c. :~> · materia delpresente examen. enproceso implementada implementada ... ydecreto supremo w...
Post on 06-Oct-2018
221 Views
Preview:
TRANSCRIPT
Superintendencia Nacional de Aduanas y de Administración TributariaÓrgano de Control InstitucionalDivisión de Auditoria de Sistemas Infonmáticos
ESTADO DE IMPLEMENTACiÓN DE LAS RECOMENDACIONES DEL INFORME DE AUDITORíA ORIENTADAS A LA MEJORA DE LA GESTIÓNDirectiva N' 006-2016-CG/GPROD "Implementación y seguimiento a las recomendaciones de los infonmes de auditoria y publicación de sus estados
en el Portal de Transparencia de la entidad", y Decreto Supremo N' 070-2013-PCM que modifica el Reglamento de la Ley de Transparenciay Acceso a la Información Pública, aprobado por Decreto Supremo N' 072-2003-PCM
Nombre de la Entidad
Nombre del ÓrganoInfonmante
: Superintendencia Nacional de Aduanas y deAdministración Tributaria
: Órgano de Control Institucional
Periodo de SeguimientoDel: 01107/2016 al 31/1212016
Número(SCG • Ex SAGU
Informe
NombreTipo de Informe Número Informe SUIíAJdeAud~oria
....
n,o
RecomendáCi6n:''.. --;;.c .
Texto .'.:....~>
.'
Estado
027-2005-2-3793
023-2008-2-3793
003-2009.2.3793
015-2011-2-3793
019.2011-2-3793
Exámen Especial al Módulo Intonmáticode Manifiesto de Carga de laIntendencia de Aduana Maritima delCallao.
Exámen Especial al Módulo Infonmáticode Valores en la Intendencia RegionalLima
Exámen Especial a la Gerencia deProducción de la INSI en torno a losprocesos de seguridad para lageneración y custodia de respaldosinfonmáticos institucionales.
Uso irregular del Sistema InfonmaticoSIGESA para alterar datos vinculadoscon canales de control de 17 DAMs yactualizar fecha y hora de autorizaciónde levante de 280,389 DAMs en elSistema Infonmático SIGAD
Exámen Especial en torno a la alteraciónde los canales de Control en las DAMsde Importación Definitiva del año 2010informados por INSI
Adm.
f\dm
Adm.
Penal
Adm.
21-2005-1 BOOOO
19-2008-SUNAT/1 BOOOO
03-2009-SUNAT/1 BOOOO
02-2011-1BOOOO
13-201 1-SUNA TI1 BOOOO
Página 1 de 25
Rec. n.'12.
Rec. n.' 1.
Rec. n.' 8.
Rec. n.'1.
Rec. n.' 2.
Regularizar mediante documentación oficial lasobligaciones y responsabilidades de las empresasVAN:IBM DEL PERU SAC, PERU SECURE e NETSAC (ex - Limatel) y TCI SA Transporte Confidencialde Infonmacion, que actualmente vienen trabajandocon la SUNAT, a fin de unilonmizar las condiciones enlas que se viene brindando el Servicio de intercambioelectronico de datos (EDI) considerando que a travésde dicho servicio se envia el Manifiesto de CargaMaritimo que constituye una infonmación de mucha
importancia y relevanciaa para SUNAT.
A la Intendencia Nacional de Sistemas deInfonmación, en coordinación con la IntendenciaNacional de Estudios Tributarios y Planeamiento,agregar las Bases de Datos: RSIRA T, SIRAT y
RFISCA en el entregable "Eliminar la vulnerabilidadde manipular la infonmación de la BD RECAUDA
utilizando conexión ODBC" del proyecto "Gestión dela Seguridad Infonmática"
A través de la Gerencia de Producción de laIntendencia Nacional de Sistemas de Infonmación, secoordine con la Divisiones de Operaciones y soporteTécnico a fin que se regularicen la elaboración de losdocumentos "Pase a producción - hardware" de todoslos servidores de producción que no cuenten con elloen el corto plazo a fin que es pueda asegurar que las
labores de respaldo y restauración se realicenadecuadamente
Que la Superintendencia Nacional de AdministraciónTributaria se sirva disponer que el Procurador Público
Ad Hoc de la Superintendencia Nacional deAdministración Tributaria, inicie la acción legal que
corresponda, contra las personas comprendidas en elCASO UNO, en el CASO DOS Yen el CASO TRESdesarrollados en el presente infonme. Para tal efecto,
debe tenerse en consideración que la FiscaliaEspecializada en Delitos Aduaneros y contra laPropiedad Intelectual del Callao, ha prevenido
competencia en el conocimiento de los hechos ilicitosanterionmente expuestos.
Que a través de la Gerencia de Servicios a Usuariosse proceda a modificar la Circular N 06-2004 Atenciónde Solicitudes de Servicios infonmáticos, de tal modo
que incluya la verificación o monitoreo de losrequerimientos de Ejecución por parte del jefe de
Departamento de Soporte Infonmático o Supervisor dela Intendencia de Aduana, para evitar los hechos
materia del presente Examen.
En proceso
Implementada
Implementada
En proceso
Implementada
Superintendencia Nacional de Aduanas y de Administración Tributaria6rgano de Control InstitucionalDivisión de Auditoria de Sistemas Infonmáticos
ESTADO DE IMPLEMENTACiÓN DE LAS RECOMENDACIONES DEL INFORME DE AUDITORíA ORIENTADAS A LA MEJORA DE LA GESTiÓNDirectiva W 006-2016-CG/GPROD "Implementación y seguimiento a las recomendaciones de los infonmes de auditarla y publicación de sus estados
en el Portal de Transparencia de la entidad", y Decreto Supremo W 070-2013-PCM que modifica el Reglamento de la Ley de Transparenciay Acceso a la Infonmación Pública, aprobado por Decreto Supremo W 072-2003-PCM
Nombre de la Entidad
Nombre del ÓrganoInformante
: Superintendencia Nacional de Aduanas y deAdministración Tributaria
: 6rgano de Control Institucional
Periodo de SeguimientoDel: 01107/2016 al 31/12/2016
Informe, ... Reeomendaei6n ""..'
NúmeroTipo de Informe
Número Informe SUNAT ". ~cc
Nombre de Audijoria n," Texto Estado(SCG. Ex SAGU " ..:,
Precisar en el numeral 8) del Rubro VI) delIFGRAPE,02, que la responsabilidad d ela INTA
Exámen Especial referido al Módulo comprende también establecer el canal de control
Informático de Teledespacho SIGAD, detenminado por criterios nonmativos, debiendo para
018-2011-2-3793 para el proceso de despacho de Mm 14-2011-SUNA TI1 BOOOO Rec, n.' 2, tal efecto contar con los instrumentos que le penmitan En proceso
declaraciones del Régimen de conocer y monitorear la herramienta infonmática en el
Importación Definitiva cual se encuentran implementados los criteriosnonmativos y el canal de control asignado por cada
una de estas herramientas
018-2011-2-3793
Exámen Especial referido al MóduloInfonmático de Teledespacho SIGAD,para el proceso de despacho dedeclaraciones del Régimen deImportación Definitiva
Mm, 14-2011-SUNAT/1BOOOO
Disponer se precise en el Procedimiento EspecificoIFGRA.PE.02 "Selección de Canales de Control", enla herramienta referida a Mineria de Datos los dos
Rec. n.' 5. modelos existentes de Maximización de Hallazgos yRed Neuronal; asi como, las responsabilidades y
tareas realizadas por cada una de las dependencias acargo de dichos modelos.
En proceso
013-2012-2-3793
Exámen Especial referido al proceso013-2012*3793 establecido para la selección de canalesf'''':. ';ir7"~ , de control en el régimen aduanero de
.' ,~~~'~;;;::;~il,<;~;~;~;i~portación para el consumo
.í~t >1\ \ .i;' '/,~ . ,.-', ~~~>~.~~~~~._~:;,'/ Exámen Especial referido al proceso
establecido para la selección de canalesde control en el régimen aduanero deimportación para el consumo.
Adm
Adm
12-2012-SUNAT/1 BOOOO
12-2012-SUNAT/1 BOOOO
Rec. n.' 1.
Rec. n.'16.
Disponga en el más breve pplazo se defina lasolución al impedimento que tienen otros usuarios
distintos al Sr. para efectuar las labores demantenimiento del Modelo de Maximización de
Hallazgos, tanto para el Módulo de Tablas Generalescomo para Base de Datos .
Disponga que la División de Análisis de Riesgo, unavez implementada la Recomendación N' 21 y recibida
la infonmación respectiva de la INTA, evalúe laimplementación de los Filtros de Múltiples Variables
(FMV) que corresponda, asignando los pesosjerárquicos respectivos y solicite a la Gerencia deDesarrollo de Sistemas Aduaneros la desactivaciónde los Filtros Planos que sean migrados a FMV
Implementada
Implementada
013-2012-2-3793
003-2013-2-3793
Exámen Especial referido al procesoestablecido para la selección de canalesde control en el régimen aduanero deimportación para el consumo,
Exámen Especial respecto a lainconsistencia de datos vinculados alcanal de control de la DUA W235-201o.10.055845
Adm
Mm
12-2012-SUNA Tl1 BOOOO
03-2013-SUNAT/1 BOOOO
Página 2 de 25
Rec. n.'19,
Rec. n.' 1.
Disponga que la División de Análisis de Riesgo,cautele que el personal encargado de la creación y/oeliminación de Filtros de Múltiples Variables, a travésdel Módulo de Gestión de Perfiles de Riesgo, cumplacon lo establecido en el procedimiento IFGRA-PE.02
en relación al sustento requerido para este fin
Disponer que la Gerencia de Desarrollo de SistemasAduaneros, documente la funcionalidad del objetoUSAMTGOO.Pktg_Encripta de acuerdo a la MDSI,considerando que dicha documentación deberá ser
de carácter confidencial.
Implementada
En proceso
Superintendencia Nacional de Aduanas y de Administración TributariaÓrgano de Control InstitucionalDivisión de Auditoria de Sistemas Infonmáticos
ESTADO DE IMPLEMENTACiÓN DE LAS RECOMENDACIONES DEL INFORME DE AUDITORíA ORIENTADAS A LA MEJORA DE LA GESTiÓNDirectiva N" 006-2016-CG/GPROD 'Implementación y seguimiento a las recomendaciones de los infonmes de auditaria y publicación de sus estados
en el Portal de Transparencia de la entidad', y Decreto Supremo N" 070-2013-PCM que modifica el Reglamento de la Ley de Transparenciay Acceso a la Infonmación Pública, aprobado por Decreto Supremo N" 072-2003-PCM
Nombre de la Entidad
Nombre del ÓrganoIn/onmante
Número(SCG. Ex SAGU
003-2013-2-3793
003-2013-2-3793
003-2013-2-3793
. Superintendencia Nacional de Aduanas y deAdministración Tributaria
. Órgano de Control Institucional.
Exámen Especial respecto a lainconsistencia de datos vinculados alcanal de control de la DUA W235-201 0-10-055845
Exámen Especial respecto a lainconsistencia de datas vinculados alcanal de control de la DUA W235-201 O-10-055845
Exámen Especial respecto a laInconsistencia de datos vinculados alcanal de control de la DUA W235-2010-10-055845
Mm.
Adm.
Adrn
Número Informe SUNAT
03-2013-SUNAT/1 BOOOO
03-2013-SUNAT/1 BOOOO
03-2013-SUNAT/1 BOOOO
Página 3 de 25
Rec. n.o 2.
Rec. n.o 3.
Rec. n' 4.
Periodo de SeguimientoDel: 01/07/2016 al 31/1212016
Disponer al área que corresponda, implementar ypublicar un Procedimiento de Resguardo del código
fuente y la Clave de Encriptación, el cual debeconsiderar, entre otros: La designación de un
responsable que deberá detenminar el valor de laclave de encriptación, considerando su
independencia funcional y que no deba tener accesoa los ambientes de bases de datos desarrollo, calidad
y producción. La clave de encriptación deberáconsiderar las caracteristicas de robustez. Lapersona que detenmina la clave de encriptación,
deberá obtener copia impresa del código fuente y dela clave de encriptación y guardar este documenta enun sobre lacrado, el cual deberá ser custodiado enlugar seguro, bajo responsabilidad. Realizar el
proceso de cifrado de la clave y el código fuente delobjeto USAMTGOO.Pktg_Encripta. Procedimiento dereemplazo del valor de la Clave de Encriptación.
Disponer al área que corresponda, reemplace elobjeto USAMTGOO.Pktg_Encripta, considerando entreotros: Evaluación de los algoritmos modernos deencriptación, ya que el actual es susceptible de
criptoanálisis. Que los privilegios de ejecución de lasfunciones de encriptación en ambientes alternos a losde producción (desarrollo y calidad) deberlan de serrestringidos. No deberla de mantenerse ninguna
versión legible del código fuente en los ambientes dedesarrollo, calidad y producción.
Disponer al área que corresponda, detenmine que elvalor de la Clave de Encriptación en los ambientesalternos a los de producción (desarrollo y calidad)deben ser diferentes, a fin de asegurar que no se
pueda obtener el canal de control en dichosambientes, antes de que se cumplan los requisitos
para su desencriptaclón.
