SEMINARIO CIAT/AEAT (ESPAÑA)

EL CONTROL INTERNO COMO TAREA DE DIRECCIÓN

GESTIÓN DE RIESGOS

25-MAYO-2011

Servicio de Auditoría Interna 1

 CONTENIDO

1. ASPECTOS GENERALES

2. MAPA DE RIESGOS AEAT (ESPAÑA)

3. PROCEDIMIENTO DE GESTIÓN

Servicio de Auditoría Interna 2

 1. ASPECTOS GENERALES

Servicio de Auditoría Interna 3

Los informes actuales sobre control interno elaborados por
las principales instituciones mundiales que se ocupan de
esta materia han derivado hacia un tipo de control interno
basado en la gestión de los riesgos de las organizaciones.

•El Committee of Sponsoring Organizations of the Treadway

Commission ha desarrollado una metodología para
gestionar los riesgos conocida comúnmente como ERM
(Entreprise Risk Management) o COSO II (2004).

Metodologías de análisis y gestión de riesgos se está

implantando en mayor o menor grado por todas las grandes
organizaciones.

Servicio de Auditoría Interna 4

 ¿Qué es el riesgo?
Visión amplia del riesgo

Amenaza
Reducir/Minimizar

Incertidumbre
Administrar

Oportunidad
Aprovechar/Maximizar

Cualquier acontecimiento futuro incierto que puede obstaculizar el logro de

los objetivos estratégicos, operativos y/o financieros de la organización.

Servicio de Auditoría Interna 5

 ¿QUÉ ES UN RIESGO?

El riesgo se define como la posibilidad de que

un evento ocurra y afecte adversamente a la
consecución de los objetivos de una
organización.

Su naturaleza puede ser muy variada y deberse a

factores externos (económicos, medioambientales,
políticos, sociales, catastróficos, etc.) o internos
(infraestructura, personal, procesos y tecnología, etc.)

Servicio de Auditoría Interna 6

 Gestión de Riesgos

La gestión de riesgos identifica, evalúa y controla

acontecimientos que, potencialmente, pueden
poner en peligro los objetivos y metas.

El riesgo se mide en términos de impacto y probabilidad.

Servicio de Auditoría Interna 7

 Tipos de Riesgos
RIESGOS DESCRIPCIÓN
Riesgos de naturaleza estructural o (afectan a la misión o visión institucional,
institucional programación, dirección, estructura u organización
claves....)
Riesgos vinculados a la gestión económico- (medios materiales y financieros)
financiera
Riesgos vinculados a la gestión inmobiliaria

Riesgos en las comunicaciones (voz, teléfono, fax, papel, etc.)

Riesgos de cumplimiento de normas (generales e instrucciones internas)

Riesgos de información para la gestión (integridad y disponibilidad)

Riesgos en los procesos de gestión (diseño, calidad, eficacia y eficiencia)

Riesgos de Recursos Humanos (capacidad, conducta, seguridad e higiene,

satisfacción y motivación)

Riesgos de seguridad en la información (accesos y cesión)

Riesgos externos (políticas públicas, cambios legislación, entidades

colaboradoras, otras administraciones tributarias)

Seguridad Interna

Servicio de Auditoría Interna 8

 Definiciones de Riesgos
RIESGOS
Riesgo del Entorno
Riesgos de Procesos
Servicio de Auditoría Interna
DESCRIPCIÓN
El riesgo del entorno surge cuando hay fuerzas
externas que pueden afectar al logro de la misión y
objetivos de la institución.
El riesgo de procesos es el riesgo que los procesos de
negocios de la institución:
· No están adquiriendo, administrando, renovando y
disponiendo eficazmente los recursos
· No están claramente definidos los procesos claves
· No están alineados con sus estrategias
· No están operando eficaz y efectivamente para
satisfacer las necesidades sociales
· No están creando valor
· Están efectuando un mal uso o malversación de los
recursos
9
 Definiciones de Riesgos

RIESGOS DESCRIPCIÓN
Riesgos Financieros El riesgo financiero es el riesgo que los flujos de caja y
activos financieros no se manejan de manera
eficiente
Riesgo de Información Consiste en que la información sea oportuna y fiable
de Gestión para la toma de decisiones tanto estratégicas como
operativas.

Riesgo de Dirección Liderazgo efectivo de la alta Dirección y políticas

alineadas con los objetivos estratégicos de la
institución.

