Beruflich Dokumente
Kultur Dokumente
GESTIÓN DE RIESGOS
25-MAYO-2011
1. ASPECTOS GENERALES
3. PROCEDIMIENTO DE GESTIÓN
Amenaza
Reducir/Minimizar
Incertidumbre
Administrar
Oportunidad
Aprovechar/Maximizar
Seguridad Interna
RIESGOS DESCRIPCIÓN
Riesgo del Entorno El riesgo del entorno surge cuando hay fuerzas
externas que pueden afectar al logro de la misión y
objetivos de la institución.
Riesgos de Procesos El riesgo de procesos es el riesgo que los procesos de
negocios de la institución:
· No están adquiriendo, administrando, renovando y
disponiendo eficazmente los recursos
· No están claramente definidos los procesos claves
· No están alineados con sus estrategias
· No están operando eficaz y efectivamente para
satisfacer las necesidades sociales
· No están creando valor
· Están efectuando un mal uso o malversación de los
recursos
RIESGOS DESCRIPCIÓN
Riesgos Financieros El riesgo financiero es el riesgo que los flujos de caja y
activos financieros no se manejan de manera
eficiente
Riesgo de Información Consiste en que la información sea oportuna y fiable
de Gestión para la toma de decisiones tanto estratégicas como
operativas.
RIESGOS DESCRIPCIÓN
Riesgos Tecnológicos
Riesgo Control
Respuesta de Riesgo(6):
Su impacto
sobre la La
consecución probabilidad
de los de ocurrencia
objetivos
Riesgo
Inherente
Respuesta al Riesgo
(control interno)
Riesgo
Residual
• Procesos
Operativos
1 Coordinación
General 2 • Procesos
Estructurales
• Procesos
Institucionales
EVALUACIÓN:
BAJO 1 a 3
MEDIO 4 a 5
MEDIO ALTO 6
ALTO 8 a 10
CRÍTICO 12 a 15
* Convención para que los riesgos de impacto muy bajo siempre resulten con
evaluación final baja.
Servicio de Auditoría Interna 30
MAPA DEL RIESGO INHERENTE
2 4 6 8 10 Bajo 1 a 3
Impacto
medio 1 Medio 4 y 5
Medio Alto 6
1 2 3 4 5
Alto 8 a 10
bajo 0
0 0 0 0 0 Crítico 12 y
15
1 2 3 4 5
baja media media-alta alta muy alta
Probabilidad
Servicio de Auditoría Interna 31
OBJETIVOS DEL MAPA DE RIESGOS
CONTROL DE
RIESGOS
INCORPORADOS MAPA DE RIESGOS
A LA GESTIÓN
PLAN ACTUACIONES
SAI
TOTAL 62 50
Servicio de Auditoría Interna 35
MAPA DE RIESGOS OPERATIVOS DE LA AEAT (2009-2011)
Riesgos de procesos 27
Gestión de RR.HH. 4
Gestión Económico-Financiera 1
Sistemas Informáticos 4
Seguridad de la Información 2
TOTAL 50
Mejora de la Calidad 17
Normalización Procedimientos 14
Actuaciones Operativas 20
Coordinación Actuaciones 8
Otros 4
TOTAL 132
Insuficiente adecuación de la política marco de Recursos SGE 240202: Riesgos en la distribución de los recursos
Humanos, a medio/largo plazo. humanos en relación con las cargas de trabajo.
SGE 250404: Riesgos relacionados con el modelo de
valoración del desempeño vinculado a la carrera
profesional.
SGE 260303: Riesgos en la dotación de cuadros con
formación en materias gerenciales.
Falta de adaptación del modelo de control de la AEAT a las SGE 240202: Riesgos en la distribución de los recursos
nuevas modalidades del fraude fiscal. humanos en relación con las cargas de trabajo.
Más de una docena de riesgos operativos en las áreas
de Aduanas, Gestión Inspección y Recaudación.
Insuficiente adaptación de los planes de trabajo a un periodo SGE 270106: Riesgos por insuficiencia de recursos.
de Déficit Público excesivo. INF 270103: Riesgo relativo a la distribución de los
recursos disponibles a las necesidades del área de
informática tributaria.
Falta de renovación de la Plataforma Tecnológica de la AEAT. INF 220106: Riesgos de eficacia de las aplicaciones
corporativas y pérdida de eficiencia del personal de desarrollo.