Implementada
Implementada
Implementada
Superintendencia Nacional de Aduanas y de Administración Tributaria6rgano de Control InstitucionalDivisión de Auditoria de Sistemas Informáticos
ESTADO DE IMPLEMENTACiÓN DE LAS RECOMENDACIONES DEL INFORME DE AUDITORíA ORIENTADAS A LA MEJORA DE LA GESTIÓNDirectiva N" 006-2016-CG/GPROD "Implementación y seguimiento a las recomendaciones de los informes de auditoria y publicación de sus estados
en el Portal de Transparencia de la entidad", y Decreto Supremo N" 070-2013-PCM que modifica el Reglamento de la Ley de Transparenciay Acceso a la Información Pública, aprobado por Decreto Supremo N' 072-2003-PCM
Nombre de la Entidad
Nombre del ÓrganoInformante
: Superintendencia Nacional de Aduanas y deAdministración Tributaria
: 6rgano de Control Institucional
Periodo de SeguimientoDel: 01/07/2016 al 31/12/2016
Número(SCG" Ex SAGU
Informe
14Q11lbreTipo de Informe
de AuditorlaNúmero Informe SUt4AT ...
1,. :,1' Elltado
003-2013-2-3793
003-2013-2-3793
Exámen Especial respecto a lainconsistencia de datos vinculados alcanal de control de la DUA N'235-2010-10-055845
Exámen Especial respecto a lainconsistencia de datos vinculados alcanal de control de la DUA N'235-201 O-1Q.-055845
f\dm.
Adm
03-2013-SUNAT/1 BOOOO
03-2013-SUNAT/1 BOOOO
Disponer al área que corresponda, implementar elcontrol de cambios y versiones en los objetos de basede datos, evaluando el uso de un "Lag de Auditoria"que sea poblado por un Trigger DDL y registre los
cambios de dichos objetos, considerando, entre otros:la copia exacta del código fuente antes de su
modificación, nombre del objeto, identificador delobjeto en la base de datos, nombre del objeto en labase de datos, la IP del equipo desde el cual seefectúa el cambio, el usuario de red con el que seefectuó la conexión previa al cambio, ei usuario de
Rec. n.' 5. base de datos, el aplicativo desde el cual se lanza eltransact DDL, la fecha y hora de la modificación, un
número de secuencia de cambio y código deldocumento que sustenta la modificación (SAU, REO,PAS, etc.). El Log de Auditoria debe tener privilegios
restringidos a fin de que no se pueda realizarmodificaciones y eliminaciones, incluyendo a los
usuarios con el rol DBA (funcionalidad permitida porelOracle 11g, a través del Database Vault).
Asimismo, es necesario que se implementen alertaspara intentos de alteraciones sobre el Log de
Auditoria.
Disponer al área que corresponda, implementar unRec. n.' 7. procedimiento referido al análisis y revisión de los Log
de Auditoria, que contemple, entre otros, losentregables, periodicidad y responsables.
En proceso
Implementada
015-2013-2-3793
015-2013-2-3793
001-2014-2-3793
001-2014-2-3793
Exámen Especial al Proceso de Gestiónde Incidentes a cargo de la Gerencia deOperaciones y Soporte a Usuarios de laINSI
Exámen Especial al Proceso de Gestiónde Incidentes a cargo de la Gerencia deOperaciones y Soporte a Usuarios de laINSI
Exámen Especial a la SuperintendenciaNacional de Aduanas y deAdministración Tributaria - IntendenciaNacional de Sistemas de Información"Seguridad de accesos del móduloinformático de Asignación deEspecialistas del Régimen deImportación para el Consumo"
Exámen Especial a la SuperintendenciaNacional de Aduanas y deAdministración Tributaria - IntendenciaNacional de Sistemas de Información'Seguridad de accesos del móduloinformático de Asignación deEspecialistas del Régimen deImportación para el Consumo'
Mm
AdnL
Mm
1Q.-2013-SUNAT/1BOOOO
10-2013-SUNAT/1 BOOOO
02-2014-SUNAT/1 BOOOO
02-2014-SUNAT/1 BOOOO
Página 4 de 25
Rec. n,O13.
Rec. n'15.
Rec. n.'11.
Rec. n.o12.
Disponga la evaluación y depuración de cuentas conprivilegios Administrador a nivel del Servidor de Base
de Datos SOL Server; asimismo, actualizar lacontraseña del usuario osa' y designar a un
responsable de la custodia de dicha contraseña
Actualizar en coordinación con la INSI el Acuerdo deNivel de Servicios de la Aduana Maritima (ANS-INSI-
Ad. Maritima)
A traves de la Oficina de Seguridad Informatica sedisponga la elaboración y aprobación del
procedimiento que contenga el detalle de las accionesa realizar en las revisiones periodicas de los logs deaccesos a nivel de cuentas, a fin que su personal
cuente con un documento formal que le permita llevara cabo correctamente tales revisiones
Disponga la elaboración y aprobación de unprocedimiento intemo que permita identificar aquellascuentas entregadas que no se utilicen durante mas de
30 dias con el fin de que sean dadas de baja enconcordancia al numeral 6.2 del rubro VIII
Instrucciones de la Circular n' 001-2012/400000 del23 de marzo de 2012 referida a las Politicas y normaspara la solicitud, creación, entrega y utilización de las
cuentas y claves de acceso a los sistemas deinformación en producción.
En proceso
Implementada
Implementada
Implementada
Superintendencia Nacional de Aduanas y de Administración TributariaÓrgano de Control InstitucionalDivisión de Auditoria de Sistemas Informáticos
ESTADO DE IMPLEMENTACiÓN DE LAS RECOMENDACIONES DEL INFORME DE AUDITORíA ORIENTADAS A LA MEJORA DE LA GESTiÓNDirectiva N' 006-2016-CGIGPROD "Implementación y seguimiento a las recomendaciones de los informes de auditoria y publicación de sus estados
en el Portal de Transparencia de la entidad', y Decreto Supremo N' 070-2013-PCM que modifica el Reglamento de la Ley de Transparenciay Acceso a la Información Pública, aprobado por Decreto Supremo N' 072-2003-PCM
Nombre de la Entidad
Nombre del OrganoInformante
: Superintendencia Nacional de Aduanas y deAdministración Tributaria
. Órgano de Control Institucional
Periodo de SeguimientoDel: 01/07/2016 al 31/12/2016
MOmero(SCG .I:x SAGU
Informe
Nombre
Tipó'de Informede Auclitoria
::
Numero Informe SUMAT
.'.
'.'>i" ......••.""..........
.'
001-2014-2-3793
001-2014-2-3793
007-2014-2-3793
007-2014-2-3793
Exámen Especial a la SuperintendenciaNacional de Aduanas y deAdministración Tributaria - IntendenciaNacional de Sistemas de Información"Seguridad de accesos del móduloinformático de Asignación deEspecialistas del Régimen deImportación para el Consumo"
Exámen Especial a la SuperintendenciaNacional de Aduanas y deAdministración Tributaria - IntendenciaNacional de Sistemas de Información'Seguridad de accesos del móduloinformático de Asignación deEspecialistas del Régimen deImportación para el Consumo"
Exámen Especial a la SUNAT - INSISeguridad de accesos del móduloinformático de Cobranza CoactivaRSIRAT
Exámen Especial a la SUNAT - INSISe9uridad de accesos del móduloinformático de Cobranza CoactivaRSIRAT
Adm.
,A.drn.
!",drn
Aam,
02-2014-SUNAT/1 BOOOO
02-2014-SUNA Tl1 BOOOO
02-2014-SUNAT/1COOOO
02-2014-SUNAT/1 COOOO
Rec. n.'13.
Rec. n.'14.
Rec. n.' 1.
Rec. n.' 2.
En coordinación con la Intendencia Nacional deSistemas de Información solicite la modificación en elSIGESA del perfil Otros por los perfiles Administrador,Consultas y Especialista de Importación Definitiva
correspondientes al modulo infoormatico deAsignación de Especialistas del Regimen de
Importación para el Consumo, a fin que el usuario quegenera una solicitud de acceso al sistema mediante el
SIGESA tenga conocimiento de los perfilesexistentes.
En coordinación con la Infendencia Nacional deSistemas de Información evaluen y determinen losperfiles Administrador y Especialista de ImportaciónDefinitiva correspondientes al mdulo informatico de
asignación de Especialista del Regimen deImportación para el Consumo, de acuerdo a las
necesidades y funciones de los usuarios del referidomodulo informático con el obetivo que dichos perfiles
no tengan las mismas opciones.
Elaborar y aprobar un procedimiento relacionado a lacreación, asignación, uso, baja y depuración de
cuentas de acceso a nivel del sistema operativo AIX yde bases de datos Informix, con la finalidad de evitarla existencia excesiva de las mismas y que no se
encuentren debidamente sustentadas yadministradas.
Revisar y de ser el caso eliminar, las cuentas deacceso en los archivos '/etc/passwd" de losservidores AIX y de las bases de datos ASOL,
RSIRA T y en aquellas bases de datos y servidores enlos que se haya implementado el "Esquema deAutenticación de Cuenta Única" a nivel nacional.Asimismo, justificar la conservación de aquellascuentas de acceso que son necesarias para eldesempeño de sus funciones, otras labores de
operación o administración, las cuales deberán estarplasmadas en un Informe que se emita con copia al
Órgano de Control Institucional.
En proceso
En proceso
En proceso
Implementada
007-2014-2-3793
007-2014-2-3793
Exámen Especial a la SUNAT - INSISeguridad de accesos del móduloinformático de Cobranza CoactivaRSIRAT
Exámen Especial a la SUNAT - INSISeguridad de accesos del móduloinformático de Cobranza CoactivaRSIRAT
Mm.
Adm.
Revisar y eliminar todas las cuentas de acceso en lasbases de datos de producción asignadas a personalde las áreas de desarrollo y pruebas, Asimismo
02-2014-SUNAT/1 COOOO Rec. n.' 3. elaborar y aprobar un procedimiento para la revisión y Implementadadepuración periódica de estos casos considerando las
caracteristicas de una adecuada segregación defunciones del personal de la INSI.
Eliminar la cuenta de acceso en blanco del servidorde base de datos RSIRA T-MEPECO de la
Intendencia Lima. Asimismo, evaluar e implementar02-2014-SUNAT/1COOOO Rec. n.' 4. los controles para evitar que se sucedan este tipo de Implementada
registros de cuentas de acceso, cuyo resultadodeberá estar plasmado en un Informe que se emita
con copia al Órgano de Control Institucional.
t'aglfla:> ut: £J
Superintendencia Nacional de Aduanas y de Administración TributariaÓrgano de Control InstitucionalDivisión de Auditoria de Sistemas Informáticos
ESTADO DE IMPLEMENTACiÓN DE LAS RECOMENDACIONES DEL INFORME DE AUDITORíA ORIENTADAS A LA MEJORA DE LA GESTiÓNDirectiva W 006-2016-CG/GPROD "Implementación y seguimiento a las recomendaciones de los informes de auditoria y publicación de sus estados
en el Portal de Transparencia de la entidad", y Decreto Supremo N' 07Q-2013-PCM que modifica el Reglamento de la Ley de Transparenciay Acceso a la Información Pública, aprobado por Decreto Supremo N' 072-2003-PCM
Nombre de la Entidad
Nombre del ÓrganoInformante
. Superintendencia Nacional de Aduanas y deAdministración Tributaria
: Órgano de Control Institucional
Periodo de SeguimientoDel: 01/07/2016 al 31/12/2016
Inforlné ............ RéeQlllellllacibn .... .'. ,;r. ::
.Tipo de Info~
Número Número Informe SUMAT ./1.0
••
.;~~/.: ....:.:•..•.•":/.:. "::'.:./:•...• ,.••...•...:... :.>/: .•:••••/,~,j<,
Nombre déAuditorta :. ¡.Texto.,;~;.t. ..' ,'É$ladOfi.(SCG. Ex SAGU /> ,
Revisar y depurar los privilegios de consulta,inserción, eliminación y actualización, asignados alas cuentas de acceso y a los roles sobre las tablas
Exámen Especial a la SUNAT - INSI de las bases de datos Informix consideradas en el
007-2014-2-3793Seguridad de accesos del módulo Adm, 02-2014-SUNAT/1COOOO Rec. n.' 5.
"Esquema de Autenticación de Cuenta Única" a nivel Implementadainformático de Cobranza Coactiva nacional. Asimismo, elaborar y aprobar un
RSIRAT procedimiento de revisión de privilegios que seefectúe de manera periódica, determinando los
responsables y entregables para evitar casos como lahabilitación de privilegios al rol "public".
Disponer a las áreas que corresponda, laExámen Especial a la SUNAT - INSI implementación de Pistas de Auditoría sobre las
007-2014-2-3793Seguridad de accesos del módulo
Adm 02-2014-SUNAT/1 COOOO Rec. n' 6.transacciones en las tablas de las bases de datos En proceso
informático de Cobranza Coactiva ASOL , RSIRA T y demás tablas de las bases de datosRSIRAT incluidas en el "Esquema de Autenticación de Cuenta
Única".
