SÍNTESIS - Examen Especial a Títulos de Crédito de la Dirección Regional Norte. Informe: Examen Especial a Títulos de Crédito de la Dirección Regional Norte. Período: 30 de junio de 2002 al 30 de julio de 2004. Código: AISRI-001-2005 Oficio de Aprobación por la Contraloría General del Estado: No. 023167-DCAI, del 19 de mayo de 2006. Monto de Recursos Examinados El monto de recursos examinados corresponde al de los saldos de títulos de crédito de la Dirección Regional Norte, que fueron los siguientes: Fecha Al 31 de diciembre de 2002 Al 31 de diciembre de 2003 Al 31 de julio de 2004 Valor en USD $ 18`911.049,07 26`361.197,26 26`111.193,35 RESULTADOS DEL EXAMEN SEGUIMIENTO DE RECOMENDACIONES. Recomendación. Al Director Nacional Administrativo Financiero.1) Dispondrá y verificará la diligente continuidad del trámite de contratación de la firma privada de auditoría que emitirá el informe técnico previo para proceder a la baja de obligaciones derivadas de actas de fiscalización u otros actos de determinación de la ex – Dirección General de Rentas que se encuentren sin los adecuados soportes para la gestión de cobro. CONTROL INTERNO INFORMÁTICO. Manual de Usuario del Sistema de Cobranzas. Recomendación. Al Director Nacional de Desarrollo Tecnológico.2) Coordinará en forma conjunta con el Responsable Nacional de Control Financiero la actualización oportuna del Manual de Usuario del Sistema de Cobranzas siempre que se realicen modificaciones al Sistema. Política de Claves. Recomendaciones. Al Director Nacional de Desarrollo Tecnológico.3) Dispondrá al Responsable del Área de Producción revise y determine los lineamientos de la Política de Uso de Claves del SRI que no se están cumpliendo en el sistema de cobranzas con el fin de implementarlos en el sistema. 1/5 SÍNTESIS - Examen Especial a Títulos de Crédito de la Dirección Regional Norte. 4) Dispondrá al Responsable del Área de Producción diseñe e implemente un plan de estandarización de las seguridades informáticas de los sistemas institucionales. En forma específica en cuanto a las claves de acceso considerará, entre otros que fuere necesario y de ser procedente, los siguientes lineamientos: §Definir el número de días en que se debe presentar un mensaje de alerta que indique que la clave de acceso va a expirar. (recomendable 5 días). §Definir una longitud de la clave de acceso. (recomendable mínimo: 6 caracteres, máximo: 8 caracteres). §Validar que el nombre de usuario (login) y la clave de acceso (password) no sean iguales. §En el caso que el password expire y el usuario deba ingresar uno nuevo, validar que este último no sea igual al password expirado (antiguo). §Periodicidad en el cambio de las claves de acceso. (es recomendable cambiar cada 3 meses). El no cambiar las claves periódicamente aumenta la posibilidad de que usuarios no autorizados conozcan y utilicen dichas claves para acceder al sistema. §Utilizar combinación alfanumérica en las claves de acceso. No es conveniente que se utilice como clave palabras o números de fácil deducción (códigos de empleados, nombres de familiares, etc) debido a que una persona no autorizada puede descubrir dicha clave. §Establecer procedimientos para prevenir intentos fallidos de usuarios no autorizados para descubrir la clave de acceso. Es recomendable que el sistema tenga definidas políticas de bloqueo para intentos no autorizados como las siguientes: a)Definir el numero de veces que permita el sistema intentos fallidos de acceso. (recomendable 3 veces) b)Establecer un bloqueo en la cuenta de usuario cuando existan 3 intentos fallidos en el ingreso de la clave de acceso, una vez que el sistema se bloquee obligará al usuario a comunicarse con el Departamento de Informática con el fin de que éste sea el único autorizado para desbloquear la cuenta del usuario. Además, se recomienda enviar un e-mail al usuario responsable de la clave con el objetivo que tenga en conocimiento de este particular. §Se recomienda considerar controles de acceso adicionales a nivel de la Base de Datos Oracle como por ejemplo permitir a los funcionarios disponer de una sesión de usuario a la vez, a fin de evitar que el usuario ingrese desde otro computador sin antes haber cerrado su sesión anterior. Al Responsable Nacional de Control Financiero.5) Conjuntamente con un funcionario de la Dirección de Desarrollo Tecnológico elaborará e implementará un plan de difusión y control continuo que vele por el cumplimiento de la Políticas de Uso de Claves por parte de los usuarios del Sistema de Cobranzas. Pistas de Auditoría (logs). Recomendaciones. Al Responsable Nacional de Control Financiero.6) Conjuntamente con el Administrador del Sistema de Cobranzas revisará el formato de los reportes de pistas de auditoría a fin de determinar si están acordes a las necesidades de supervisión y control del área de Cobranzas; caso contrario solicitará las modificaciones pertinentes. 7) Asignará un funcionario responsable de su área para que revise con una periodicidad definida las pistas de auditoría del sistema de cobranzas. Controles de Acceso Restringido del Sistema de Cobranzas. 