIO 3: SELECCIÓN DECIDIDA POR EL ADMINISTRADOR DE SEGURIDAD, TRAS ANALIZAR LOS ACCESOS
31
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
CRUCES. CONDUCTAS, INCOMPATIBILIDADESO CONFLICTOS DE INTERESES
Retribuciones del personal de la AEAT satisfechas por terceros (informe anual)
•Actividades públicas: Profesor Universitario Asociado
•Actividades Privadas
Docencia Privada
Actividades Profesionales
Ejercicio de cargos en Consejos de Administración u órganos de Gobierno de Entidades Privadas (R.M.) (informe anual).
32
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
Verificación de la gestión de la seguridad de la información realizada por los Responsables y Administradores de Seguridad, determinando entre otras cuestiones, si:
Se tramitan con rapidez las altas y bajas, así como las opciones solicitadas por los usuarios.
Se controlan de manera eficaz y en plazo los accesos a la información residente en los sistemas corporativos.
Comprobación de la infraestructuras de seguridad informática, mediante actuaciones de auditoría informática en el Departamento de Informática Tributaria, determinando entre otras cuestiones si:
SUPERVISIÓN DEL SAI MEDIANTE AUDITORÍAS
33
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
ACTUACIONES DE INVESTIGACION
CONCEPTO Y CLASES
Tienen por objeto, obtener información precisa para
determinar con el suficiente grado de certeza, si existen
responsabilidades administrativas o de otro tipo, y las
medidas a adoptar para evitar en el futuro riesgos o
situaciones similares.
Investigaciones convencionales. Obtienen la
información de los datos disponibles en la
Administración Tributaria o en Registro Públicos.
EPÍGRAFE 18.5.3EPÍGRAFE 18.5.3
34
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
TIPOS:
INVESTIGACIONES CONVENCIONALES: Serían las
orientadas a recabar información relevante de entre la
disponible en la A.T. (en sus archivos, locales, bases
de datos y ordenadores en general), y en los
Registros Públicos a los que se pueda acceder
libremente.
El inicio de éstas actuaciones, requiere simplemente
Orden de Servicio expedida por el Director del O.A.I.
35
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
INVESTIGACIONES ESPECIALES: Actuaciones dirigidas a
obtener y aportar información y pruebas sobre conductas o
hechos privados o públicos, en la medida en que tales
informaciones, pruebas o conductas no consten en la A.T. ni
en los Registros Públicos a los que se pueda acceder
libremente.
Se consideran conductas o hechos privados los que afecten
al ámbito económico, laboral, mercantil, financiera y, en
general, a la vida personal, familiar o social, exceptuada la
que se desarrolle en los domicilios o lugares reservados.
Este tipo de actuaciones solo podrán iniciarse mediante
Orden de Servicio suscrita por el Órgano Superior de
Dirección de la A.T.
36
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
PROBLEMÁTICA PLANTEADA POR LAS ACTUACIONES ESPECIALES DE INVESTIGACIÓN.
DE CARÁCTER ORGANIZATIVO.
Creación o no de unidades especializadas en la estructura
del OAI.
DE CARÁCTER LEGAL
La norma legal que regula las competencias del OAI debe
contemplar facultades para realizar investigaciones.
Los derechos individuales protegidos, pueden entrar en
conflicto con la investigación: el derecho a la intimidad, el
secreto de las comunicaciones, el derecho a la propia
imagen.
37
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
Derechos y obligaciones específicos del personal
responsable de las investigaciones( seguimiento de
personas, vigilancia de locales y establecimientos,
grabaciones en locales públicos, información de entidades
bancarias, etc....)
DE CARÁCTER PROCEDIMENTAL
Instrucción del Director General a las diferentes Áreas y
Departamento, que regule las posibles solicitudes de apoyo
dirigidas a los diferentes órganos.
Instrucción del Director del OAI dirigida a facilitar el
conocimiento del porqué se realizan estas actuaciones.
Protocolo de Actuaciones.
38
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
PROTOCOLO DE ACTUACIONES
Inicio del procedimiento:
De oficio por el OAI.
A instancia de terceros.
Estudio de la solicitud:
Obtención de información y valoración por el OAI
Informe del responsable de la unidad a la Dirección del OAI.
Aprobación de la actuación.
Tramitación de la autorización.
Terminación de la actuación.
39
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
DENUNCIAS
DENUNCIAS DE LOS CIUDADANOS
Las denuncias de los ciudadanos como medio de
conocimiento de presuntas conductas irregulares y del
inicio de las investigaciones correspondientes, requieren
una norma de carácter interno que apruebe el
procedimiento y tramitación.
APARTADO 18.6APARTADO 18.6
EPÍGRAFE 18.6.1EPÍGRAFE 18.6.1
40
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
DENUNCIAS DE LOS EMPLEADOS
Debe articularse un proceso de información, con
garantías de confidencialidad para el denunciante y
nivel de tolerancia cero ante el conocimiento de
actos represivos.
EPÍGRAFE 18.6.2EPÍGRAFE 18.6.2
41
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
CAPÍTULO 19CAPÍTULO 19 QUEJAS Y PROPUESTAS
APARTADO 19.1APARTADO 19.1 PRESENTACIÓN Y SIPNOSIS
“Una queja es un regalo” – Esta es la concepción que debe tener una organización cuando recibe una queja o una propuesta de mejora.