¡/iJ~;;~~''-'. Disponer al área que corresponda, implementar el
~l control de cambios y versiones en los objetos de basede datos del ASOL, RSIRA T y las demás bases dedatos incluidas en el "Esquema de Autenticación de
(~O Jj _.z:. Cuenta Única", evaluando el uso de un "Log de
J Auditoria" que sea poblado por un Trigger DDL u otra\.:t;) tecnologia similar que permita registrar los cambios
;'é;¡~ if~ de dichos objetos, considerando, entre otros: la copia,ir..;','!gOR ,¡\(i.
,()'S.exacta del código fuente antes de su modificación,nombre del objeto, identificador del objeto en la base
Exámen Especial a la SUNAT - INSi de datos, nombre del objeto en la base de datos, la IP
007-2014-2-3793Seguridad de accesos del móduio
Adm • 02-2014-SUNATI1COOOO Rec. n.' 7.del equipo desde el cual se efectúa el cambio, el En proceso
informático de Cobranza Coactiva usuario de red con el que se efectuó la conexiónRSIRAT previa al cambio, el usuario de base de datos, el
aplicativo desde el cual se ejecuta la sentencia DDL,la fecha y hora de la modificación, un número desecuencia de cambio y código del documento quesustenta la modificación (SAU, REO, PAS, etc.).
Asimismo, el Log de Auditoria debe tener privilegiosrestringidos a fin de que no se pueda realizar
modificaciones y eliminaciones, incluyendo a losusuarios con el rol DSA. Asimismo, es necesario quese implementen alertas para intentos de alteraciones
sobre el Log de Auditoría.
Disponer al área que corresponda, implementar unExámen Especial a la SUNAT - INSI procedimiento referido al análisis y revisión de las
007-2014-2-3793Seguridad de accesos del módulo
Adrn 02-2014-SUNA T/1COOOO Rec. n.' 8.Pistas de Auditoría de las transacciones y objetos de En proceso
informático de Cobranza Coactiva las bases de datos consideradas en el Esquema deRSIRAT Autenticación de Cuenta Única, que contemple, entre
otros, los entregables, periodicidad y responsables.
Página 6 de 25
Superintendencia Nacional de Aduanas y de Administración TributariaÓrgano de Control InstitucionalDivisión de Auditoria de Sistemas Infomnáticos
ESTADO DE IMPLEMENTACiÓN DE LAS RECOMENDACIONES DEL INFORME DE AUDITORíA ORIENTADAS A LA MEJORA DE LA GESTiÓNDirectiva N" 006-2016-CG/GPROD "Implementación y seguimiento a las recomendaciones de los infomnes de auditoria y publicación de sus estados
en el Portal de Transparencia de la entidad", y Decreto Supremo N" 07Q-2013-PCM que modifica el Reglamento de la Ley de Transparenciay Acceso a la Infomnación Pública, aprobado por Decreto Supremo N" 072-2003-PCM
Nombre de la Entidad
Nombre del ÓrganoInfomnante
: Superintendencia Nacional de Aduanas y deAdministración Tributaria
: Órgano de Control Institucional
Periodo de SeguimientoDel: 01107/2016 al 31/1212016
Número(SCG. Ex SAGU
Informe .
Nombre
Tipo de Informede Auditorta
AA '1"
-.:-
NúmerolnformeSUNAT
. ..RecOlll8ildaci6n.%xx;{
f~.o.; XC./i.f'c :'1éxlií' , .•.... Estado" A'
007-2014-2-3793
Exámen Especial a la SUNAT - INSISeguridad de accesos del móduloinfomnático de Cobranza CoactivaRSIRAT
Mm 02-2014-SUNA T/1COOOO
Disponer ai área que corresponda, completar ladocumentación según la Metodologia de Desarrollode Sistemas Infomnáticos (MOSI) y otros que creaconveniente para pemnitir las actividades de
Rec. n.' 9. mantenimiento y capacitación, de los componentes deencriptación de las claves de las cuentas únicas,
considerando que dicha documentación debe ser decarácter confidencial y custodiada por personal de
confianza y bajo responsabilidad.
En proceso
Disponer la asignación fomnal de responsabilidades,vinculadas con el proceso de encriptación de lasclaves de las cuentas únicas en el "Esquema de
Exámen Especial a la SUNAT - INSI Autenticación de Cuenta Única" a personas o equipos
007-2014-2-3793Seguridad de accesos del módulo Adm. 02-2014-SUNAT/1 COOOO
Rec. n.' de trabajo distintos con la finalidad de alcanzar una En procesoinfomnático de Cobranza Coactiva 10. adecuada segregación de funciones en el desarrollo
RSIRAT de las actividades de implementación, despliegue,asignación de parámetros de seguridad y custodia deentregables y documentos, no recayendo todas estas
en un solo grupo ocupacional.
-4~S;\1~4~SJ'~~!:'~~>~~t¿t,O(\tíUf 'I}~b;-':q~
{¡~!J]" \~ Disponer al área que corresponda, elabore y apruebe
1"4 ( ) ~ un Procedimiento de Resguardo de código fuente,
~;;J.:~~o < ~~~.semilla y dato encriptado, el cual debe considerar,
entre otros aspectos: - La designación de un....<..l.~J.:.,'1 ,~\.•,~ .• ,; responsable o responsables de clave compartida que~.•., ..::.~.~~:...•~ deberán detemninar el valor de la clave de la cuenta
Exámen Especial a la SUNAT - INSI única encriptada (una porción cada uno),
007-2014-2-3793Seguridad de accesos del módulo
Adm 02-2014-SUNA T/1COOOORec. n.' considerando la independencia funcional y que no En proceso
infomnático de Cobranza Coactiva 11.RSIRAT
cuenten con accesos a los ambientes de bases dedatos desarrollo, calidad y producción. - La
designación del responsable de detemninar la semillaen el algoritmo de encriptación. - Resguardo del
código fuente, considerando el no mantenimiento decódigo legible y el proceso de recuperación cuando
sea necesario.
Exámen Especial a la SUNAT - INSISoiucionar los problemas reiterativos presentados en
Seguridad de accesos del módulo Rec. n.'la funcionalidad y operatividad del módulo de
007-2014-2-3793informático de Cobranza Coactiva
Adm 02-2014-SUNAT/1COOOO 13.Cobranza Coactiva (RSIRA T), los mismos que han En proceso
RSIRATsido comunicados por la Gerencia de Cobranza
Coactiva - Lima.
Exámen Especial a la SUNAT - INSIFomnalizar el Pase a Producción según los
Seguridad de accesos del módulo Rec. n.'lineamientos de desarrollo de la Intendencia Nacional
007-2014-2-3793infomnático de Cobranza Coactiva
!\dm 02-2014-SUNAT/1 COOOO14.
de Sistemas de Infomnación del Aplicativo "Núcleo de En proceso
RSIRATInfomnación Nacional y Estadistica - NINE" de la
Intendencia Lima.
Evaluar la existencia y los riesgos vinculados a losaplicativos, módulos, servicios y sistemas de
Exámen Especial a la SUNAT - INSI infamnación, que de manera paralela vienen siendo
007-2014-2-3793Seguridad de accesos del módulo Mm. 02-2014-SUNAT/1COOOO
Rec. n.' utilizados en los ambientes de producción y que no En procesoinformático de Cobranza Coactiva 15. fueron implementados bajo los lineamientos deRSIRAT desarrollo de la INSI, como el caso del NINE, cuyo
resultado deberá estar plasmado en un Infomne quese emita con copia al Órgano de Control Institucional.
Págína 7 de 25
Superintendencia Nacional de Aduanas y de Administración TributariaÓrgano de Control InstitucionalDivisión de Auditoria de Sistemas Informaticos
ESTADO DE IMPlEMENTACION DE LAS RECOMENDACIONES DEL INFORME DE AUDITORíA ORIENTADAS A LA MEJORA DE LA GESTlONDirectiva N' 00&-2016.CG/GPROD "Implementación y seguimiento a las recomendaciones de los informes de auditoria y publicación de sus estados
en el Portal de Transparencia de la entidad", y Decreto Supremo N' 070.2013.PCM que modifica el Reglamento de la ley de Transparenciay Acceso a la Información Pública, aprobado por Decreto Supremo N" 072.2003-PCM
Nombre de la Entidad: Superintendencia Nacional de Aduanas y deAdministración Tributaria
Periodo de SeguimientoDel: 01107/2016 al 31/12/2016
Nombre del OrganoInformante
: Órgano de Control Institucional
Informe ','o': +--;-;- . ,,'c. Recomendaci6n c,
Tipo de InformeNOmero Informe SUNAr 1/,+ . ,
NúmeroNombré de Auditorla nvf) '("Texto Estad!,
(SeG- Ex SAGU
Examen Especial a la Superintendencia Disponer la validación del campo "fecha" y "hora" deNacional de Aduanas y de marcación de la opción "Registro de MarcacionesAdministración Tributaria - INSI referido
14.2014.SUNA T/1COOOO Rec. n.'1.Manuales" del sistema "SIRH.Asistencia". Asimismo
En proceso027.2014.2.3793 Adm eliminar las marcaciones de fechas y horasa la Seguridad en el Sistema deProcesamiento de las Planillas de inconsistentes (posteriores a las que realmenteRemuneraciones corresponden).
Examen Especial a la Superintendencia Disponer la implementación de controles queNacional de Aduanas y de permitan superar la vulnerabilidad lógica en la
027.2014.2.3793Administración Tributaria - INSI referido
Adrn 14.2014.SUNAT/1COOOO Rec. n.o 2. aplicación web Tibbo Device Server, al acceder sin No aplicablea la Seguridad en el Sistema de registrar contraseña a las opciones de configuraciónProcesamiento de las Planillas de de cinco relojes marcadores.Remuneraciones
Examen Especial a la Superintendencia Disponer la migración a servidores de la SUNAT deNacional de Aduanas y de los aplicativos y la información almacenada en el
027.2014.2.3793Administración Tributaria - INSI referido Adrn 14.2014.SUNAT/1 COOOO Rec. n.o 3. equipo PCB222, referidos a las "marcaciones de Implementadaa la Seguridad en el Sistema de asistencia" de los trabajadores de la SUNAT a nivelProcesamiento de las Planillas de nacional.Remuneraciones
diF ~;;;;~'~~~!t- Examen Especial a la Superintendencia;!:f'~~~ Disponer la actualización del documento "Pase a., .Nacional de Aduanas y de producción.hardware" del servidor virtual
,.:::r o
ii\ '~J ~.,.:,~ Administración Tributaria - INSI referido Adm. 14.2014.SUNAT/1COOOO Rec. n.o 4. SRVJABBER y salvaguardar que no se encuentre ImplementadaElQgz.2014-2V3 a la Seguridad en el Sistema de expuesta la cuenta de usuario administrador y su,(e) Ji Procesamiento de las Planillas de contraseña ..;JRemuneraciones
,~l.-;(~
'L.t,f,,~ ,~<f:i:..',~.~';..~,.f'.••..
Examen Especial a la Superintendencia Disponer la eliminación de la cuenta de usuario enNacional de Aduanas y de blanco en la base de datos "SP" del sistema "SIRH.
027.2014.2.3793Administración Tributaria - INSI referido
Mm 14.2014.SUNAT/1 COOOO Rec. n.o 5. Asistencia" y establecer controles en el referido Implementadaa la Seguridad en el Sistema de sistema y base de datos a fin de evitar que laProcesamiento de las Planillas de situación comentada se repita.Remuneraciones
Examen Especial a la Superintendencia Disponer la eliminación de las de 2 520 cuentas deNacionai de Aduanas y de usuario registradas en la base de datos "SP" del
027.2014.2.3793Administración Tributaria - INSI referido
Adm 14.2014.SUNAT/1 COOOO Rec. n.o 8. sistema "SIRH.Asistencia" que carecen del Implementadaa la Seguridad en el Sistema de correspondiente registro en el archivo "etc/pa;;swd"Procesamiento de las Planillas de del servidor INFP03S2.Remuneraciones
Disponer la evaluación de los privilegios asignados alExamen Especial a la Superintendencia rol "Public" sobre todas las tablas de la base de datosNacional de Aduanas y de "SIG" del "Módulo de Recursos Humanos del sistema
027.2014.2.3793Administración Tributaria - INSI referido Adm. 14.2014-SUNA TI1COOOO Rec. n.o 9. SIGA". Asimismo, se disponga la elaboración y Implementadaa la Seguridad en el Sistema de aprobación de un procedimiento general de revisiónProcesamiento de las Planillas de de privilegios sobre cuentas de usuario y roles en lasRemuneraciones bases de datos de los servidores de la SUNAT.
l\\
Página 8 de 2S
Superintendencia Nacional de Aduanas y de Administración Tributaria6rgano de Control InstitucionalDivisión de Auditoria de Sistemas Informáticos
ESTADO DE IMPLEMENTACI6N DE LAS RECOMENDACIONES DEL INFORME DE AUDITORíA ORIENTADAS A LA MEJORA DE LA GESTl6NDirectiva W 006-2016-CG/GPROD "Implementación y seguimiento a las recomendaciones de los infonmes de auditoria y publicación de sus estados
en el Portal de Transparencia de la entidad", y Decreto Supremo W 070-2013-PCM que modifica el Reglamento de la Ley de Transparenciay Acceso a la Infonmación Pública, aprobado por Decreto Supremo W 072-2003-PCM
Nombre de la Entidad: Superintendencia Nacional de Aduanas y deAdministración Tributaria
Periodo de SeguimientoDel: 01/07/2016 al 31/12/2016
Nombre del 6rganoInformante
: 6rgano de Control Institucional
Número(SCG. Ex SAGU
Informe
NombreTipo de InformedeAud~orla Número Informe SUNAT l' n.O
... '
"':"
.....•... '
Recomendaei6n"
Textó'1,"',
027-2014-2-3793
Examen Especial a la SuperintendenciaNacional de Aduanas y deAdministración Tributaria - INSI referidoa la Seguridad en el Sistema deProcesamiento de las Planillas deRemuneraciones
Adm 14-2014-SUNAT/l COOOORec. n.'10.