2/5 SÍNTESIS - Examen Especial a Títulos de Crédito de la Dirección Regional Norte. Recomendaciones. Al Responsable Nacional de Control Financiero.8) En coordinación con el Director Nacional de Desarrollo Tecnológico asignará a una persona de su área la revisión periódica de los roles de usuario del Sistema de Cobranzas con el fin de verificar la conformidad de los mismos con los lineamientos respectivos y la justificación de las opciones habilitadas en cada rol. 9) Definirá y ejecutará un proceso periódico de revalidación de usuarios que se ejecutará al menos una vez al año. En dicho proceso deberá contemplarse el envío de los usuarios y perfiles a cada responsable de las áreas relacionadas con el Sistema de Cobranzas. 10) Conjuntamente con el Coordinador Regional de Cobranzas proporcionarán la capacitación respectiva al personal de Procuración de la Regional Norte a fin de que se incorpore al manejo del Sistema de Cobranzas, de acuerdo a lo previsto según sus roles de usuario. Al Responsable Nacional de Recursos Humanos.11) En coordinación con el Director Nacional de Desarrollo Tecnológico diseñará e implementará un procedimiento confiable y oportuno que permita a la Dirección Nacional de Desarrollo Tecnológico conocer de la salida o cambio de área de personal del SRI, a fin de realizar los cambios o suspensiones de los accesos a sistemas y demás herramientas informáticas. Al Director Nacional de Desarrollo Tecnológico.12) Una vez recibida la notificación de Recursos Humanos sobre la salida de un funcionario deberá proceder inmediatamente a eliminar su log in (identificador de usuario) de todos los sistemas y sus cuentas de correo electrónico. En caso de que sea un cambio de área se deberá realizar de igual manera los cambios pertinentes de acceso a sistemas y demás herramientas informáticas. Revisión de Traspaso de Información del Sistema de Cobranzas al Sistema de Contabilidad CG. Recomendaciones. Al Responsable Nacional de Control Financiero.13) Aprobará por escrito y justificadamente las reversión de datos que deban efectuarse de uno o varios lotes enviados desde el Sistema de Cobranzas al Sistema Contable CG. 14) Designará una persona de su área para que verifique periódicamente la conciliación y traspaso del lote de datos desde el Sistema de Cobranzas al Sistema Contable CG. Controles Automáticos del Sistema de Cobranzas. 3/5 SÍNTESIS - Examen Especial a Títulos de Crédito de la Dirección Regional Norte. Recomendaciones. Al Responsable Nacional de Control Financiero.15) Conjuntamente con el Director Nacional de Desarrollo Tecnológico y a fin de aplicar las acciones correctivas pertinentes analizarán y revisarán los controles automáticos que no están implementados adecuadamente: Despliegue de usuarios registrados como agentes de persuasiva y coactiva en el sistema por regional; y, Término oportuno de visualización de la sección “Resultado” en gestión persuasiva cuando el contribuyente ha cancelado su deuda. 16) Conjuntamente con los Coordinadores Regionales de Cobranzas determinará y analizará las necesidades y / o problemas operativos que tengan actualmente los usuarios del Sistema de Cobranzas con la finalidad de optimizar el aplicativo. GESTION DE TITULOS DE CREDITO. Coactiva por Cuotas Incumplidas en Facilidades de Pago. Recomendaciones. Al Coordinador de Cobranzas de la Regional Norte.17) Dispondrá y verificará que las facilidades de pago que por cuotas incumplidas deban pasar o hayan pasado al proceso coactivo, consten así en el sistema, es decir que del estado “FACILIDADES” pasen al estado “COACTIVA”. Para el cumplimiento de esta recomendación realizará la coordinación que fuere necesaria con el Administrador Informático del Sistema de Cobranzas. Abonos Parciales a Títulos de Crédito. Recomendación. Al Director Nacional Administrativo Financiero.18) Dispondrá al Responsable Nacional de Control Financiero en Coordinación con el Director Nacional de Desarrollo Tecnológico continúen con la modificación al Sistema de Cobranzas y Contable Tributario con la finalidad de poder registrar de manera consistente en los dos sistemas mencionados los abonos parciales que efectúen los contribuyentes. Facilidades de Pago del Sistema de Cobranzas. Recomendación. Al Responsable Nacional de Control Financiero.19) En coordinación con el Director Nacional de Desarrollo Tecnológico implementarán de manera óptima el uso del módulo de facilidades de pago, a fin de prescindir del manejo de información tributaria extra sistemas. Diferencias entre Información del Sistema y Formularios 106. 4/5 SÍNTESIS - Examen Especial a Títulos de Crédito de la Dirección Regional Norte. Recomendación. Al Coordinador Regional Norte de Cobranzas.20) Analizará los casos de diferencias entre el Sistema y los formularios 106 detectados por Auditoría Interna según memorando Nº. NAC-AINM2005-019, del 5 de abril de 2005, a fin de ratificar o rectificar la información del sistema que fuere necesario. Adicionalmente, definirá las acciones correctivas pertinentes a fin de obtener un nivel de certeza razonable de que la información del Sistema refleja lo que consta en los formularios físicos 106 y 106 A. 5/5