Servicio de Auditoría Interna 10

 Definiciones de Riesgos

RIESGOS DESCRIPCIÓN
Riesgos Tecnológicos

Riesgo de Tecnología de Referidos a Hardware, al software, a las redes y a

Información la seguridad de los sistemas de información.

Riesgos de Integridad El riesgo de integridad es el riesgo de fraude

gerencial, fraude de personal, actos ilegales y
actos no autorizados, los cuales podrían resultar en
la pérdida de reputación de la institución y
perdida de confianza de los ciudadanos

Servicio de Auditoría Interna 11

Evitar Compartir
•Prescindir o reducir una actividad o efectuar •Adoptar seguros frente a situaciones
actuación limitada sobre un segmento inesperadas significativas
geográfico o de contribuyentes
•Establecer acuerdos con otras Adm.
•Decidir no emprender nuevas iniciativas / Tributarias y Organismos Internacionales
actividades que podrían dar lugar a riesgos
•Externalizar procesos de actividad
•Distribuir el riesgo mediante acuerdos
contractuales con Universidades, asesores
fiscales, corporaciones y empresas
Reducir Aceptar
•Comprometer a la Dirección y al conjunto •Establecer discursos creíbles y mejorar la
de las areas en el desarrollo del Control comunicación externa de la AEAT

•Aumentar la implicación de la Dirección en •Aceptar el riesgo si se adapta a la tolerancia

la toma de Decisiones y el seguimiento al riesgo existente

•Mejorar la articulación institucional y la

coordinación del Control Interno

Servicio de Auditoría Interna 12

 El Rol de la Organización
“Evaluar y garantizar que exista un equilibrio apropiado
entre el coste del control y el riesgo en toda la
organización.”

Riesgo Control

Servicio de Auditoría Interna 13

 Etapas de la Gestión de Riesgo
Concepto de Gestión de Riesgo (1)

Punto de Partida: Objetivos, Metas y Procesos (2):

Identificación de los Riesgo (3):

Evaluación de los Riesgo (4):

Escala de Análisis (5)

Respuesta de Riesgo(6):

Medidas, Tareas y Punto de Control mitigantes (7)

Nueva Autoevaluación y Actividades de Control (8):

Servicio de Auditoría Interna 14

 Concepto de Gestión de Riesgo (1)

Proceso efectuado por la Dirección y el conjunto del personal

de la AEAT.

Integrado dentro de la estrategia de la organización.

Diseñado para primero identificar, después evaluar y mas tarde

controlar acontecimientos o situaciones potenciales de Riesgo.

Su fin es proporcionar un aseguramiento razonable respecto al

alcance de los objetivos y metas de la institución.

Servicio de Auditoría Interna 15

 Punto de Partida: Objetivos, Metas y Procesos (2):

Establecimiento de los objetivos de la organización:

• Los objetivos y metas de la institución, tanto estratégicos

como operativos, se establecen con anterioridad a que se
identifiquen, los posibles acontecimientos que impidan su
1 consecución.

• Los objetivos de una organización deben ser alcanzables y

susceptibles de medición. La medición puede ser
cualitativa o cuantitativa, y utiliza, según el caso,
2 indicadores de rendimiento o medidas de percepción.

Servicio de Auditoría Interna 16

 Identificación de los Riesgo (3):

• Deben identificarse los acontecimientos o eventos que pueden

afectar a la consecución de los objetivos y metas. Algunos
pueden afectar negativamente y, por tanto, implicar riesgos, y
1 otros positivamente, e implicar oportunidades.

• Riesgos Estratégicos y Corporativos: Son los que deben ser

valorados por la Alta Dirección debido al impacto que pueden
2 tener sobre el negocio.

• Riesgos Operacionales: Se sitúan en un nivel inferior de la

organización y deben ser resueltos por las Unidades Operativas.
3

Servicio de Auditoría Interna 17

 Evaluación de los Riesgo (4):

Evaluación de los Riesgos:

Su impacto
sobre la La
consecución probabilidad
de los de ocurrencia
objetivos

Hay que valorar:

 El riesgo inherente, que se define como el riesgo existente
antes de establecer los controles, es decir si no se hubiesen
adoptado acciones para alterar el impacto o la
probabilidad.
 El riesgo residual, consistente en el riesgo remanente tras
establecer las medidas de control.
Servicio de Auditoría Interna 18
 Tipos de Riesgos

Riesgo
Inherente

Respuesta al Riesgo
(control interno)

Riesgo
Residual

Servicio de Auditoría Interna 19

  La evolución del riesgo inherente permite a la
dirección de la organización evaluar si los controles
existentes, que pueden tener un coste directo o un
coste de oportunidad relevante, deben mantenerse.
 Las técnicas de evaluación de riesgos consisten en una
combinación de técnicas cualitativas y de técnicas
cuantitativas (benchmarking, modelos
probabilísticos, modelos no probabilísticos).
 Una medida cuantitativa del impacto es el
porcentaje del riesgo existente.