Disponer la evaluación de las pollticas de seguridadde la contraseña asignada al perfil "DEFAUL T" de la
base de datos "SIG" del "Módulo de RecursosHumanos del sistema SIGA", a fin de precisar el valorpara las politicas: "número de intentos de conexión
fallidos", "tiempo de bloqueo de contraseña" y "tiempoadicional al vencimiento de la duración de la
contraseña". Asimismo, disponer la actualización delvalor para las pollticas: "tiempo de duración de lacontraseña", "número de cambios de contraseña
antes de ser reutilizado" y "función de verificación decontraseña"; en concordancia con lo dispuesto en la
Circular n.' 001-2012/400000.
No aplicable
En proceso
Implementada
Disponer la evaluación integral de las tablas de lasbases de datos "SP" y "SIG" de los sistemas "SIRH •Asistencia" y del "Módulo de Recursos Humanos delsistema SIGA" a fin de detenminar aquellas sobre lascuales deberán implementarse o complementarse
registros de auditoria.
Disponer ia implementación de registros de auditorlapara los cambios que pudieran realizarse en losobjetos (procedimientos almacenados, triggers,
tablas, vistas, entre otros) de las bases de datos "SP"y "SIG" de los sistemas "SIRH-Asistencia" y del
"Módulo de Recursos Humanos del sistema SIGA" afin de que pueda identificase la autoria sobre lasmodificaciones o eliminaciones realizados en tales
objetos.
Rec. n.'11.
Rec. n.'12.
14-2014-SUNA T/1COOOO
14-2014-SUNAT/1 COOOO
A.dm
;\dm.
Examen Especial a la SuperintendenciaNacional de Aduanas y deAdministración Tributaria - INSI referidoa la Seguridad en el Sistema deProcesamiento de las Planillas deRemuneraciones
027-2014-2-3793
"'''~I:'C''.~\:Ü\~,I~¡"¡:,\,/;; .~M.(,e"trol/.o.
'#1:?" r~-/'\~\:."i~ ~ U) @J Examen Especial a la Superintendencia\,~ \ l? I Nacional de Aduanas y de.~ .j. 02 \14-~31V Administración Tributaria - INSI referido
-¿"4Xi' .1o;"¡-<:>'- a la Seguridad en el Sistema de~-~._>."" ..,. Procesamiento de las Planillas de
Remuneraciones
027-2014-2-3793
Examen Especial a la SuperintendenciaNacional de Aduanas y deAdministración Tributaria - INSI referidoa la Seguridad en el Sistema deProcesamiento de las Planillas deRemuneraciones
Adm 14.2014-SUNA TI1 COOOORec. n.'
13.
Disponer la migración de los sistemas de "planillas depensiones" y "compensación por tiempo de servicio"instalados en los equipos PCK775 y ALQPCLlM20QF(alquilado) a los servidores de la SUNAT, y asegurar
la realización de las copias de seguridad.
Implementada
027-2014-2-3793
Examen Especial a la SuperintendenciaNacional de Aduanas y deAdministración Tributaria - INSI referidoa la Seguridad en el Sistema deProcesamiento de las Planillas deRemuneraciones
Adrn. 14-2014-SUNAT/1COOOORec. n.'
14.
Disponer la elaboración y aprobación de unprocedimiento interno que penmita asegurar la
encriptación de la infonmación que corresponda en lasbases de datos de los servidores de la SUNAT, con elfin de resguardar la seguridad de la infonmación.
En proceso
027-2014-2.3793
Examen Especial a la SuperintendenciaNacional de Aduanas y deAdministración Tributaria - INSI referidoa la Seguridad en el Sistema deProcesamiento de las Planillas deRemuneraciones
Adrn. 14-2014-SUNAT/l COOOORec. n.'
15.
Disponer el cambio del valor de la semilla en losambientes de producción, calidad y desarrollo enbase al procedimiento de la recomendación n.' 16
para las funciones encripta y desencripta del paquete"SEGURIDAD.seg_cifrado" de la base de datos "SIG"del SIGA, con el fin de resguardar la seguridad de la
infonmación.
En proceso
Página 9 de 25
Superintendencia Nacional de Aduanas y de Administraci6n TributariaÓrgano de Control InstitucionalDivisi6n de Auditorla de Sistemas Infonmáticos
ESTADO DE IMPLEMENTACiÓN DE LAS RECOMENDACIONES DEL INFORME DE AUDITORíA ORIENTADAS A LA MEJORA DE LA GESTIÓNDirectiva N" 006-2016-CG/GPROD "Implementaci6n y seguimiento a las recomendaciones de los Infonmes de auditorla y publlcaci6n de sus estados
en el Portal de Transparencia de la entidad", y Decreto Supremo N" 07Q-2013-PCM que modifica el Reglamento de la Ley de Transparenciay Acceso a la Infonmaci6n Pública, aprobado por Decreto Supremo N" 072-2003-PCM
Nombre de la Entidad
Nombre del ÓrganoInfonmante
. Superintendencia Nacional de Aduanas y deAdministraci6n Tributaria
. Órgano de Control Institucional
Periodo de SeguimientoDel: 01107/2016 al 31/1212016
Número'(SCG. Ex SAGU I
Inloríne '..
Nombre'. T¡p;de Informe'; . .
déAuditorfÍl!;';.'"
Disponer que la Oficina de Seguridad Infonmáticarealice las pruebas del "Procedimiento de continuidadoperativa del servicio aduanero ante interrupciones
Rec. n.• 1. del sistema infonmático en las intendencias de aduanaa nivel nacional", con el fin de verificar la continuidad
operativa del servicio aduanero.
027-2014-2-3793
027-2014-2-3793
027-2014-2-3793
031-2014-2-3793
031-2014-2-3793
Examen Especial a la SuperintendenciaNacional de Aduanas y deAdministraci6n Tributaria - INSI referidoa la Seguridad en el Sistema deProcesamiento de las Planillas deRemuneraciones
Examen Especial a la SuperintendenciaNacional de Aduanas y deAdministraci6n Tributaria - INSI referidoa la Seguridad en el Sistema deProcesamiento de las Planillas deRemuneraciones
Examen Especial a la SuperintendenciaNacional de Aduanas y deAdministración Tributaria - INSI referidoa la Seguridad en el Sistema deProcesamiento de las Planillas deRemuneraciones
Examen Especial a la SuperintendenciaNacional de Aduanas y deAdministración Tributaria - INSI referidoa la Seguridad en el Sistema deProcesamiento de las Planillas deRemuneraciones
Procedimiento de continuidad Operativadel Servicio Aduanero anteinterrupciones del sistema infonmático enlas Intendencia de Aduana A nivelNacional
Procedimiento de continuidad Operativadel Servicio Aduanero anteinterrupciones del sistema infonmático enlas Intendencia de Aduana A nivelNacional
Procedimiento de continuidad Operativadel Servicio Aduanero anteinterrupciones del sistema Infonmático enlas Intendencia de Aduana A nivelNacional
Adm
Adm
Adm
Adm
Adm
Adrn
14-2014-SUNAT/1COOOO
14-2014-SUNAT/l COOOO
14-2014-SUNAT/l COOOO
14-2014-SUNA T/1COOOO
17-2014-SUNAT/1COOOO
17-2014-SUNAT/1 COOOO
17-2014-SUNAT/1COOOO
Página 10 de 25
Rec. n"18.
Rec. n"19.
Rec. n"21.
Rec. n"23.
Rec. n" 3.
Rec. n" 4.
En coordinación con la Intendencia Nacional deSistemas de Infonmación, se establezcan controles,alertas y reportes en el sistema "SIRH-Asistencia",que penmita advertir aquellos colaboradores de
SUNAT a nivel nacional, que no tengan un tumo detrabajo asignado.
En coordinaci6n con la Intendencia Nacional deSistemas de Infonmación, se establezcan controlesalertas y reportes en el sistema "SIRH-Asistencia",que penmita mantener actualizado el turno de trabajo"R67", asignado a algunos trabajadores de la SUNAT
que por la naturaleza de sus funciones lescorresponde.
Disponer que el "exceso de refrigerio", sea incluido enlos alcances del articulo 21. del Reglamento Internode Trabajo de la SUNAT, como un control por elnúmero de minutos considerables y evidenciadoscomo "exceso de refrigerio", correspondiente a los
trabajadores de la SUNAT a nivel nacionalcomprendidos en los reglmenes laborales de los
Decretos Legislativos n.• s 276 y 728.
Disponer la implementaci6n de controles, a fin de quelas modificaciones efectuadas en las calificaciones de
asistencia de los trabajadores de la SUNATrealizadas por usuarios distintos a los jefes, sean
necesariamente autorizados por la jefatura inmediatadel trabajador.
Disponer que se implemente el servidor de respaldopara la Intendencia de Aduana de Iquitos, con el finde garantizar la continuidad operativa del servicio
aduanero en la referida Intendencia
Disponer que la Oficina de Seguridad Infonmáticacoordine la realización de las capacitaciones del
"Procedimiento de continuidad operativa del servicioaduanero ante interrupciones del sistema infonmáticoen las intendencias de aduana a nivel nacional", con
el fin de que el personal involucrado apliquecorrectamente el referido procedimiento.
Implementada
Implementada
Implementada
Implementada
En proceso
Implementada
En proceso
Superintendencia Nacional de Aduanas y de Administración Tributaria6rgano de Control InstitucionalDivisión de Auditoria de Sistemas Informáticos
ESTADO DE IMPLEMENTACiÓN DE LAS RECOMENDACIONES DEL INFORME DE AUDITORIA ORIENTADAS A LA MEJORA DE LA GESTiÓNDirectiva N" 006-2016-CG/GPROD "Implementación y seguimiento a las recomendaciones de los informes de auditoria y publicación de sus estados
en el Portal de Transparencia de la entidad", y Decreto Supremo N' 070-2013-PCM que modifica el Reglamento de la Ley de Transparenciay Acceso a la Información Pública, aprobado por Decreto Supremo N' 072-2003-PCM
Nombre de la Entidad
Nombre del ÓrganoInformante
: Superintendencia Nacional de Aduanas y deAdministración Tributaria
: 6rgano de Control Institucional
Periodo de SeguimientoDel: 01107/2016 al 31/1212016
Informe.....
.... •.•.. .... ...RecOl1l.ildaci6llA'\ ... 'A'"",(¡," :,¡'
NúmeroTipo de Informe Núlnero Infórme SUNAT C7. n, •.:r: J
..... .v;,
..
(SCG. Ex SAGUNombre deAud~oria "Texto?: ..'0 Estado
# .H
Disponer que la Gerencia de Desarrollo de Sistemasimplemente los siguientes controles en los programas
Auditoria de Cumplimiento a la SUNAT- fuentes relacionados al Sistema de Remates de
Proceso de Seguridad del Sistema de Aduanas: a. Que la validación referida a que un
054-2015-2-3793Remates de Aduanas de la Intendencia Acm. 05-2015-SUNAT/1 COOOO Rec. n.' 1.
postor no sea trabajador de la Institución, se realice
Nacional de Sistemas de Información - en la tabla de personal activo del Sistema deEn proceso
Periodo 1 de enero de 2013 al 31 de Recursos Humanos y no en la tabla CAT _PERSONAL
diciembre 2014 y b. Que la validación del punto anterior se realicetanto al momento de efectuar el registro, como al
realizar ofertas en el citado sistema.
Auditoria de Cumplimiento a la SUNAT- Disponer que la Gerencia de Desarrollo de Sistemas,Proceso de Seguridad del Sistema de
054-2015-2-3793Remates de Aduanas de la Intendencia
en coordinación con la Gerencia de Almacenes,
Nacional de Sistemas de Información -Adm 05-2015-SUNAT/1 COOOO Rec. n.' 2. evalúen la eliminación de la opción que permite el En proceso
Periodo 1 de enero de 2013 al 31 decambio de la fotografia del lote a rematar en el
diciembre 2014Módulo de Consultas Remates por Intranet.
