no se envio

Anuncio
SÍNTESIS - Examen Especial a Títulos de Crédito de la Dirección Regional Norte.
Informe: Examen Especial a Títulos de Crédito de la Dirección Regional Norte.
Período: 30 de junio de 2002 al 30 de julio de 2004.
Código: AISRI-001-2005
Oficio de Aprobación por la Contraloría General del Estado: No. 023167-DCAI, del 19 de
mayo de 2006.
Monto de Recursos Examinados
El monto de recursos examinados corresponde al de los saldos de títulos de crédito de la
Dirección Regional Norte, que fueron los siguientes:
Fecha
Al 31 de diciembre de 2002
Al 31 de diciembre de 2003
Al 31 de julio de 2004
Valor en USD $
18`911.049,07
26`361.197,26
26`111.193,35
RESULTADOS DEL EXAMEN
SEGUIMIENTO DE RECOMENDACIONES.
Recomendación.
Al Director Nacional Administrativo Financiero.1) Dispondrá y verificará la diligente continuidad del trámite de contratación de la firma privada
de auditoría que emitirá el informe técnico previo para proceder a la baja de obligaciones
derivadas de actas de fiscalización u otros actos de determinación de la ex – Dirección
General de Rentas que se encuentren sin los adecuados soportes para la gestión de cobro.
CONTROL INTERNO INFORMÁTICO.
Manual de Usuario del Sistema de Cobranzas.
Recomendación.
Al Director Nacional de Desarrollo Tecnológico.2) Coordinará en forma conjunta con el Responsable Nacional de Control Financiero la
actualización oportuna del Manual de Usuario del Sistema de Cobranzas siempre que se
realicen modificaciones al Sistema.
Política de Claves.
Recomendaciones.
Al Director Nacional de Desarrollo Tecnológico.3) Dispondrá al Responsable del Área de Producción revise y determine los lineamientos de la
Política de Uso de Claves del SRI que no se están cumpliendo en el sistema de cobranzas
con el fin de implementarlos en el sistema.
1/5
SÍNTESIS - Examen Especial a Títulos de Crédito de la Dirección Regional Norte.
4) Dispondrá al Responsable del Área de Producción diseñe e implemente un plan de
estandarización de las seguridades informáticas de los sistemas institucionales. En forma
específica en cuanto a las claves de acceso considerará, entre otros que fuere necesario y
de ser procedente, los siguientes lineamientos:
§Definir el número de días en que se debe presentar un mensaje de alerta que indique que
la clave de acceso va a expirar. (recomendable 5 días).
§Definir una longitud de la clave de acceso. (recomendable mínimo: 6 caracteres, máximo:
8 caracteres).
§Validar que el nombre de usuario (login) y la clave de acceso (password) no sean iguales.
§En el caso que el password expire y el usuario deba ingresar uno nuevo, validar que este
último no sea igual al password expirado (antiguo).
§Periodicidad en el cambio de las claves de acceso. (es recomendable cambiar cada 3
meses). El no cambiar las claves periódicamente aumenta la posibilidad de que usuarios
no autorizados conozcan y utilicen dichas claves para acceder al sistema.
§Utilizar combinación alfanumérica en las claves de acceso. No es conveniente que se
utilice como clave palabras o números de fácil deducción (códigos de empleados, nombres
de familiares, etc) debido a que una persona no autorizada puede descubrir dicha clave.
§Establecer procedimientos para prevenir intentos fallidos de usuarios no autorizados para
descubrir la clave de acceso. Es recomendable que el sistema tenga definidas políticas de
bloqueo para intentos no autorizados como las siguientes:
a)Definir el numero de veces que permita el sistema intentos fallidos de acceso.
(recomendable 3 veces)
b)Establecer un bloqueo en la cuenta de usuario cuando existan 3 intentos fallidos
en el ingreso de la clave de acceso, una vez que el sistema se bloquee obligará al
usuario a comunicarse con el Departamento de Informática con el fin de que éste
sea el único autorizado para desbloquear la cuenta del usuario. Además, se
recomienda enviar un e-mail al usuario responsable de la clave con el objetivo que
tenga en conocimiento de este particular.
§Se recomienda considerar controles de acceso adicionales a nivel de la Base de Datos
Oracle como por ejemplo permitir a los funcionarios disponer de una sesión de usuario a la
vez, a fin de evitar que el usuario ingrese desde otro computador sin antes haber cerrado
su sesión anterior.
Al Responsable Nacional de Control Financiero.5) Conjuntamente con un funcionario de la Dirección de Desarrollo Tecnológico elaborará e
implementará un plan de difusión y control continuo que vele por el cumplimiento de la
Políticas de Uso de Claves por parte de los usuarios del Sistema de Cobranzas.
Pistas de Auditoría (logs).
Recomendaciones.
Al Responsable Nacional de Control Financiero.6) Conjuntamente con el Administrador del Sistema de Cobranzas revisará el formato de los
reportes de pistas de auditoría a fin de determinar si están acordes a las necesidades de
supervisión y control del área de Cobranzas; caso contrario solicitará las modificaciones
pertinentes.
7) Asignará un funcionario responsable de su área para que revise con una periodicidad
definida las pistas de auditoría del sistema de cobranzas.
Controles de Acceso Restringido del Sistema de Cobranzas.