INF 220308: Riesgo de degradación o pérdida del servicio
prestado por inadecuada operativa o recuperación de la
infraestructura tecnológica.
Aplicación a la AEAT Ley 11/2007. INF 270103: Riesgo relativo a la distribución de los recursos
Desarrollo específico del Plan de Adecuación de los Sistemas de disponibles a las necesidades del área de informática
Información de la AEAT al Esquema Nacional de Seguridad tributaria.
(Decreto 3/2010, de 8 de enero) INF 270204: Riesgos vinculados al cumplimiento en tiempo y
forma en la Ley 11/2007.
INF 230101.: Riesgo en el uso de la información,
obsolescencia y falta de adaptación de las aplicaciones
USUARIOS y CONTROLA al trabajo y organización de los
usuarios y dificultad para el desarrollo de las tareas de
autorizadores, controladores y administradores de seguridad.
INF 230410: Riesgos por la exposición de los sistemas de
información a nuevas amenazas.
Plan de Continuidad del Negocio INF 220308: Riesgo de degradación o pérdida del servicio
prestado por inadecuada operativa de la infraestructura
tecnológica.
SGE 270207: Riesgos en la Seguridad en edificios e
instalaciones.
SGE 270408: Riesgos CIE.
ADU040202 Riesgos en el despacho aduanero de mercancías por ineficiencias en el sistema de análisis de riesgo y en su
aplicación por los actuarios. Posibilidad de que el sistema de filtros no detecte las importaciones con riesgos reales Alto (8 a 10)
y/o los funcionarios no efectúen los controles que estos filtros determinen.
ADU040303 Riesgo de responsabilidad financiera de España ante la Unión Europea en relación con los controles establecidos en
la normativa reguladora de la política agrícola comunitaria. Posibilidad de que la UE no considere suficientes y Crítico (12 a 15)
conformes a la normativa PAC los controles efectuados por España en la exportación de productos agrícolas y exija
responsabilidades financieras a nuestro país.
ADU040409 Riesgos en la revisión a posteriori de las declaraciones aduaneras. No existe un plan nacional de revisión a posteriori
y, además, la normativa comunitaria que regula estas revisiones plantea algunos problemas de encaje con nuestra Crítico (12 a 15)
LGT y reglamentos.
ADU070105 Riesgos en el procedimiento para dar de baja a las fábricas, depósitos o almacenes fiscales, que les permita operar sin
cumplir las condiciones que exige la reglamentación. El procedimiento nacional para dar de baja una fábrica o
depósito fiscal en el caso de falta de pago de los Impuestos Especiales es tan lento que para cuando se sustancia Alto (8 a 10)
dicho cierre el perjuicio económico puede ser elevadísimo.
ADU100107 Riesgos en la colaboración y coordinación entre las actuaciones del área operativa y el resto de las áreas de la AEAT.
La coordinación actual es buena, pero debe hacerse más fluida y sus resultados más específicos. Alto (8 a 10)
RIESGO
CÓDIGO TÍTULO RESIDUAL
INICIAL
TOTAL
GES040101 Riesgos en la utilización del borrador del IRPF por contribuyentes que posean el perfil requerido. Lograr una explotación y
aprovechamiento suficiente del borrador del IRPF maximizando su utilización, mejorar la calidad en el proceso de entrega Medio (4 y 5)
utilizando otras vías alternativas al correo postal y minimizar el riesgo de confirmación del borrador sin la necesaria
revisión por los contribuyentes.
GES040102 Riesgos en el control de las declaraciones del IRPF a ingresar y a devolver. Lograr la máxima eficacia y eficiencia en el
proceso de control extensivo de declaraciones del IRPF, definiendo los documentos, filtros, atributos y motivaciones que Medio (4 y 5)
deben incluirse en la aplicación informática del IRPF
GES040103 Riesgos en el control de las declaraciones de IVA a ingresar, a compensar y a devolver. Incrementar las actuaciones de
control extensivo en las campañas del IVA periódico o anual y definir los documentos, filtros, atributos y motivaciones Medio (4 y 5)
que deben incluirse en la aplicación informática del IVA.
GES040104 Riesgos en el control de renunciantes y excluidos del régimen de estimación objetiva IRPF y régimen simplificado IVA.