Disponer que la Oficina de Seguridad Informáticarealice: a. La validación de la información referida a
Auditoria de Cumplimiento a la SUNAT-los datos de las cuentas de usuarios generadas,
Proceso de Seguridad del Sistema deexistentes en el Sistema de Remates de Aduanas con
054-2015-2-3793Remates de Aduanas de la Intendencia
la finalidad de contar con información veraz,
Nacional de Sistemas de Información -Adm. 05-2015-SUNAT/1 COOOO Rec. n.' 3. consistente y actualizada de los mismos y b. En proceso
- Periodo 1 de enero de 2013 al 31 deImplementar un procedimiento de control en la
",';,;¡.I)UAIlAS YOI: 1 j~embre 2014creación de usuarios que valide que los datos
#~e c.""lrol/1]8~' ~ti~correspondientes a los trabajadores de la Institución
%~~\ sean acordes con la información de las tablas
(~!J~ respectivas del Sistema de Recursos Humanos.,::r J ¡:: ~').~(E ff\~ ~./tI~ . ""4J4.rIMO RUI~~; ,....'"
,..,.•...•.-"'_ .. Disponer la evaluación de los permisos deactualización, inserción o eliminación de las cuentas
de usuario "gsalcedoc", "¡rodriguez", "parias",
Auditoria de Cumplimiento a la SUNAT-"pperez" y "yalarcon", asi como del rol "Public", a fin
Proceso de Se9uridad del Sistema dede determinar su permanencia, eliminación o
054-2015-2-3793Remates de Aduanas de la Intendencia
mantenimiento, sobre las veintisiete (27) tablas de la
Nacional de Sistemas de Información -Adm 05-2015-SUNAT/1COOOO Rec. n.' 4. base de datos "PRAD1" del "Sistema de Remates de Implementada
Periodo 1 de enero de 2013 al 31 deAduanas" identificadas en el apéndice n.' 1, Y que
diciembre 2014como resultado del mismo se emita un Informe con
copia al6rgano de Control Institucional, de acuerdo alo dispuesto en el numeral 6 del rubro VII "Pollticas de
cuentas de acceso" de la Circular n.' 001-2012/400000.
Página 11 de 25
Superintendencia Nacional de Aduanas y de Administración TributariaÓrgano de Control InstitucionalDivisión de Auditoria de Sistemas Infonmáticos
ESTADO DE IMPLEMENTACiÓN DE LAS RECOMENDACIONES DEL INFORME DE AUDITORíA ORIENTADAS A LA MEJORA DE LA GESTIÓNDirectiva N" 006-2016-CGIGPROD "Implementación y seguimiento a las recomendaciones de los infonmes de auditoria y publicación de sus estados
en el Portal de Transparencia de la entidad", y Decreto Supremo N' 070-2013-PCM que modifica el Reglamento de la Ley de Transparenciay Acceso a la Infonmación Pública, aprobado por Decreto Supremo N" 072-2003-PCM
Nombre de la Entidad
Nombre del ÓrganoInfonmante
: Superintendencia Nacional de Aduanas y deAdministración Tributaria
: Órgano de Control Institucional
Periodo de SeguimientoDel: 01/07/2016 al 31112/2016
Número(SCG" Ex SAGU
Informe
NombreTipo de Informede Audltoria
NClmero Informe SUNAT
054-2015-2-3793
054-2015-2-3793
054-2015-2-3793
Auditoria de Cumplimiento a la SUNAT-Proceso de Seguridad del Sistema deRemates de Aduanas de la IntendenciaNacional de Sistemas de Infonmación -Periodo 1 de enero de 2013 al 31 dediciembre 2014
Auditoria de Cumplimiento a la SUNAT-Proceso de Seguridad del Sistema deRemates de Aduanas de la IntendenciaNacional de Sistemas de Infonmación -Periodo 1 de enero de 2013 al 31 dediciembre 2014
Auditoria de Cumplimiento a la SUNA T-Proceso de Seguridad del Sistema deRemates de Aduanas de la IntendenciaNacional de Sistemas de Infonmación -Periodo 1 de enero de 2013 al 31 dediciembre 2014
Adrn
Adm.
Adrn.
05-2015-SUNAT/1 COOOO
05-2015-SUNAT/1 COOOO
05-2015-SUNA Tl1COOOO
Página 12 de 25
Rec. n.' 5.
Rec. n.' 6.
Rec. n' 7.
Disponer la evaluación de las políticas de seguridadde la contraseña asignada al perfil "DEFAUL 1" de labase de datos "PRAD1" del "Sistema de Remates de
Aduanas", a fin de precisar los valores de laspolíticas: "número de intentos de conexión fallidos",
"tiempo de bloqueo de contraseña" y "tiempoadicional al vencimiento de la duración de la
contraseña". Asimismo, disponer la actualización delos valores de las politicas: "tiempo de duración de lacontraseña", "número de cambios de contraseña
antes de ser reutilizado" y "función de verificación decontraseña"; en concordancia con lo dispuesto en la
Circular n.' 001-2012/400000.
Disponer la evaluación de las tablas de la base dedatos "PRAD1" relacionadas con el "Sistema de
Remates de Aduanas" a fin de detenminar aquellassobre las cuales deberán implementarse registros de
auditoria para las operaciones de inserción,actualización o eliminación de infonmación y, quecomo resultado del mismo se emita un Infonme con
copia al Órgano de Control Institucional.
Disponga que la División de Soporte y Operación dela Infraestructura Tecnológica y en coordinación conlas unidades orgánicas que correspondan, efectúe losiguiente: a. Definir que medios de respaldo deberán
ser migrados a la Solución de Respaldo yRestauración de Infonmación Institucional, b. En
concordancia con lo dispuesto en el numeral 10.5 delrubro VI de la Circular N" 017-2010; elabore el Plande transferencia o conversión de la infonmaciónalmacenada en los medios de respaldo nocompatibles con la Solución de Respaldo y
Restauración de Infonmación Institucional, el cualdeberá ser fonmalizado y contar con la aprobación de
las unidades orgnánicas correspondientes y c.Efectúe la migración de la infonmación almacenada enmedios de respaldo no compatibles con la Solución
de Respaldo y Restauración de InfonmaciónInstitucional y que, como resultado del mismo, seemita un infonme con copia al Órgano de Control
Institucional.
No aplícable
Implementada
En proceso
Superintendencia Nacional de Aduanas y de Administración Tributaria6rgano de Control InstitucionalDivisión de Auditoria de Sistemas Informáticos
ESTADO DE IMPLEMENTACiÓN DE LAS RECOMENDACIONES DEL INFORME DE AUDITORíA ORIENTADAS A LA MEJORA DE LA GESTiÓNDirectiva N" 006-2016-CG/GPROD 'Impiementación y seguimiento a las recomendaciones de los informes de auditarla y publicación de sus estados
en el Portal de Transparencia de la entidad", y Decreto Supremo N" 070-2013-PCM que modifica el Reglamento de la Ley de Transparenciay Acceso a la Información Pública, aprobado por Decreto Supremo N" 072-2003-PCM
Nombre de la Entidad
Nombre del ÓrganoInformante
: Superintendencia Nacional de Aduanas y deAdministración Tributaria
. 6rgano de Control Institucional
Periodo de SeguimientoDel: 01/07/2016 al 31/12/2016
Inform.:.
:'. .>.: ... ;: R~omendacl6ri ..•...; . .
Número. Tipo d.lnforme NúMero Informe SUflAT ':;'n '" .............. . ...•.;¡;;; ...•.•.. "". ",: .. '
Nombre de Auditoria '.. . ....';:.;
Texto 'k .' . Estado(SCG "Ex SAGU .' ':' .. 1';:
Disponga que la División de Soporte y Operación dela infraestructura Tecnológica: a. Programar y realizarlas verificaciones de los respaldos de base de datos
Informix y Oracle, asi como de los sisfemas
Auditoria de Cumplimiento a la SUNAT.operativos, entre otros, de acuerdo con lo establecidoen la Circular n.o 017-2010 para el presente año y b.
Proceso de Seguridad del Sistema de Formalizar la emisión de un documento que contenga
054-2015.2-3793Remates de Aduanas de la Intendencia Mm 05-2015-SUNAT/1 COOOO Rec. n.' 9. el 'Plan de VerificaciónlRevisión de los respaldos de ImplementadaNacional de Sistemas de Información - equipos", considerando entre otros, la periodicidad,Periodo 1 de enero de 2013 al 31 de alcance de la verificación y la emisión de undiciembre 2014 documento final que contenga el resultado de las
labores efectuadas, la fecha de emisión y vigencia,asi como los sellos y firmas de las jefaturascorrespondientes, en señal de conformidad y
aprobación del mismo.
Disponga que la División de Soporte y Operación dela Infraestructura Tecnológica, elabore un
procedimiento formal para efectuar el inventario flsicode los medios de almacenamiento que contempleentre otros, lo siguiente: a. Fecha de emisión y
vigencia y contener los sellos y firmas de las jefaturas
Auditoria de Cumplimiento a la SUNAT-correspondientes, en señal de conformidad y
Proceso de Seguridad del Sistema deaprobación., b. Deberá definir claramente las
Remates de Aduanas de la Intendencia Rec. n.oresponsabilidades del personal involucrado, c.
054-2015.2.3793Nacional de Sistemas de Información -
Ad01 05.2015-SUNA TI1COOOO10.
Establecer la emisión de un Informe (o documento Implementada
- Periodo 1 de enero de 2013 al 31 desimilar) en el cual se consigne el resultado del
~~~f),jS rOt4~ diciembre 2014inventario realizado y d. Oportunidad en que se
d~ (,on\,ollns,. ~elaboran los cronogramas para la realización del
~
toe ./{~.,.~ inventario de medios de almacenamiento en las
,\~:' cintotecas de San Isidro y San Luis: los cuales
i:..~.o JE~- ¡f,l deberán contener fecha de emisión y vigencia asi~ (el ~ como los sellos y firmas de las jefaturas
'~~~. ~;Y correspondientes en señal de conformidad y..•.1~.~ ,~t"" aprobación de los mismos
~4;1I,\'Or.,I'J.'>~--'j
Priorizar y efectuar, en estricto cumplimiento de loscronogramas formalmente establecidos asi como del
Auditoria de Cumplimiento a la SUNAT. numeral 7.3 del rubro VI de la Circular N' 017-2010,Proceso de Seguridad del Sistema de los inventarios fisicos en las cintotecas de San Isidro y
054-2015.2.3793Remates de Aduanas de la Intendencia
Adm. 05.2015-SUNAT/1 COOOORec. n.' San Luis, (consignados en los documentos "Proyecto En proceso
Nacional de Sistemas de' Información • 11. San IsidroF.mpp" y "Proyecto San LuisF.mpp") quePeriodo 1 de enero de 2013 al 31 de permitan corroborar los datos de identificación,diciembre 2014 contenido y ubicación fisica de los medios de
almacenamiento; cuyo resultado deberá sercomunicado al6rgano de Control Institucional.
Disponer que la Gerencia de Operaciones y Soporte aAuditoria de Cumplimiento a la SUNAT. Usuarios, priorice la actualización de la Circular n.'Proceso de Seguridad del Sistema de 017.2010 - Procedimiento de seguridad para la
054.2015-2-3793Remates de Aduanas de la Intendencia
Adm 05-2015.SUNAT/1COOOORec. n.o gestión de los respaldos informáticos de la SUNA T, En proceso
Nacional de Sistemas de Información - 12. entre otros aspectos, de la denominación vigente dePeriodo 1 de enero de 2013 al 31 de ocho unidades orgánicas mencionadas en el numeraldiciembre 2014 1.4 del presente Informe, de acuerdo al Reglamento
de Organización y Funciones vigente.
'o' "UeL'::l
Superintendencia Nacional de Aduanas y de Administración Tributaria6rgano de Control InstitucionalDivisión de Auditoria de Sistemas Infonmáticos
ESTADO DE IMPLEMENTACiÓN DE LAS RECOMENDACIONES DEL INFORME DE AUDITORíA ORIENTADAS A LA MEJORA DE LA GESTiÓNDirectiva N" 006-2016-CG/GPROD "Implementación y seguimiento a las recomendaciones de los infonmes de auditoria y publicación de sus estados
en el Portal de Transparencia de la entidad", y Decreto Supremo N' 070-2013-PCM que modifica el Reglamento de la Ley de Transparenciay Acceso a la Información Pública, aprobado por Decreto Supremo N" 072-2003-PCM
Nombre de la Entidad: Superintendencia Nacional de Aduanas y deAdministración Tributaria
Periodo de SeguimientoDel: 01/07/2016 al 3111212016
Nombre del 6rganoInfonmante
. 6rgano de Control Institucional
Número(SCG. Ex SAGU
Infonne
Nombre
tipo de Informe, (le Auditorla Número Infonne SUNAT
:
054-2015-2-3793
Auditoria de Cumplimiento a la SUNAT-Proceso de Seguridad del Sistema deRemates de Aduanas de la IntendenciaNacional de Sistemas de Infonmación -Periodo 1 de enero de 2013 al 31 dediciembre 2014
Adm. 05-2015-SUNAT/l COOOORec. n'
14.