Servicio de Auditoría Interna 20

  No obstante, ante la dificultad real del proceso de
valoración de los diferentes riesgos de una
organización, se suelen utilizar escalas simplificadas
tanto para el impacto como para la probabilidad de
ocurrencia.
 Se emplean a veces modelos más sofisticados, que
tienen en cuenta el periodo de exposición al riesgo o
el número de ocasiones en que se puede producir una
situación de riesgos.

Servicio de Auditoría Interna 21

Los riesgos deben definirse en términos precisos y se debe
analizar su posible gestión, por los órganos proponentes.

Los riesgos deben vincularse a procesos pero no pueden ser

excesivamente puntuales.

La selección debe incluir riesgos de diversa naturaleza:

• Procesos
Operativos

1 Coordinación
General 2 • Procesos
Estructurales
• Procesos
Institucionales

Servicio de Auditoría Interna 22

 Como referencias, a título de ejemplo, pueden
considerarse:

- Riesgos vinculados a los procesos y procedimientos específicos

de cada área.

- A dificultades en el cumplimiento del Plan de objetivos de primer

nivel.

- A la inexistencia de recursos en áreas clave.

- A la necesidad de cambios normativos y de instrucciones de

funcionamiento y a cuestiones organizativas y de coordinación
inter-áreas.

No se debe obviar y en consecuencia hay que incluir riesgos en los

procesos operativos tales como: Prescripciones, Control
Conductas, Insuficientes Resultados.

Servicio de Auditoría Interna 23

 2. MAPA DE RIESGOS
AEAT (ESPAÑA)

Servicio de Auditoría Interna 24

 COMISIONES SECTORIALES DE
SEGURIDAD Y CONTROL

Creadas por Resolución de 26 de enero de 1998 de la Presidencia

de la A.E.A.T., en desarrollo de la Orden de 11 de julio de 1997.

PRESIDENTE Director del Departamento correspondiente

VICEPRESIDENTE Un Inspector de los Servicios del S.A.I.

Un funcionario del Departamento correspondiente,

Un representante del Departamento de Informática
VOCALES Tributaria
Dos representantes de los Servicios territoriales.

SECRETARIO Un funcionario del Departamento correspondiente

Servicio de Auditoría Interna 25

 COMISIONES SECTORIALES DE
SEGURIDAD Y CONTROL: FUNCIONES

Analizar y evaluar los riesgos de funcionamiento de los

servicios a fin de establecer las correspondientes medidas
preventivas.

Establecer y mantener actualizados de forma permanente los

criterios y directrices generales sobre seguridad en el ámbito
de la Comisión.

Elaborar propuestas para mejorar y reforzar los sistemas de

seguridad y control.

Elevar a la Comisión de Seguridad y Control propuestas.

Servicio de Auditoría Interna 26

 COMISIONES SECTORIALES DE SEGURIDAD Y
CONTROL: PRESTARÁ ESPECIAL ATENCIÓN

Detectar e inventariar las áreas y puntos de riesgo más

relevantes en su ámbito.

Analizar y evaluar, para cada una de las áreas de

riesgo delimitadas, las deficiencias y debilidades de
control existentes.

Acordar y hacer operativas las medidas encaminadas a

corregir las deficiencias observadas y a reforzar los
sistemas de control y seguridad.

Elaborar, en su caso, las propuestas de normas e

instrucciones que requiera la ejecución de las medidas
acordadas.

Servicio de Auditoría Interna 27

 MAPA DE RIESGOS DE LA AEAT

A finales de 2005, el Comité de Dirección de la AEAT

decidió, a propuesta del SAI, la elaboración de un
primer Mapa de Riesgos de la Agencia Tributaria, para
el periodo 2006-2008.