La gestión de este riesgo se orienta especialmente a la utilización fraudulenta del régimen de estimación objetiva del IRPF Alto (8 a 10)
y del simplificado de IVA.
GES040105 Riesgos en el control de no declarantes en IRPF, IVA, e IS. Lograr el adecuado control de no declarantes y realizar las
adecuadas actuaciones sobre ellos. Alto (8 a 10)
GES040106 Riesgos en los procesos de notificación. Maximizar la notificación efectiva en detrimento de la edictal, garantizando la
adecuación a la norma, rapidez de la gestión y reducción de costes. Alto (8 a 10)
GES040107 Riesgos en la motivación de los actos. Conseguir la suficiente motivación de los actos que garantice los derechos de los
contribuyentes, pero automatizando en lo posible las matizaciones en el control de declarantes.
Medio (4 y 5)
INF220106 Riesgos de eficacia de las aplicaciones corporativas y pérdida de eficiencia del personal de desarrollo. Con el fin de evitar la
insatisfacción del usuario por la falta de eficacia de las aplicaciones corporativas hay que mejorar: el diseño, la puesta en marcha y la Medio (4 y 5)
ejecución de las aplicaciones. Medida\inf220106.ppt
INF220308 Riesgo de degradación o pérdida del servicio prestado por inadecuada operativa o recuperación de la infraestructura tecnológica. Es
necesario garantizar la continuidad del servicio a los usuarios, con unos niveles de servicio y un grado de criticidad para definir los Medio Alto (6)
recursos que garanticen la continuidad ante contingencias. Medida\inf220308.ppt
INF230101 Riesgo en el uso de la información, obsolescencia y falta de adaptación de las aplicaciones USUARIOS y CONTROLA al trabajo y
organización de los usuarios y dificultad para el desarrollo de las tareas de autorizadores, controladores y administradores de seguridad. Medio Alto (6)
Dado el tiempo transcurrido desde que se implantó la aplicación de Gestión de Usuarios y Controla, se hace necesario su actualización
para la mejora de la gestión. Medida\inf230101.ppt
INF230202 Riesgos de control de los usuarios externos, de los accesos que realizan a las bases de datos de la AEAT y de la utilización de la
información que obtienen. Es necesario mejorar el control de los usuarios externos en los accesos a las bases de datos de la AEAT, a Alto (8 a 10)
través sobre todo de la actualización de los convenios de cesión de información. Medida\inf230202.ppt
INF230305 Riesgos en los sistemas de seguridad conforme a la naturaleza de la información y los sistemas soportados en las RALs de la
organización. Las redes de Área Local (RALs) deben contar con las medidas de seguridad adecuadas, implantando herramientas de Medio (4 y 5)
auditoría y control de la red, para que sean un instrumento eficaz y seguro. Medida\inf230305.ppt
INF230410 Riesgos por la exposición de los sistemas de información a nuevas amenazas. Dada la exposición de los sistemas informáticos a nuevas
amenazas hay que garantizar el adecuado nivel de seguridad en la información. Medida\inf230410.ppt Alto (8 a 10)
INF270103 Riesgo relativo a la distribución de los recursos disponibles a las necesidades del área de informática tributaria. Ante la gran demanda de
desarrollos informáticos al DIT, se hace necesario adecuar los recursos disponibles a esta demanda a través de un Plan Director y un
Alto (8 a 10)
aumento de la formación del personal. Medida\inf230410.ppt
INF270204 Riesgos vinculados al cumplimiento en tiempo forma en la Ley 11/2007. Se trata de no inhibir el ejercicio de los derechos y el
cumplimiento de los deberes de los ciudadanos por medios electrónicos, el acceso a la información y el procedimiento administrativo. Alto (8 a 10)
Medida\inf270204.ppt
INF270307 Riesgo para la imagen corporativa por la fuga de datos sensibles o el incumplimiento de la normativa. Se pone de manifiesto la necesaria
adecuación de la AEAT a la Ley Orgánica de Protección de Datos(LOPA). La ley de acceso electrónico de los ciudadanos a la Alto (8 a 10)
Administración (Ley 11/2007) y el necesario análisis de riesgos específicos sobre la seguridad de la información. Medida\inf270307.ppt
www.agenciatributaria.es
Servicio de Auditoría Interna 44