Disponer que la Gerencia de Desarrollo de Sistemas,actualice el modelo de base de datos correspondienteal Sistema de Remates de Aduanas en concordanciacon las tablas que confonman e interactúan con dicho
sistema, con la finalidad de que sirva comoherramienta para labores de desarrollo y
mantenimiento de sistemas.
En proceso
054-2015-2-3793
Auditoria de Cumplimiento a la SUNAT-Proceso de Seguridad del Sistema deRemates de Aduanas de la IntendenciaNacional de Sistemas de Infonmación -Periodo 1 de enero de 2013 al 31 dediciembre 2014
Mm. 05-2015-SUNAT/l COOOORec. n.'
15
Disponga que la División de Desarrollo de SistemasAduaneros o la unidad orgánica a cargo del
mantenimiento del Sistema de Remate de Aduanas,actualice el Sistema de Remates de Aduanas y su
respectivo manual de usuario, modificando entre otrostemas que se considere pertinente, la denominaciónvigente de la Institución y la tasa actual del ImpuestoGeneral a las Ventas, asimismo se deberá indicar lafecha de emisión o actualización del manual de
usuario al momento de su publicación; con la finalidadde no generar mayor confusión y no se afecte la
imagen de la Institución.
En proceso
En proceso
Implementada
Disponer que la División de Desarrollo de SistemasTributarios implemente los cambios necesarios en elsoftware 'Servidor de Aplicaciones (SIGCO)', con elfin que realice lo siguiente: Al momento que se crean
cuentas para el SIGCO, no penmita que uncolaborador tenga más de una cuenta activa. Validela existencia de la Solicitud de Acceso al Sistema
(SAS) que se registra como sustento para la creacióno modificación de cuentas del SIGCO. Almacene lasmodificaciones a la infonmación de las cuentas delSIGCO, así como la fecha, hora y el usuario que
realiza dichas modificaciones.
Disponga que la Intendencia Nacional deAdministración, efectúe o solicite a la unidad orgánicacorrespondiente, la actualización del ProcedimientoGeneraIINA-PG.16 referido al 'Remate via internet
de mercancias en abandono legal y comisoadministrativo' entre otros, de la denominación
vigente de cuatro unidades orgánicas (mencionadasen el numeral 3 del presente Infonme) de acuerdo alReglamento de Organización y Funciones vigente.
Rec. n.'16.
Rec. n.' 1.01-2015-SUNAT/1COOOO
05-2015-SUNA T/1COOOO
Adm
Adrn.
Auditoria de cumplimiento a la SUNAT -Proceso de seguridad del sistema deinfonmacón general de consultas de laIntendencia Nacional de Sistemas deInfonmación periodo 1 de enero de 2013al 31 de diciembre de 2014.
001-2015-2-3793
054-2015-2-3793
Auditoria de Cumplimiento a la SUNAT-Proceso de Seguridad del Sistema deRemates de Aduanas de la IntendenciaNacional de Sistemas de Infonmación -Periodo 1 de enero de 2013 al 31 de
, •• ~~ diciembre 2014""'~;iWJ~I'!lSyt.'.:;>;~control l!¡s~1t'iff.•.~
)') /~ f:,~ 'I\}.~~i./r¡" \ \~l~:r .I(~;: ¡¡¡l.~~\ " S"": f!j
'., /'"-. 1 ~<!,~-$'.I"'J"".I,,,! UlI.\\~~ ,,"
001-2015-3793
Auditoria de cumplimiento a la SUNAT -Proceso de seguridad del sistema deinfonmacón general de consultas de laIntendencia Nacional de Sistemas deInfonmación periodo 1 de enero de 2013al 31 de diciembre de 2014.
Adm. 01-2015-SUNA TI1COOOO Rec. n.' 2.
Disponer que la Oficina de Seguridad Infonmáticacoordine con las unidades orgánicas a las que
pertenece el personal del apéndice n.'l, con el fin deque cada colaborador sólo tenga una cuenta activa
para el SIGCO y se individualice la trazabilidad de susaccesos.
Implementada
Página 14 de 25
Superintendencia Nacional de Aduanas y de Administración TributariaÓrgano de Control InstitucionalDivisión de Auditarla de Sistemas Informáticos
ESTADO DE IMPLEMENTACiÓN DE LAS RECOMENDACIONES DEL INFORME DE AUDITORíA ORIENTADAS A LA MEJORA DE LA GESTiÓNDirectiva N" 006-2016-CG/GPROD "Implementación y seguimiento a las recomendaciones de los informes de auditorla y publicación de sus estados
en el Portal de Transparencia de la entidad', y Decreto Supremo N' 070-2013-PCM que modifica el Reglamento de la Ley de Transparenciay Acceso a la Información Pública, aprobado por Decreto Supremo N' 072-2003-PCM
Nombre de la Entidad
Nombre del ÓrganoInformante
: Superintendencia Nacional de Aduanas y deAdministración Tributaria
: Órgano de Control Institucional
Perlado de SeguimientoDel: 01/07/2016 al 31/12/2016
Informe ",Recomendaei66 " , ,',0", '>
NúmeroTipo de Informe NúmerolnfonneSUNAT ",n:~ ';'", ,
\"" ,', ~8!i¡ -
(Sea. E~ SAGU ' Nombre de Audijoria'-n';'
Texto',', ,;",' > Esta~~,
Disponer que la División de Desarrollo de SistemasTributarios implemente los cambios necesarios en el
Sistema de Información General de Consultas
Auditoria de cumplimiento a la SUNAT - (SIGCO), a fin que: El SIGCO registre todos losProceso de seguridad del sistema de detalles de acceso por tipo de información de los
001-2015-3793informacón general de consultas de la Adm, 01-2015-SUNAT/1 COOOO Rec, n,' 3-
contribuyentes y sean visualizados a través de su En procesoIntendencia Nacional de Sistemas de opción de auditoria denominada 'Seguimiento porInformación periodo 1 de enero de 2013 usuario y Detalle de Acceso por Tipo de Información',al31 de diciembre de 2014, El SIGCO obligue a los usuarios cambiar sus claves
cada seis (6) meses, de acuerdo a lo establecido enel numeral 5,2 del Rubro VIII de la Circular n,' 001-
2012/400000,
Disponer que la Oficina de Seguridad Informática encoordinación con las Divisiones de Desarrollo de
Auditoria de cumplimiento a la SUNAT -Sistemas Tributarios, Anallticos y Administrativos,
Proceso de seguridad del sistema deevalúen ei uso de las cuentas de base de datos
informacón general de consultas de la'SiFA' indicadas en el cuadro n,' 3, con el fin de
001-2015-3793Intendencia Nacional de Sistemas de
Adnt 01-2015-SUNAT/1COOOO Rec, n,' 4, eliminar, mantener o reasignar dichas cuentas, Implementada
Información periodo 1 de enero de 2013Asimismo, a las cuentas que se mantengan para el
al31 de diciembre de 2014personal de las divisiones de desarrollo, se les
restrinja el acceso a la tabla 't2347usuarios", con elfin de prevenir que se conozcan las claves de cuentas
de acceso al SIGCO,
Auditoria de cumplimiento a la SUNAT -Disponer que se implemente un mecanismo para que
Proceso de seguridad del sistema delas tablas "t2342acc', 't2341accinr y
informacón general de consultas de la"t3021sigcoaccpan' de la base de datos 'SIFA' sean
001-2015-3793Intendencia Nacional de Sistemas de
Mm 01-2015-SUNAT/1COOOO Rec, n,' 5, replicadas, con el fin que no se pierdan los registros En proceso
Información periodo 1 de enero de 2013de auditoria del SIGCO posteriores a la última- ejecución de respaldo, en el caso de inoperatividad
MiliUAH4S~~ al 31 de diciembre de 2014,.t:t::i- controlllls,1l?4,_
del servidor que soporta dicha base de datos,
t ~~ n.?:;." 'í'~ '4íA". ~~ ,,~
~~
~ J~E E ~1Que en coordinación con las unidades orgánicas~ ./J.~ ~~,
respectivas efectúe la actualización de la Circular n,'
~;(,/A'J,lrooiJt~"''!'005-2002 'Control y Seguimiento del Acceso al•..•.
Auditarla de cumplimiento a la SUNAT -Sistema Integrado de Fiscalización para Auditores
Proceso de seguridad del sistema de(SIFA)", en relación a la denominación vigente del
informacón general de consultas de lasistema (actualmente Sistema de Información General
001.2015.3793Intendencia Nacional de Sistemas de
Adm, 01-2015-SUNA 111 COOOO Rec. n.' 6. de Consultas) y la de algunas unidades orgánicas que Implementada
Información periodo 1 de enero de 2013conforman actualmente la SUNAT según su
al31 de diciembre de 2014.Reglamento de Organización y Funciones, asi comoen la cantidad de perfiles de usuario contenidos en latabla "p2407perusu' de la base de datos "SI FA', conla finalidad que dicha Circular contemple información
vigente.
Disponer que la División de Desarrollo de Sistemas
Auditoria de cumplimiento a la SUNAT -Tributarios actualice el modelo de base de datos
Proceso de seguridad del sistema de"SIFA" correspondiente al Sistema de Información
informacón general de consultas de laGeneral de Consultas (SIGCO), registrando los diez
001-2015-3793Intendencia Nacional de Sistemas de Adn\' 01.2015-SUNAT/1 COOOO Rec, n,' r (10) campos de las cinco (5) tablas consignadas en el Implementada
Información periodo 1 de enero de 2013cuadro n.' 5 Y adicionando las tablas 'p2346motacc'
al 31 de diciembre de 2014.y 'p2453susacc", con la finalidad que dicho modelosea de utilidad en las operaciones de mantenimiento
del SIGCO,
Página 15 de 25
Superintendencia Nacional de Aduanas y de Administración TributariaOrgano de Control InstitucionalDivisión de Auditarla de Sistemas Infonmáticos
ESTADO DE IMPLEMENTACION DE LAS RECOMENDACIONES DEL INFORME DE AUDITORíA ORIENTADAS A LA MEJORA DE LA GESTIONDirectiva N" 006-2016-CG/GPROD "Implementación y seguimiento a las recomendaciones de los infonmes de auditoria y publicación de sus estados
en el Portal de Transparencia de la entidad", y Decreto Supremo N' 070-2013-PCM que modifica el Reglamento de la Ley de Transparenciay Acceso a la Infonmación Pública, aprobado por Decreto Supremo N' 072-2003-PCM
Nombre de la Entidad. Superintendencia Nacional de Aduanas y deAdministración Tributaria
Periodo de SeguimientoDel: 01107/2016 al 31/12/2016
Nombre del OrganoInformante
: Organo de Control Institucional
InfOl11le. ...... ", .., , ...... '.' Racomendaci6n.; ;. .p -":-:;-:;'0>!<f~ ....... .....
NúmeroTipo de Informe
Número Informe SUNAT iy 'n.~.:""...•....••.. ::~:i. '.':i'Texto:~:li... ....3:. . (:;.. .... ....
(SCG. ExSAGUNombre de Audijoria ...... : .... .• ,'Estado
<":1
Auditorla de cumplimiento a la SUNAT -Disponer que la División de Desarrollo de Sistemas
Tributarios actualice el manual del usuario delProceso de seguridad del sistema de Sistema de Infonmación General de Consultas
001-2015-3793infonmacón general de consultas de la Adrn 01-2015-SUNAT/1 COOOO Rec. n.' 8. (SIGCO) emitido en el año 2004 y publicado en la En procesoIntendencia Nacional de Sistemas deInfonmación periodo 1 de enero de 2013
intranet institucional, a fin de contar con el documentoque penmita al usuario utilizar el sistema (SIGCO) de
al31 de diciembre de 2014. fonma correcta.
Se registre en el LDAP la Solicitud de Acceso al
098-2015-2-3793Proceso de seguridad del sistema de Adm. 015-2015-SUNAT/1 COOOO Rec. n.' 3.
Sistema (SAS) de las cuentas que se crean para el En procesoregistro de perfiles de la INTRANET Sistema Intranet, con la finalidad que se sustente el
alta de dichas cuentas.
Se mantenga un registro de la baja de las cuentas delSistema Intranet, asl como de las Solicitudes de
Proceso de seguridad del sistema deAcceso al Sistema (SAS) que sustentan la baja y el
098-2015-2-3793 registro de perfiles de la INTRANETAdm. 015-2015-SUNA T/1COOOO Rec. n.' 4. alta de dichas cuentas, con el fin que se obtenga la En proceso
trazabilidad de las operaciones realizadas en elSistema Intranet, relacionadas a las cuentas que se
ha dado de baja
Al momento de asignar y dar de baja perfiles a unacuenta en la opción administración de menú del
098-2015-2-3793Proceso de seguridad del sistema de Adm. 015-2015-SUNA TI1COOOO Rec. n.' 5.
sistema intranet, se registre la Solicitud de Acceso al En procesoregistro de perfiles de la INTRANET Sistema (SAS) respectiva, con el fin de almacenar el
sustento de dichas operaciones para cuando seanrequeridas.