Por resolución del Director de la AEAT de 4 de

diciembre de 2009, se ha aprobado el Mapa de Riesgos
de la AEAT para el periodo 2009-2011.

Servicio de Auditoría Interna 28

 MAPA DE RIESGOS

Es una representación de los principales riesgos que

afectan a la consecución de los objetivos de la AEAT,
categorizados en función de su probabilidad de
ocurrencia y su impacto en dichos objetivos.

Es un instrumento de ayuda a la Dirección en la toma de

decisiones, que le permite orientar sus esfuerzos hacia
aquellas áreas, procesos o aspectos de la actividad que
puedan comprometer más gravemente la consecución
de sus objetivos.

Servicio de Auditoría Interna 29

 EVALUACIÓN DEL RIESGO
PROBABILIDAD  muy alta (5), alta (4), media alta (3) media (2), baja (1)
X
IMPACTO  muy alto (3), alto (2), medio (1), bajo (0) *

EVALUACIÓN:
BAJO  1 a 3
MEDIO  4 a 5
MEDIO ALTO  6
ALTO  8 a 10
CRÍTICO  12 a 15

* Convención para que los riesgos de impacto muy bajo siempre resulten con
evaluación final baja.
Servicio de Auditoría Interna 30
 MAPA DEL RIESGO INHERENTE

muy alto 3 Valor Riesgo

Probabilidad x Impacto
3 6 9 12 15
alto 2 Muy bajo 0

2 4 6 8 10 Bajo 1 a 3
Impacto

medio 1 Medio 4 y 5

Medio Alto 6
1 2 3 4 5
Alto 8 a 10
bajo 0
0 0 0 0 0 Crítico 12 y
15

1 2 3 4 5
baja media media-alta alta muy alta

Probabilidad
Servicio de Auditoría Interna 31
 OBJETIVOS DEL MAPA DE RIESGOS

Dotar de estructura, método y coordinación a los

instrumentos de gestión de riesgos que ya posee
la Agencia, especialmente a las Comisiones
Sectoriales de Seguridad y Control.

Orientar la atención preferente de dichos

instrumentos de gestión hacia los riesgos más
relevantes para la AEAT, y en general también la
de los órganos y personal que desarrollan las
actividades de control.

Servicio de Auditoría Interna 32

 CUADRO DE PLAN ANUAL
MANDOS COMISIONES

CONTROL DE
RIESGOS
INCORPORADOS MAPA DE RIESGOS
A LA GESTIÓN

PLAN ACTUACIONES
SAI

Servicio de Auditoría Interna 33

 FASES DE LA ELABORACIÓN DEL
MAPA DE RIESGOS
1ª) Fijación, catalogación y priorización de los objetivos de
cualquier categoría de la organización.
2ª) Identificación, para cada objetivo, de los procesos y
subprocesos efectuados por la organización que se
consideren clave para el cumplimiento de aquél.
3ª) Identificación de los riesgos asociados a cada uno de los
procesos clave u objetivos.
4ª) Evaluación del riesgo inherente: en ausencia de controles.
5ª) Identificación de los controles ya establecidos por la
organización.
6ª) Evaluación del riesgo residual: remanente tras los controles.
7ª) Tratamiento. Análisis del efecto del riesgo residual e
identificación y evaluación de alternativas de tratamiento.

Servicio de Auditoría Interna 34

 MAPA DE RIESGOS OPERATIVOS DE LA AEAT (2009-2011)

Concluidos los trabajos de gestión del Mapa de Riesgos Operativos de

la AEAT para el periodo 2006-2008, y una vez efectuado el
correspondiente Informe final por el Servicio de Auditoria Interna, el
Comité de Dirección aprobó su actualización para el periodo 2009-2011.
El nuevo MAPA consta de 50 Riesgos y 132 Medidas y ofrece una
visión más unitaria de los mismos, a través del proceso de integración
de distintos riesgos conexos.
MAPA DE RIESGOS MAPA DE RIESGOS
2006-2008 2009-2011
ADUANAS 11 8
GESTIÓN 11 7
INFORMÁTICA 10 10
INSPECCIÓN 10 10
RECAUDACIÓN 11 7
GENERAL 9 8

TOTAL 62 50
Servicio de Auditoría Interna 35
 MAPA DE RIESGOS OPERATIVOS DE LA AEAT (2009-2011)