2/5
SÍNTESIS - Examen Especial a Títulos de Crédito de la Dirección Regional Norte.
Recomendaciones.
Al Responsable Nacional de Control Financiero.8) En coordinación con el Director Nacional de Desarrollo Tecnológico asignará a una persona
de su área la revisión periódica de los roles de usuario del Sistema de Cobranzas con el fin
de verificar la conformidad de los mismos con los lineamientos respectivos y la justificación
de las opciones habilitadas en cada rol.
9) Definirá y ejecutará un proceso periódico de revalidación de usuarios que se ejecutará al
menos una vez al año. En dicho proceso deberá contemplarse el envío de los usuarios y
perfiles a cada responsable de las áreas relacionadas con el Sistema de Cobranzas.
10) Conjuntamente con el Coordinador Regional de Cobranzas proporcionarán la capacitación
respectiva al personal de Procuración de la Regional Norte a fin de que se incorpore al
manejo del Sistema de Cobranzas, de acuerdo a lo previsto según sus roles de usuario.
Al Responsable Nacional de Recursos Humanos.11) En coordinación con el Director Nacional de Desarrollo Tecnológico diseñará e
implementará un procedimiento confiable y oportuno que permita a la Dirección Nacional de
Desarrollo Tecnológico conocer de la salida o cambio de área de personal del SRI, a fin de
realizar los cambios o suspensiones de los accesos a sistemas y demás herramientas
informáticas.
Al Director Nacional de Desarrollo Tecnológico.12) Una vez recibida la notificación de Recursos Humanos sobre la salida de un funcionario
deberá proceder inmediatamente a eliminar su log in (identificador de usuario) de todos los
sistemas y sus cuentas de correo electrónico. En caso de que sea un cambio de área se
deberá realizar de igual manera los cambios pertinentes de acceso a sistemas y demás
herramientas informáticas.
Revisión de Traspaso de Información del Sistema de Cobranzas al Sistema de
Contabilidad CG.
Recomendaciones.
Al Responsable Nacional de Control Financiero.13) Aprobará por escrito y justificadamente las reversión de datos que deban efectuarse de uno
o varios lotes enviados desde el Sistema de Cobranzas al Sistema Contable CG.
14) Designará una persona de su área para que verifique periódicamente la conciliación y
traspaso del lote de datos desde el Sistema de Cobranzas al Sistema Contable CG.
Controles Automáticos del Sistema de Cobranzas.
3/5
SÍNTESIS - Examen Especial a Títulos de Crédito de la Dirección Regional Norte.
Recomendaciones.
Al Responsable Nacional de Control Financiero.15) Conjuntamente con el Director Nacional de Desarrollo Tecnológico y a fin de aplicar las
acciones correctivas pertinentes analizarán y revisarán los controles automáticos que no
están implementados adecuadamente:


Despliegue de usuarios registrados como agentes de persuasiva y coactiva en el
sistema por regional; y,
Término oportuno de visualización de la sección “Resultado” en gestión persuasiva
cuando el contribuyente ha cancelado su deuda.
16) Conjuntamente con los Coordinadores Regionales de Cobranzas determinará y analizará
las necesidades y / o problemas operativos que tengan actualmente los usuarios del
Sistema de Cobranzas con la finalidad de optimizar el aplicativo.
GESTION DE TITULOS DE CREDITO.
Coactiva por Cuotas Incumplidas en Facilidades de Pago.
Recomendaciones.
Al Coordinador de Cobranzas de la Regional Norte.17) Dispondrá y verificará que las facilidades de pago que por cuotas incumplidas deban pasar
o hayan pasado al proceso coactivo, consten así en el sistema, es decir que del estado
“FACILIDADES” pasen al estado “COACTIVA”. Para el cumplimiento de esta
recomendación realizará la coordinación que fuere necesaria con el Administrador
Informático del Sistema de Cobranzas.
Abonos Parciales a Títulos de Crédito.
Recomendación.
Al Director Nacional Administrativo Financiero.18) Dispondrá al Responsable Nacional de Control Financiero en Coordinación con el Director
Nacional de Desarrollo Tecnológico continúen con la modificación al Sistema de Cobranzas
y Contable Tributario con la finalidad de poder registrar de manera consistente en los dos
sistemas mencionados los abonos parciales que efectúen los contribuyentes.
Facilidades de Pago del Sistema de Cobranzas.
Recomendación.
Al Responsable Nacional de Control Financiero.19) En coordinación con el Director Nacional de Desarrollo Tecnológico implementarán de
manera óptima el uso del módulo de facilidades de pago, a fin de prescindir del manejo de
información tributaria extra sistemas.
Diferencias entre Información del Sistema y Formularios 106.
4/5
SÍNTESIS - Examen Especial a Títulos de Crédito de la Dirección Regional Norte.
Recomendación.
Al Coordinador Regional Norte de Cobranzas.20) Analizará los casos de diferencias entre el Sistema y los formularios 106 detectados por
Auditoría Interna según memorando Nº. NAC-AINM2005-019, del 5 de abril de 2005, a fin
de ratificar o rectificar la información del sistema que fuere necesario. Adicionalmente,
definirá las acciones correctivas pertinentes a fin de obtener un nivel de certeza razonable
de que la información del Sistema refleja lo que consta en los formularios físicos 106 y 106
A.
5/5
Descargar