Accesibilidad | Intranet | Valencià

Inicio > Informes > Informe de fiscalización de la Agencia Tributaria Valenciana. Ejercicio 2019

16 diciembre 2020 Informes

Informe de fiscalización de la Agencia Tributaria Valenciana. Ejercicio 2019

València, 16 de diciembre de 2020.- La Sindicatura de Comptes ha revisado el proceso de gestión de los tributos de la Generalitat realizado por la Agencia Tributaria Valenciana (ATV), su contabilización y la situación de los controles de ciberseguridad, y ha proporcionado una evaluación sobre su diseño, eficacia operativa y sobre el cumplimiento de la normativa básica relativa a la seguridad de la información.

A su vez, también se ha realizado el control formal de la rendición de las cuentas anuales del ejercicio 2019.

Control formal de la rendición de cuentas

Los aspectos más significativos observados en relación con la revisión de la adecuada formalización, aprobación y rendición de las cuentas anuales de la ATV del ejercicio 2019 se recogen a continuación:

- Las cuentas rendidas no están firmadas por los órganos responsables de la Agencia, si bien tanto la diligencia de formulación de las cuentas como el acta de su aprobación están firmadas electrónicamente. Además, en los acuerdos de formulación y de aprobación no incluyen las cuentas que se formulan o aprueban.

- La Agencia ha incluido la nota nº 27 en la memoria de las cuentas anuales de 2019, relativa a los hechos posteriores al cierre del ejercicio, en la que se describen diversos aspectos, en referencia a la situación vinculada con la epidemia de COVID-19.

Conclusiones sobre los controles de ciberseguridad

El mantenimiento de sistemas y aplicaciones y otros controles en materia de seguridad de la información de la ATV están asignados a la Dirección General de Tecnologías de la Información y las Comunicaciones (DGTIC) de la Generalitat Valenciana. Sin perjuicio de que este procedimiento resulte el más eficiente, se debe regular la relación entre la DGTIC y la ATV, delimitando claramente las responsabilidades en materia de seguridad de la información que deben ejecutar cada una de ellas, de acuerdo con la normativa.
Legalmente, es responsabilidad de la Agencia la aplicación del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad (ENS), y del establecimiento de los controles de seguridad de la información previstos en esa norma; por tanto, los responsables de la Agencia deben supervisar la aplicación por la DGTIC de los controles exigidos por el ENS en sus sistemas.
Se han revisado una serie de controles de seguridad relacionados con la gestión tributaria (TIRANT) de forma conjunta con las aplicaciones de gestión de personal, ya que comparten la mayor parte de los controles, que son realizados por la DGTIC. Los resultados detallados de esa revisión se recogen en el Informe de fiscalización de los gastos de personal de la Administración de la Generalitat de 2019 y la valoración realizada por la Sindicatura de los controles de ciberseguridad analizados en ese informe es directamente aplicable a la Agencia.
De forma sintética, el trabajo realizado permite concluir que, con carácter general, el grado de control existente en la gestión de los controles de ciberseguridad revisados alcanza un índice de madurez conjunto del 58,6%, que se corresponde con un nivel de madurez N2, repetible pero intuitivo; es decir, los controles se realizan, pero existen controles parcialmente establecidos o bien los procedimientos no han sido formalizados debidamente.

En el gráfico siguiente se refleja el nivel de madurez para cada uno de los controles revisados respecto al objetivo del 80% definido por el ENS.

CBCS 1 Inventario de dispositivos autorizados y no autorizados

CBCS 2 Inventario de software autorizado y no autorizado

CBCS 4 Uso controlado de privilegios administrativos

CBCS 8 Cumplimiento de legalidadCGT-D2 Mecanismos de identificación y autenticación

CGTI-D3 Gestión de derechos de acceso

CGTI-D4 Gestión de usuarios

Un aspecto destacable es que la mejora de los controles de ciberseguridad y el cumplimiento de la normativa aplicable en esta materia, principalmente el ENS, requerirá de actuaciones e inversiones, tanto en medios materiales como personales, que deben ser adecuadamente planificadas de forma coordinada por la ATV y la DGTIC.

Conclusión sobre el control interno en el proceso de gestión tributaria

La revisión de los controles internos existentes en el proceso de gestión de los ingresos por tributos ha sido satisfactoria, excepto por los riesgos detectados no cubiertos por controles efectivos que se detallan en el informe. Por tanto, consideramos que, en conjunto, el nivel de control existente en dichos procesos aporta un nivel de confianza razonable para garantizar la integridad (completitud), exactitud y validez de las transacciones y datos de ingresos tributarios contabilizados en la Cuenta de la Administración de la Generalitat.
Sobre el cumplimiento de otros requerimientos legales y reglamentarios.
La revisión del cumplimiento de legalidad en materia relacionada con la ciberseguridad (Esquema Nacional de Seguridad –ENS– y Reglamento General de Protección de Datos –RGPD–) ha puesto de manifiesto un nivel de cumplimiento mejorable.
Los órganos de dirección de la Agencia tienen la responsabilidad de garantizar un nivel adecuado de cumplimiento de las normas legales y deben apoyar de forma continuada las iniciativas en curso destinadas a ello. En este sentido, debe señalarse que la Agencia se encuentra inmersa en un proyecto para su adecuación.
Como ente público jurídicamente independiente, la Agencia está sujeta al Real Decreto 3/2018, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad. Además, la disposición final segunda del Decreto 3/2019, de 18 de enero, del Consell, excluye a la Agencia de la competencia de los órganos y responsables en materia de seguridad de la información establecidos para la Generalitat en el Decreto 130/2012, de 24 de agosto, del Consell, que determina la organización de la seguridad de la información de la Generalitat.
-De acuerdo con la normativa aplicable, la Agencia es responsable de su seguridad y con el apoyo de la DGTIC previsto en sus estatutos debe nombrar a todos los órganos responsables en materia de seguridad de la información previstos en el ENS (comité de seguridad de la información, responsable de la información, responsable del servicio, responsable de seguridad, responsable del sistema…).

Para ver el informe completo, haga clic aquí.

NOTA

Este resumen pretende ayudar a comprender los resultados de nuestro informe y facilitar el trabajo a los lectores y a los medios de comunicación. Recomendamos leerlo para conocer el verdadero alcance del trabajo realizado.

AVISO DE COOKIES: Este sitio web hace uso de cookies con la finalidad de recopilar datos estadísticos anónimos de uso de la web, así como la mejora del funcionamiento y personalización de la experiencia de navegación del usuario. Aceptar Más información