CLASIFICACIÓN DE LOS RIESGOS SEGÚN CONCEPTOS

Riesgos de procesos 27

Cumplimiento de Normas e Instrucciones 5

Gestión de RR.HH. 4

Gestión Económico-Financiera 1

Sistemas Informáticos 4

Seguridad de la Información 2

Información para la Gestión 3

De carácter estructural/institucional o estratégico 4

TOTAL 50

Servicio de Auditoría Interna 36

 CLASIFICACIÓN DE LAS MEDIDAS
PROPUESTAS

Mejora Control Directivo 22

Política y Planes de Seguridad 12

Mejora de la Calidad 17
Normalización Procedimientos 14
Actuaciones Operativas 20
Coordinación Actuaciones 8

Análisis, diseño, evaluación 17

Propuestas Normativas 3
Formación y Capacitación Profesional 15

Otros 4

TOTAL 132

Servicio de Auditoría Interna 37

 ALINEAMIENTO MAPA DE RIESGOS (2009-2011)

REFERENCIAS ESTRATÉGICAS 2009 MAPA DE RIESGOS OPERATIVOS 2009-2011

Insuficiente adecuación de la política marco de Recursos SGE 240202: Riesgos en la distribución de los recursos
Humanos, a medio/largo plazo. humanos en relación con las cargas de trabajo.
SGE 250404: Riesgos relacionados con el modelo de
valoración del desempeño vinculado a la carrera
profesional.
SGE 260303: Riesgos en la dotación de cuadros con
formación en materias gerenciales.

Falta de adaptación del modelo de control de la AEAT a las SGE 240202: Riesgos en la distribución de los recursos
nuevas modalidades del fraude fiscal. humanos en relación con las cargas de trabajo.
Más de una docena de riesgos operativos en las áreas
de Aduanas, Gestión Inspección y Recaudación.

Insuficiente adaptación de los planes de trabajo a un periodo SGE 270106: Riesgos por insuficiencia de recursos.
de Déficit Público excesivo. INF 270103: Riesgo relativo a la distribución de los
recursos disponibles a las necesidades del área de
informática tributaria.

Servicio de Auditoría Interna 38

 ALINEAMIENTO MAPA DE RIESGOS (2009-2011)
REFERENCIAS ESTRATÉGICAS 2009
Falta de renovación de la Plataforma Tecnológica de la AEAT.
Aplicación a la AEAT Ley 11/2007.
Desarrollo específico del Plan de Adecuación de los Sistemas de
Información de la AEAT al Esquema Nacional de Seguridad
(Decreto 3/2010, de 8 de enero)
Plan de Continuidad del Negocio
Servicio de Auditoría Interna
MAPA DE RIESGOS OPERATIVOS 2009-2011
INF 220106: Riesgos de eficacia de las aplicaciones
corporativas y pérdida de eficiencia del personal de desarrollo.
INF 220308: Riesgo de degradación o pérdida del servicio
prestado por inadecuada operativa o recuperación de la
infraestructura tecnológica.
INF 270103: Riesgo relativo a la distribución de los recursos
disponibles a las necesidades del área de informática
tributaria.
INF 270204: Riesgos vinculados al cumplimiento en tiempo y
forma en la Ley 11/2007.
INF 230101.: Riesgo en el uso de la información,
obsolescencia y falta de adaptación de las aplicaciones
USUARIOS y CONTROLA al trabajo y organización de los
usuarios y dificultad para el desarrollo de las tareas de
autorizadores, controladores y administradores de seguridad.
INF 230410: Riesgos por la exposición de los sistemas de
información a nuevas amenazas.
INF 220308: Riesgo de degradación o pérdida del servicio
prestado por inadecuada operativa de la infraestructura
tecnológica.
SGE 270207: Riesgos en la Seguridad en edificios e
instalaciones.
SGE 270408: Riesgos CIE.
39
 3. PROCEDIMIENTO
DE
GESTIÓN