~Ñ;'~~~,Se almacenen todas las asignaciones de perfil a las
'¡\;;'(.b~~f~~l5\~i\~3Proceso de seguridad del sistema de Mm 015-2015-SUNAT/1 COOOO Rec. n.' 6.
cuentas de intranet, con el fin de obtener la En proceso,.4 ~r¿ca I¡$~'441_ \ registro de perfiles de la INTRANET infonmación de los periodos que un usuario tuvo. ."j" " ~'>:~t\ asignado un detenminado perfil
?[!1.~'O JEF) f:.~1:.:;
(e) ~~ lJ Se efectúe la baja de los perfiles 'SIRH-
.~ ANA_OPERATIVO' Y 'SIRH-ADMIN.ASISTENCIA' a
~ ~•. 098-20 J.~ Proceso de seguridad del sistema de Adm 015-2015-SUNAT/1 COOOO Rec. n.' 7.las cuentas referidas en los cuadros n.' 4 y n.' 5 Implementada
.!~1ViM~.R'J~~~~~\V.' registro de perfiles de la INTRANET respectivamente, con el fin de restringir privilegios deacuerdo a las tunciones actuales que realiza el
personal de dichas cuentas.
e coordine con las unidades orgánicas a las que
098-2015-2-3793Proceso de seguridad del sistema de Adm. 015-2015-SUNAT/1 COOOO Rec. n.' 8.
pertenece el personal comprendido en el Apéndice Implementadaregistro de perfiles de la INTRANET n.' 4, con el fin de que cada colaborador sólo tenga
una cuenta activa del sistema intranet.
Se efectúe la baja de las cuentas del sistema intranet
098-2015-2-3793Proceso de seguridad del sistema de
Adm. 015-2015-SUNAT/1 COOOO Rec. n.' 9.indicadas en el Apéndice n.' 5, asi como a los perfiles Implementada
registro de perfiles de la INTRANET vigentes que tienen asignados dichas cuentas, con elfin de evitar el uso indebido de las mismas.
Se implemente un control que no penmita la
098-2015-2-3793Proceso de seguridad del sistema de Adrn. 015-2015-SUNA TI1COOOO
Rec. n.' asignación de más de una cuenta activa del sistema En procesoregistro de perfiles de la INTRANET 10. intranet para un mismo usuario, con el fin de evitar su
posible uso indebido a través del referido sistema.
Se actualicen los 14 manuales del sistema intranet
098-2015-2-3793Proceso de seguridad del sistema de Adm. 015-2015-SUNA TI1COOOO
Rec. n.' indicados en el cuadro n.' 6, a fin de contar con En procesoregistro de perfiles de la INTRANET 11. documentos que penmitan al usuario utilizar dicho
sistema de fonma correcta.
f
Página 16 de 25
Superintendencia Nacional de Aduanas y de Administración TributariaÓrgano de Control InstitucionalDivisión de Auditoria de Sistemas Infonmáticos
ESTADO DE IMPLEMENTACiÓN DE LAS RECOMENDACIONES DEL INFORME DE AUDITORíA ORIENTADAS A LA MEJORA DE LA GESTiÓNDirectiva W 006-201&-CG/GPROD "Implementación y seguimiento a las recomendaciones de los infonmes de auditoria y publicación de sus estados
en el Portal de Transparencia de la entidad", y Decreto Supremo W 070-2013-PCM que modifica el Reglamento de la Ley de Transparenciay Acceso a la Infonmación Pública, aprobado por Decreto Supremo W 072-2003-PCM
Nombre de la Entidad: Superintendencia Nacional de Aduanas y deAdministración Tributaria
Periodo de SeguimientoDel: 01/07/2016 al 3111212016
: Órgano de Control InstitucionalNombre del ÓrganoInformante
Número(SCG. Ex SAGU
Informe
,Nombre
......, '.. Tipo dtlnfonnt
dtAudnorfa
. .•.........
Número Informe SU~T .'...•• ,.n.00'.;:"j.
'''''-KS¡...IOstado
120-2015-2-3793
Infonme de Auditoria de Cumplimiento alprocesos de contratación de solucionesinfonmáticas de la Intendencia Nacionalde Sistemas de Infonmación del 1 deenero 2013 al6 de julio de 2015,
Adm. 22-2015-SUNAT/1 COOOO Rec, n.o 2.
Que a través de la Oficina de Seguridad Infonmáticase realice el seguimiento y conclusión de los
incidentes comentados en el numeral 6,1 del presenteinfonme, a fin de afectar situaciones que podrian
afectar la integridad y disponibilidad de la infonmación,comunicando lo actuado al Órgano de Control
Institucional.
Pendiente
120-2015-2-3793
Infonme de Auditoria de Cumplimiento alprocesos de contratación de solucionesinformáticas de la Intendencia Nacionalde Sistemas de Infonmación del 1 deenero 2013 al 6 de julio de 2015,
Adm 22-2015-SUNAT/1 COOOO Rec. n.o 3.
Actualizar la Circular n.o 39-2005 del 28 de diciembrede 2005, aprobada para "Establecer los lineamientos
y procedimientos para reportar incidentes yvulnerabilidades de seguridad infonmática",
incorporando las nonmas de seguridad relacionadas,plazos de atención de los reportes tanto por parte delas áreas involucradas asi como de la propia Oficinade Seguridad Infonmática, asimismo, se remita al OCIlos reportes de incidentes, en los casos que amerite
una mayor investigación.
Implementada
Infonme de Auditoria de Cumplimiento alprocesos de contratación de soluciones
120-2Q15.2.3Z93 infonmáticas de la Intendencia Nacional.&.í.~\;\lI,~~-,":,,-rt~ d S' t d I f 'ó d I 1 dA~\.t~'(,~""",,,;:,". e IS emas e n ormaCl n e e
~~~oec.cn\ro{/!;.~r~t; ;¡nero 2013 al6 de julio de 2015,
Adin
Que la Oficina de Seguridad Infonmáüca elabore losprocedimientos necesarios para definir las alertas, asl
22-2015-SUNAT/1COOOO Rec. n.o 4. como para la verificación de la infonmación generada Implementadapor la herramienta de monitoreo y auditorla en üempo
real de bases de datos de la insütución
Evaluar la actualización de la confonmación yfunciones de la Comisión Central de Seguridad
Infonmática, a fin de adoptar medidas necesarias para22-2015-SUNATI1COOOO Rec. n.o 5. la definición y aprobación de ias tablas criticas de la Pendiente
SUNAT, para que sean monitoreadas por laherramienta de monitoreo y auditoria en tiempo real
de bases de datos (DAM).
Mm
_4,~¡- ,
.: j¡{fonme de Audltorla de Cumplimiento al<"'~;.,procesos de contratación de soluciones.', infonmáticas de la Intendencia Nacional
de Sistemas de Infonmación del 1 deenero 2013 al 6 de julio de 2015.
I:~'J .I(:~~",!, •.
120-2015-2-3793
Informe de Auditoria de Cumplimiento alprocesos de contratación de solucionesinfonmáticas de la Intendencia Nacionalde Sistemas de Infonmación del 1 deenero 2013 al 6 de julio de 2015,
Adm, 22-2015-SUNA TI1COOOO Rec. n.o 6.
Efectuar hasta su conclusión, el seguimiento de lasacciones implementadas para miügar los riesgos
comunicados en la Orientación de Oficio remitida porel Órgano de Controllnsütucional, medianteMemorándum n.o 559-2015-SUNAT/1COOOO.
Implementada
125-2015-2-3793Proceso de Contratación del Servicio deFábrica de Software - Componente dedesarrollo de sistemas
Adm, 28-2015-SUNAT/1COOOO Rec. n.o 9.
Se implemente un registro consolidado de las horashombre uülizadas, en proceso y planificadas porrequerimiento y componente de los servicios de
Fábrica de Software que contrate la SUNAT, a fin decontar con la infonmación del alcance ejecutado a una
fecha detenminada.
En proceso
125-2015-2-3793Proceso de Contratación del Servicio deFábrica de Software - Componente dedesarrollo de sistemas
Mm 28-2015-SUNAT/1 COOOO Rec. n.o 2.
Se efectúe el cálculo de los indicadores de metas yniveles de servicio del Componente de Gestión deIncidentes y su correspondiente afectación a laspenalidades desde julio de 2014, emiüendo un
infonme con copia al Órgano de Controllnsütucional,en el cual se detalle los valores por cada indicador asi
como la fonma de cálculo y las herramientasfonmalmente establecidas, utilizadas para cada uno
de ellos.
Implementada
Página 17 de 25
Superintendencia Nacional de Aduanas y de Administración TributariaÓrgano de Control InstitucionalDivisión de Auditoria de Sistemas Informáticos
ESTADO DE IMPLEMENTACiÓN DE LAS RECOMENDACIONES DEL INFORME DE AUDITORIA ORIENTADAS A LA MEJORA DE LA GESTiÓNDirectiva N" 006-2016-CG/GPROD "Implementación y seguimiento a ias recomendaciones de los informes de auditorla y publicación de sus estados
en el Portal de Transparencia de la entidad", y Decreto Supremo N' 070-2013-PCM que modifica el Reglamento de la Ley de Transparenciay Acceso a la Información Pública, aprobado por Decreto Supremo N' 072-2003-PCM
Nombre de la Entidad
Nombre del ÓrganoInformante
: Superintendencia Nacional de Aduanas y deAdministración Tributaria
: Órgano de Controllnstilucional
Periodo de SeguimientoDel: 01/07/2016 al 31/12/2016
Número(SCG • Ex SAGU
Informe
NOmbre
TipO de InformedeAuditoria Número Informe SUNAT
n••
125-2015-2-3793Proceso de Contratación dei Servicio deFábrica de Software - Componente dedesarrollo de sistemas
28-2015-SUNAT/l COOOO Rec. n.' 1.
Que se eiabore un procedimiento para la contrataciónde servicios de tercerización de software poractividades independientes (análisis, diseño,
desarrollo, mantenimiento o gestión de incidentes) oagrupadas, como es el caso de Fábricas de Software,
en el cual minimamente deberá considerarse iosiguiente: El desarrollo de un estudio de factibilidad
con el correspondiente costo beneficio, Laidentificación de las áreas usuarias, El
dimensionamiento del servicio considerandoproyecciones futuras de las áreas usuarias. Linea
base de requerimientos funcionales y no funcionalesa ser atendidos por cada necesidad de las áreas
usuaria identificadas.
En proceso
078-2016-2-3793 .Adm 05-2016-SUNA T/1COOOO
Disponga que se elabore y se haga de conocimientode todo el personal de la INSI, un procedimiento que
establezca que los protocolos de verificación ypruebas contengan todos los términos de referencia y
caracteristicas técnicas minimas y adicionalesrequeridas en las bases de los procesos de
contratación de bienes y servicios informáticos, asiRec. n.' 1. como de lo ofertado por el contratista en su propuesta Implementada
técnica; y que los documentos resultantes de laaplicación de dichos protocolos (actas, entre otros),detallen la actividades llevadas a cabo para verificarsu cumplimiento por parte del contratista; con lafinalidad de asegurar que se ha validado el
cumplimiento de todas las caracteristicas técnicasrequeridas y ofertadas.
078-2016-2-3793Auditoria de Cumplimiento a la SUNAT -Alquiler de equipos de Computo
Adm
Disponga que se implemente un procedimiento paracontar con un inventario actualizado de las
computadoras alquiladas, el cual sea de conocimientode todas las áreas involucradas (entre ellas INSI y lasOSAS), que contemple las actividades de asignacióny reasignación de equipos a nivel nacional asi comoel reemplazo de equipos, el cual deberá contar como
05-2016-SUNAT/1COOOO Rec. n.' 2. mlnimo con los siguientes datos: Usuario del equipo(registro, nombres y apellidos), Número de serie,Sede (ubicación fisica), Contratista, Proceso de
selección y Fecha de vencimiento del contrato; con lafinalidad de tener conocimiento de la situación real de
los equipos de cómputo alquiladas, y que dichainformación sirva para definir la necesidad real para
futuras contrataciones.
Página 18 de 25
En proceso
Superintendencia Nacionai de Aduanas y de Administración TributariaÓrgano de Control InstitucionalDivisión de Auditoria de Sistemas informáticos
ESTADO DE IMPLEMENTACiÓN DE LAS RECOMENDACIONES DEL INFORME DE AUDITORíA ORIENTADAS A LA MEJORA DE LA GESTiÓNDirectiva W 006-2016-CG/GPROD "Implementación y seguimiento a las recomendaciones de los informes de auditoria y publicación de sus estados
en el Portal de Transparencia de la entidad", y Decreto Supremo W 07Q-2013-PCM que modifica el Reglamento de la Ley de Transparenciay Acceso a la Información Pública, aprobado por Decreto Supremo W 072-2003-PCM
Nombre de la Entidad
Nombre del ÓrganoInformante
: Superintendencia Nacional de Aduanas y deAdministración Tributaria
: Órgano de Controi Institucional
Periodo de SeguimientoDel: 01107/2016 ai 31/12/2016
Número(SCG • Ex SAGU
Infoone
Nombré
078-2016-2-3793
078-2016-2-3793
078-2016-2-3793
Auditoria de Cumplimiento a la SUNAT -Alquiler de equipos de Computo
Auditoria de Cumplimiento a la SUNAT -Alquiler de equipos de Computo
Auditoria de Cumplimiento a la SUNAT -Alquiler de equipos de Computo
Adm.