La gestión de las quejas y sugerencias, debe incardinarse dentro de la secuencia lógica del desarrollo de cualquier programa de calidad.
El sistema de gestión de quejas y sugerencias que se establezca, debe abordar entre otras, las siguientes cuestiones básicas:
42
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
El marco normativo de la organización, debe dar cobertura suficiente y propiciar la presentación de quejas y sugerencias no solo de los destinatarios de los servicios finales prestados por los distintos órganos, sino también del propio personal.
Puede constituirse un órgano ajeno a la organización con competencias específicas en la gestión; tramitación y resolución de quejas, o bien constituirse unidades internas con idéntica función.
CONSIDERACION DE UN MARCO NORMATIVO
ORGANOS CON RESPONSABILIDAD EN LA GESTION Y TRAMITACION DE QUEJAS.
APARTADO 19.2APARTADO 19.2
EPÍGRAFE 19.2.1EPÍGRAFE 19.2.1
43
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
En uno u otro caso, el papel del órgano de auditoria interna puede ser diferente. Puede prestar apoyo técnico y administrativo al órgano creado “ad hoc” para el conocimiento resolución de las quejas; o, por el contrario, no participar en su tramitación y resolución, pero obtener y analizar la información derivada de las mismas con el fin de detecta conductas irregulares o proponer mejoras en los procesos.
En este último caso, el órgano de auditoria interna realizará el seguimiento de las quejas y sugerencias, siendo responsable de elaborar un Informe Global de Quejas a la Alta Dirección de la Organización.
44
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
SEGUIMIENTO
ORGANO INDEPENDIENTE
Si existe un órgano independiente con competencias en la resolución de quejas, el OAI puede realizar funciones de apoyo técnico y administrativo en el proceso de tramitación. En éste modelo en particular, el seguimiento se efectúa a través de:
La recepción y tramitación.
El establecimiento de requisitos exigibles.
APARTADO 19.4APARTADO 19.4
EPÍGRAFE 19.4.1.EPÍGRAFE 19.4.1.
45
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
Control del calidad sobre las contestaciones.
Explotación de la información a través de la aplicación informática diseñada al efecto.
Presencia del Director del OAI en el consejo rector del órgano.
Elaboración de una Memoria Anual.
46
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
APARTADO 19.5APARTADO 19.5SISTEMA DE TRATAMIENTO DE LAS QUEJAS Y PROPUESTAS. OBJETIVOS Y CARACTERÍSTICAS
EPÍGRAFE 19.5.1.EPÍGRAFE 19.5.1. SISTEMA DE TRATAMIENTO DE LAS QUEJAS Y PROPUESTAS. IMPLANTACIÓN Y ÓRGANOS ESPECIALIZADOS
Se expone a continuación el sistema basado en la existencia de un órgano independiente de la Administración Tributaria con competencias en la recepción y resolución de quejas de los contribuyentes.
Modelo seguido en la Administración Tributaria española a raíz de la creación del Consejo para la Defensa del Contribuyente.
47
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
UNIDAD RESPONSABLE DE LA GESTION DE QUEJAS
Se integra en la estructura orgánica del OAI con carácter y personal diferenciados.
Su responsable es un Jefe de Área de Auditoria.
Depende jerárquicamente del OAI y funcionalmente del CDC.
48
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
FUNCIONES:
De relación tanto con el CDC como con la estructura central y territorial de la AEAT.
De Control tanto procedimental como de calidad.
De investigación.
De análisis y seguimiento de la información.
49
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
ESTRUCTURA
UNIDADES RECEPTORAS:
Recepción.
Acuse de recibo ante el contribuyente.
Registro
Remisión a Unidad de Tramitación.
50
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
UNIDADES TRAMITADORAS:
Iniciar la tramitación de la queja.
Codificar y dar alta en sistema informático.
Decidir en primera instancia sobre su admisión a trámite.
Designar al Servicio responsable.
Recibir del Servicio responsable la contestación dada al contribuyente.
Efectuar un control de calidad de la contestación.
Efectuar un control material sobre la contestación.
51
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
UNIDAD CENTRAL
Quejas en relación con competencias de Servicios Centrales.
Quejas presentadas por entidades representativas de intereses colectivos.
Quejas contra Servicios de más de un ámbito regional.
Sugerencias.
52
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
EPÍGRAFE 19.5.2EPÍGRAFE 19.5.2 ESQUEMA GENERAL DEL PROCEDIMIENTO
PRINCIPIOS GENERALES:
Información a los ciudadanos.
Confidencialidad.
Legitimación para la presentación de quejas.
Formas y lugares de presentación.
Constancia formal de la presentación.
53
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
FASES DE LA TRAMITACION:
Fase I: Recepción de la queja por las Unidades Receptoras Locales.
Fase II: Tramitación del expediente de Queja.
Fase III: Gestión del expediente ante el CDC.
Las dos primeras fases se desarrollan en el propio OAI a través de la coordinación y dirección funcional de las unidades locales y regionales.
La tercera se desarrolla en el Órgano independiente de resolución de quejas, según su procedimiento y con la asistencia y apoyo técnico del OAI.