Servicio de Auditoría Interna 40

MAPA DE RIESGOS OPERATIVOS A.E.A.T.(2009-2011): Aduanas, Impuestos Especiales y
Vigilancia Aduanera
RIESGO
CÓDIGO TÍTULO RESIDUAL
INICIAL
TOTAL
ADU010101 Riesgos en los controles efectuados en el procedimiento de viajeros. El control de viajeros plantea problemas de Alto (8 a 10)
eficacia , eficiencia y oportunidad que hay que analizar.
ADU010208 Riesgos en la coordinación de los órganos de las Áreas de Aduanas y Recaudación para el cobro de las deudas de
aduanas (aduanera y fiscal). Muchas deudas no se cobran en vía ejecutiva a pesar de estar garantizadas y de estar ya Crítico (12 a 15)
ingresadas en Bruselas que, por otra parte, no siempre admite los créditos incobrables.
ADU040104 Riesgo por el que la insuficiencia de medios materiales no permitan efectuar un adecuado reconocimiento físico de la
mercancía. Algunas aduanas carecen de locales y/o medios para efectuar los reconocimientos físicos que exige la UE Alto (8 a 10)

ADU040202 Riesgos en el despacho aduanero de mercancías por ineficiencias en el sistema de análisis de riesgo y en su
aplicación por los actuarios. Posibilidad de que el sistema de filtros no detecte las importaciones con riesgos reales Alto (8 a 10)
y/o los funcionarios no efectúen los controles que estos filtros determinen.
ADU040303 Riesgo de responsabilidad financiera de España ante la Unión Europea en relación con los controles establecidos en
la normativa reguladora de la política agrícola comunitaria. Posibilidad de que la UE no considere suficientes y Crítico (12 a 15)
conformes a la normativa PAC los controles efectuados por España en la exportación de productos agrícolas y exija
responsabilidades financieras a nuestro país.

ADU040409 Riesgos en la revisión a posteriori de las declaraciones aduaneras. No existe un plan nacional de revisión a posteriori
y, además, la normativa comunitaria que regula estas revisiones plantea algunos problemas de encaje con nuestra Crítico (12 a 15)
LGT y reglamentos.
ADU070105 Riesgos en el procedimiento para dar de baja a las fábricas, depósitos o almacenes fiscales, que les permita operar sin
cumplir las condiciones que exige la reglamentación. El procedimiento nacional para dar de baja una fábrica o
depósito fiscal en el caso de falta de pago de los Impuestos Especiales es tan lento que para cuando se sustancia Alto (8 a 10)
dicho cierre el perjuicio económico puede ser elevadísimo.

ADU100107 Riesgos en la colaboración y coordinación entre las actuaciones del área operativa y el resto de las áreas de la AEAT.
La coordinación actual es buena, pero debe hacerse más fluida y sus resultados más específicos. Alto (8 a 10)

Servicio de Auditoría Interna 41

 MAPA DE RIESGOS OPERATIVOS A.E.A.T.(2009-2011): Gestión Tributaria

RIESGO
CÓDIGO TÍTULO RESIDUAL
INICIAL
TOTAL
GES040101 Riesgos en la utilización del borrador del IRPF por contribuyentes que posean el perfil requerido. Lograr una explotación y
aprovechamiento suficiente del borrador del IRPF maximizando su utilización, mejorar la calidad en el proceso de entrega Medio (4 y 5)
utilizando otras vías alternativas al correo postal y minimizar el riesgo de confirmación del borrador sin la necesaria
revisión por los contribuyentes.

GES040102 Riesgos en el control de las declaraciones del IRPF a ingresar y a devolver. Lograr la máxima eficacia y eficiencia en el
proceso de control extensivo de declaraciones del IRPF, definiendo los documentos, filtros, atributos y motivaciones que Medio (4 y 5)
deben incluirse en la aplicación informática del IRPF

GES040103 Riesgos en el control de las declaraciones de IVA a ingresar, a compensar y a devolver. Incrementar las actuaciones de
control extensivo en las campañas del IVA periódico o anual y definir los documentos, filtros, atributos y motivaciones Medio (4 y 5)
que deben incluirse en la aplicación informática del IVA.

GES040104 Riesgos en el control de renunciantes y excluidos del régimen de estimación objetiva IRPF y régimen simplificado IVA.
La gestión de este riesgo se orienta especialmente a la utilización fraudulenta del régimen de estimación objetiva del IRPF Alto (8 a 10)
y del simplificado de IVA.

