Informe de fiscalització de l'Agència Tributària Valenciana. Exercici 2019
València, 16 de desembre de 2020.- La Sindicatura de Comptes ha revisat el procés de gestió dels tributs de la Generalitat realitzat per l’Agència Tributària Valenciana (ATV), la seua comptabilització i la situació dels controls de ciberseguretat, i ha proporcionat una avaluació sobre el seu disseny, eficàcia operativa i sobre el compliment de la normativa bàsica relativa a la seguretat de la informació.
Al seu torn, també s’ha realitzat el control formal de la rendició dels comptes anuals de l’exercici 2019.
Control formal de la rendició de comptes
Els aspectes més significatius observats en relació amb la revisió de l’adequada formalització, aprovació i rendició dels comptes anuals de l’ATV de l’exercici 2019 es recullen a continuació:
- Els comptes retuts no estan signats pels òrgans responsables de l’Agència, si bé tant la diligència de formulació dels comptes com l’acta de la seua aprovació estan signades electrònicament. A més, en els acords de formulació i d’aprovació no s’inclouen els comptes que es formulen o aproven.
- L’Agència ha inclòs la nota núm. 27 en la memòria dels comptes anuals de 2019, relativa als fets posteriors al tancament de l’exercici, en la qual es descriuen diversos aspectes, en referència a la situació vinculada amb l’epidèmia de COVID-19.
Conclusions sobre els controls de ciberseguretat
- El manteniment de sistemes i aplicacions i altres controls en matèria de seguretat de la informació de l’ATV estan assignats a la Direcció General de Tecnologies de la Informació i les Comunicacions (DGTIC) de la Generalitat Valenciana. Sense perjudici que aquest procediment resulte el més eficient, s’ha de regular la relació entre la DGTIC i l’ATV, delimitant clarament les responsabilitats en matèria de seguretat de la informació que han d’executar cada una, d’acord amb la normativa.
- Legalment, és responsabilitat de l’Agència l’aplicació del Reial Decret 3/2010, de 8 de gener, pel qual es regula l’Esquema Nacional de Seguretat (ENS), i de l’establiment dels controls de seguretat de la informació previstos en aquesta norma; per tant, els responsables de l’Agència han de supervisar l’aplicació per la DGTIC dels controls exigits per l’ENS en els seus sistemes.
- S’han revisat una sèrie de controls de seguretat relacionats amb la gestió tributària (TIRANT) de manera conjunta amb les aplicacions de gestió de personal, ja que comparteixen la major part dels controls, que són realitzats per la DGTIC. Els resultats detallats d’aquesta revisió es recullen en l’Informe de fiscalització de les despeses de personal de l’Administració de la Generalitat de 2019 i la valoració realitzada per la Sindicatura dels controls de ciberseguretat analitzats en aquest informe és directament aplicable a l’Agència.
- De manera sintètica, el treball realitzat permet concloure que, amb caràcter general, el grau de control existent en la gestió dels controls de ciberseguretat revisats aconsegueix un índex de maduresa conjunt del 58,6%, que es correspon amb un nivell de maduresa N2, repetible però intuïtiu; és a dir, els controls es realitzen, però hi ha controls parcialment establits o bé els procediments no s’han formalitzat degudament.
En el gràfic següent es reflecteix el nivell de maduresa per a cada un dels controls revisats respecte a l’objectiu del 80% definit per l’ENS.
Maduresa dels controls de seguretat revisats
CBCS 1 Inventari de dispositius autoritzats i no autoritzats
CBCS 2 Inventari de programari autoritzat i no autoritzat
CBCS 4 Ús controlat de privilegis administratius
CBCS 8 Compliment de legalitatCGT-D2 Mecanismes d’identificació i autenticació
CGTI-D3 Gestió de drets d’accés
CGTI-D4 Gestió d’usuaris
- Un aspecte destacable és que la millora dels controls de ciberseguretat i el compliment de la normativa aplicable en aquesta matèria, principalment l’ENS, requerirà actuacions i inversions, tant en mitjans materials com personals, que han de ser adequadament planificades de manera coordinada per l’ATV i la DGTIC.
Conclusió sobre el control intern en el procés de gestió tributària
- La revisió dels controls interns existents en el procés de gestió dels ingressos per tributs ha sigut satisfactòria, excepte pels riscos detectats no coberts per controls efectius que es detallen en l’informe. Per tant, considerem que, en conjunt, el nivell de control existent en aquests processos aporta un nivell de confiança raonable per a garantir la integritat (completesa), exactitud i validesa de les transaccions i dades d’ingressos tributaris comptabilitzats en el Compte de l’Administració de la Generalitat.
Sobre el compliment d’altres requeriments legals i reglamentaris
- La revisió del compliment de legalitat en matèria relacionada amb la ciberseguretat (Esquema Nacional de Seguretat –ENS– i Reglament General de Protecció de Dades –RGPD–) ha posat de manifest un nivell de compliment millorable.
- Els òrgans de direcció de l’Agència tenen la responsabilitat de garantir un nivell adequat de compliment de les normes legals i han de secundar de forma continuada les iniciatives en curs destinades a garantir-lo. En aquest sentit, ha d’assenyalar-se que l’Agència es troba immersa en un projecte per a la seua adequació.
- Com a ens públic jurídicament independent, l’Agència està subjecta al Reial Decret 3/2018, de 8 de gener, pel qual es regula l’Esquema Nacional de Seguretat. A més, la disposició final segona del Decret 3/2019, de 18 de gener, del Consell, exclou l’Agència de la competència dels òrgans i responsables en matèria de seguretat de la informació establits per a la Generalitat en el Decret 130/2012, de 24 d’agost, del Consell, que determina l’organització de la seguretat de la informació de la Generalitat.
- D’acord amb la normativa aplicable, l’Agència és responsable de la seua seguretat i amb el suport de la DGTIC previst en els seus estatuts ha de nomenar tots els òrgans responsables en matèria de seguretat de la informació previstos en l’ENS (comité de seguretat de la informació, responsable de la informació, responsable del servei, responsable de seguretat, responsable del sistema…).
Per a vore l'informe complet, faça clic ací.
NOTA
Aquest resum pretén ajudar a comprendre els resultats del nostre informe i facilitar la tasca als lectors i als mitjans de comunicació. Recomanem llegir-lo per a conéixer el veritable abast del treball realitzat.