GES040105 Riesgos en el control de no declarantes en IRPF, IVA, e IS. Lograr el adecuado control de no declarantes y realizar las
adecuadas actuaciones sobre ellos. Alto (8 a 10)

GES040106 Riesgos en los procesos de notificación. Maximizar la notificación efectiva en detrimento de la edictal, garantizando la
adecuación a la norma, rapidez de la gestión y reducción de costes. Alto (8 a 10)

GES040107 Riesgos en la motivación de los actos. Conseguir la suficiente motivación de los actos que garantice los derechos de los
contribuyentes, pero automatizando en lo posible las matizaciones en el control de declarantes.
Medio (4 y 5)

Servicio de Auditoría Interna 42

MAPA DE RIESGOS OPERATIVOS A.E.A.T.(2009-2011): Informática Tributaria
RIESGO
CÓDIGO TÍTULO RESIDUAL
INICIAL TOTAL
INF210109 Riesgos en la confección de los borradores de IRPF y otros procesos de gestión por registros con perceptores no identificados. El
objetivo es mejorar la calidad de la información de las declaraciones informativas para mejorar las imputaciones y los borradores. Medio Alto (6)
Medida\inf210109.ppt

INF220106 Riesgos de eficacia de las aplicaciones corporativas y pérdida de eficiencia del personal de desarrollo. Con el fin de evitar la
insatisfacción del usuario por la falta de eficacia de las aplicaciones corporativas hay que mejorar: el diseño, la puesta en marcha y la Medio (4 y 5)
ejecución de las aplicaciones. Medida\inf220106.ppt

INF220308 Riesgo de degradación o pérdida del servicio prestado por inadecuada operativa o recuperación de la infraestructura tecnológica. Es
necesario garantizar la continuidad del servicio a los usuarios, con unos niveles de servicio y un grado de criticidad para definir los Medio Alto (6)
recursos que garanticen la continuidad ante contingencias. Medida\inf220308.ppt

INF230101 Riesgo en el uso de la información, obsolescencia y falta de adaptación de las aplicaciones USUARIOS y CONTROLA al trabajo y
organización de los usuarios y dificultad para el desarrollo de las tareas de autorizadores, controladores y administradores de seguridad. Medio Alto (6)
Dado el tiempo transcurrido desde que se implantó la aplicación de Gestión de Usuarios y Controla, se hace necesario su actualización
para la mejora de la gestión. Medida\inf230101.ppt

INF230202 Riesgos de control de los usuarios externos, de los accesos que realizan a las bases de datos de la AEAT y de la utilización de la
información que obtienen. Es necesario mejorar el control de los usuarios externos en los accesos a las bases de datos de la AEAT, a Alto (8 a 10)
través sobre todo de la actualización de los convenios de cesión de información. Medida\inf230202.ppt

INF230305 Riesgos en los sistemas de seguridad conforme a la naturaleza de la información y los sistemas soportados en las RALs de la
organización. Las redes de Área Local (RALs) deben contar con las medidas de seguridad adecuadas, implantando herramientas de Medio (4 y 5)
auditoría y control de la red, para que sean un instrumento eficaz y seguro. Medida\inf230305.ppt

INF230410 Riesgos por la exposición de los sistemas de información a nuevas amenazas. Dada la exposición de los sistemas informáticos a nuevas
amenazas hay que garantizar el adecuado nivel de seguridad en la información. Medida\inf230410.ppt Alto (8 a 10)
INF270103 Riesgo relativo a la distribución de los recursos disponibles a las necesidades del área de informática tributaria. Ante la gran demanda de
desarrollos informáticos al DIT, se hace necesario adecuar los recursos disponibles a esta demanda a través de un Plan Director y un
Alto (8 a 10)
aumento de la formación del personal. Medida\inf230410.ppt

INF270204 Riesgos vinculados al cumplimiento en tiempo forma en la Ley 11/2007. Se trata de no inhibir el ejercicio de los derechos y el
cumplimiento de los deberes de los ciudadanos por medios electrónicos, el acceso a la información y el procedimiento administrativo. Alto (8 a 10)
Medida\inf270204.ppt

INF270307 Riesgo para la imagen corporativa por la fuga de datos sensibles o el incumplimiento de la normativa. Se pone de manifiesto la necesaria
adecuación de la AEAT a la Ley Orgánica de Protección de Datos(LOPA). La ley de acceso electrónico de los ciudadanos a la Alto (8 a 10)
Administración (Ley 11/2007) y el necesario análisis de riesgos específicos sobre la seguridad de la información. Medida\inf270307.ppt

Servicio de Auditoría Interna 43

 FIN DE LA PRESENTACIÓN

www.agenciatributaria.es
Servicio de Auditoría Interna 44