Adm.
Adl11
05-201 6-SUNAT /1COOOO
05-2016-SUNAT/1 COOOO
05-2016-SUNAT/1 COOOO
Rec. n.o 3.
Rec. n.o 4.
Rec. n.o 5.
Disponga que la Gerencia de Operaciones y Soportea Usuarios implemente un procedimiento para lageneración de imágenes utilizadas para clonar
equipos de cómputo (computadoras personales deescritorio y portátiles), en el cual se detalle entreotros, los siguientes aspectos: Asignación de
responsabilidades, Configuración mlnima requerida(entre ellos: Librerlas, PATH, ODBC l, Detalle deactividades a realizar, Plan de pruebas, participaciónde las áreas competentes de INSI y áreas usuarias,asi como Documentación de las pruebas realizadas;
con la finalidad de minimizar los errores en lageneración de imágenes.
Disponga la elaboración de un procedimiento a seguirpara toda migración de aplicativos el cual contemple,como minimo, el establecimiento de cronogramas,objetivos, alcance, responsabilidad de las áreas
involucradas, definición de los recursos necesarios,entregables; con la finalidad de asegurar su
culminación en los plazos establecidos para losentregables definidos. Dicho procedimiento debe serde conocimiento de las divisiones dependientes de la
Gerencia de Desarrollo de Sistemas.
Disponga la modificación de la Norma para la Gestióny Ejecución de Contratos, a fin de precisar que laopinión sustentada del área usuaria para otorgar odenegar una ampliación de plazo solicitada por elcontratista en los procesos relacionados a bienes oservicios informáticos contemple un informe técnicodetallado de los motivos por los cuales se deberiaotorgar o denegar dicha ampliación, con la finalidadde evitar que se otorguen ampliaciones injustificadas
favoreciendo al contratista, debiendo dichosdocumentos incorporarse de manera obligatoria al
expediente de contratación.
Implementada
Implementada
Implementada
115-2016-2-3793Adquisición e Implementación de laSolución de Business Intelligence paraUsuarios Analíticos.
Mm 013-2016-SUNA TI1 COOO
Página 19 de 25
Disponer el inicio de las acciones administrativas parael deslinde de responsabilidades de los funcionarios y
servidores de la Superintendencia Nacional deRec. n.o 1. Aduanas y de Administración Tributaria comprendidos
en las observaciones n.o 1 y n.o 2, teniendo enconsideración que su inconducta funcional no seencuentra a la potestad sancionadora de la
Contraloria General de la República.
En proceso
Superintendencia Nacional de Aduanas y de Administración TributariaÓrgano de Control InstitucionalDivisión de Auditoria de Sistemas Informáticos
ESTADO DE IMPLEMENTACiÓN DE LAS RECOMENDACIONES DEL INFORME DE AUDITORíA ORIENTADAS A LA MEJORA DE LA GESTiÓNDirectiva N" 006-2016-CG/GPROD 'Implementación y seguimiento a las recomendaciones de los informes de auditoria y publicación de sus estados
en el Portal de Transparencia de la entidad', y Decreto Supremo N' 070-2013-PCM que modifica el Reglamento de la Ley de Transparenciay Acceso a la Información Pública, aprobado por Decreto Supremo N" 072-2003-PCM
Nombre de la Entidad
Nombre del ÓrganoInformante
: Superintendencia Nacional de Aduanas y deAdministración Tributaria
: Órgano de Control Institucional
Periodo de SeguimientoDel: 01/07/2016 al 31/12/2016
Número(SCG. Ex SAGU
Informe
Nombre C
Tipo de InfQrmede Auditorta
'C
Número Informe SUNAT
Reeomehdacl6n "'. .,'c":C:Jexto
".', ".<J¡:,.....' ..
115-2016-2-3793Adquisición e Implementación de laSolución de Business Intelligence paraUsuarios Analiticos,
Adm, 013-2016-SUNA T/1COOO Rec, n.o 2,
Disponga la definición del tiempo de respuestamáXimo para la atención de una averla o defecto desoftware y el cálculo del UPTIME mensual del Soporte
Técnico al Software de Análisis de Informacióndefinido en la Especificaciones Técnicas de la LPN'28-2014-SUNAT/8B1200, desde setiembre de
2015 hasta el término del contrato, y sucorrespondiente afectación a las penalidades
emitiendo un informe con copia a este OCI en el cualse detalle los valores de UPTIME mensual.
En proceso
115-2016-2-3793Adquisición e Implementación de laSolución de Business Intelligence paraUsuarios Analiticos,
Adm, 013-2016-SUNA T/1COOO
Disponer, a quien corresponda, la elaboración de unprocedimiento aplicable cada vez que se incluyan
Planes de Capacitación como parte de las soluciones,herramientas informáticas y/o software a adquirir enlos procesos de selección, se especifique, entre otros,los siguientes aspectos: Sustento de la inclusión decursosftemas de niveles técnicos que involucre al
personal de las dependencias de la INSI relacionadosa la Administración, configuración, seguridad y
Operación de las soluciones, herramienta y/o softwarey los temas a tratar. Especificar cantidad de horas
minimas por cursoftema de nivelestécnicosDependencias de la INSI a ser capacitadas
Rec, n,' 3. (indicando número de personal por dependencia).Sustento de la inclusión de cursos a nivel de usuariorelacionados al uso de las facilidades y opciones yfacilidades de la solución, herramienta y/o software.Especificar cantidad de horas minimas por cursoftema
a nivel de usuario. Dependencias usuarias a sercapacitadas (indicando número de personal pordependencia). Sustento de la conveniencia de
obtener Certificaciones relacionadas para el personalde la Institución. Perfil profesional, certificaciones yexperiencia requerido para el dictado de los cursospor parte de los capacitado res. Materiales didácticosrequeridos, entre otros aspectos que se consideren
necesarios.
En proceso
115-2016-2-3793
115-2016-2-3793
Adquisición e Implementación de laSolución de Business Intelligence paraUsuarios Analiticos.
Adquisición e Implementación de laSolución de Business Intelligence paraUsuarios Analiticos.
Adm
Adm
Evaluar la conveniencia de incluir en el Plan deCapacitación de Usuarios Bllos cursos relacionadosal tema 'BI Móvil' establecido en las bases integradas
013-2016-SUNAT/1COOO Rec. n.o 4. y que como resultado de la referida evaluación, se Implementadaelabore un informe resultante con las acciones aadoptar referidos a la inclusión o no inclusión del
referido tema.
Se instruya a los colaboradores de la IntendenciaNacional de Sistemas de Información (INSI)responsables de la revisión y otorgamiento de
conformidad de las prestaciones contratadas comoárea usuaria, sobre las normas vigentes para la
013-2016-SUNAT/1COOO Rec. n.o 5. gestión y ejecución de contratos en la SUNAT, asl Implementadacomo del cumplimiento de plazos establecidos en lascláusulas contractuales y bases administrativas de losprocesos de contratación de los que son parte, a fin
de no afectar los plazos de las prestaciones acontratar.
Página 20 de 25
Superintendencia Nacional de Aduanas y de Administración TributariaÓrgano de Control InstitucionalDivisión de Auditoria de Sistemas Infonmáticos
ESTADO DE IMPLEMENTACiÓN DE LAS RECOMENDACIONES DEL INFORME DE AUDITORíA ORIENTADAS A LA MEJORA DE LA GESTiÓNDirectiva N' 006-2016-CG/GPROD "Implementación y seguimiento a las recomendaciones de los infonmes de auditoria y publicación de sus estados
en el Portal de Transparencia de la entidad", y Decreto Supremo N' 07Q-2013-PCM que modifica ei Reglamento de la Ley de Transparenciay Acceso a la Infonmación Pública, aprobado por Decreto Supremo N' 072-2003-PCM
Nombre de la Entidad
Nombre del ÓrganoInformante
. Superintendencia Nacional de Aduanas y deAdministración Tributaria
. Órgano de Control Institucional
Periodo de SeguimientoDel: 01/07/2016 al 31/1212016
Informe . .'. ........ .... 0~ecome!\<taci6n • ',". . ••. '.¡. . C10;
NúmeroTipo de Informe Número Informe'SUNAl " '.
.'~~l"""....... .:... o',Ú ':.'¿'j:)
(SCG. Ex SAGUNombre de Auditorla n,.
"j:)... y .'J;•.
Recordar a los gerentes y jefes de División de la INSI
Adquisición e Implementación de lael monitoreo que deben realizar sobre el
115-2016-2-3793 Solución de Business Intelligence para Adm 013-2016-SUNAT/1 COOO Rec. n.' 6.cumplimiento y aplicación de la nonmativa interna Implementada
Usuarios Analiticos.aplicable a los procesos que realizan, incidiendo en
los procesos de revisión de las prestacionescontratadas y otorgamiento de confonmidades.
A través de la Gerencia de Operaciones y Soporte aUsuarios (en cumplimiento del Procedimiento para la
elaboración, remisión y gestión de los Pases aProducción de equipos y/o servicios de InfraestructuraTecnológica apoyados en las funcionalidades delSistema Gestor de Servicios INSI - SIGESI), se
disponga lo siguiente: a)EI registro en el SIGESI delos Pases a Producción de los 3 servidores virtuales
BIPMIRSVC01, CI-0050056975360 y SV.POLICYSERVER de la Solución de Business
Adquisición e Implementación de laIntelligence. b) El registro de la dirección IP y DNS
115-2016-2-3793 Solución de Business Intelligence para Adm 013-2016-SUNA T/1COOO Rec. n.' 7.Name en los Pases a Producción del SIGESI para los En proceso
Usuarios Analiticos.9 servidores virtuales BIQMIRSV01, BIDMIRSV01,
BIQMIRSV03, BIQMIRSV04, BIDMIRSV02,BIQMIRSV02, BIPMIRSV02, BIPMIRSV09 y
BIPMIRSV01 de la Solución de Business Intelligence.
1J~i;; c) El registro actualizado de las direcciones IP yservidores virtuales configurados consignados en los
~\J.~~t~eo".'r...1l!]¿.J'¡;;~~::~.~~\
Pases a Producción del SIGESI de los 3 servidores~ o •••.,,~. fisicos BIPMIRSF01, BIPMIRSF03 y BIPMIRSF02 de
11.1 JE) ~~Jla Solución de Business Intelligence, evitando el uso
\~ (a) ""1de los Pases a Producción fisicos a fin de contar con
fü el SIGESI como única fuente de todo pase a
~ "'; producción para la referida Solución de BI.
''V'¡>c<" ~S'.
~~l<>' "
Disponer que la Intendencia Nacional deAdministración, que a través de unidades orgánicas a
su cargo, efectúen las acciones necesarias quegaranticen que los bienes entregados en mérito a la
153-2016-2-3793Provisión e instalación de acumuladores
ejecución contractual de la LP n.' 39-2015-
de energia equipos UPS para la SUNAT!.••drn 28-2016-SUNAT/1COOOO Rec. n.'1. SUNAT/8B120Q-1 "Provisión e instalación de Pendiente
acumuladores de energia - equipos UPS",correspondan a los equipos ofertados tanto en
cantidad como en calidad, debiendo pronunciarsesobre dicho cumplimiento, e infonmar a las unidades
competentes.
Disponer que la Intendencia Nacional de RecursosHumanos evalúe el accionar de los funcionarios
comprendidos en el otorgamiento de la confonmidad
Provisión e instalación de acumuladoresque fuera declara nulo de oficio mediante Resolución
153-2016-2-3793 de energia equipos UPS para la SUNATMm 28-2016-SUNA TI1COOOO Rec. n.' 2.
de Gerencia n.' 12-2016/SUNAT/8B5000 de 7 de Pendientediciembre de 2016 emitida por la Gerencia deInfraestructura y Proyectos de Inversión de la
Intendencia Nacional de Administración, en aplicacióndel numeral 11.3 del articulo 11' de la Ley n.' 27444-
Ley del Procedimiento Administrativo General.
Página 21 de 25
Superintendencia Nacional de Aduanas y de Administraci6n TributariaOrgano de Control InstitucionalDivisi6n de Auditoria de Sistemas Infonnáticos
ESTADO DE IMPLEMENTACiÓN DE LAS RECOMENDACIONES DEL INFORME DE AUDITORíA ORIENTADAS A LA MEJORA DE LA GESTiÓNDirectiva W 006-2016-CG/GPROD "Implementaci6n y seguimiento a las recomendaciones de los infonnes de auditoria y publicaci6n de sus estados
en el Portal de Transparencia de la entidad", y Decreto Supremo N' 070-2013-PCM que modifica el Reglamento de la ley de Transparenciay Acceso a la Infonnaci6n Pública, aprobado por Decreto Supremo N' 072-2003-PCM
Nombre de la Entidad
Nombre del ÓrganoInformante
Número .(SCG. Ex SAGU
153-2016-2-3793
. Superintendencia Nacional de Aduanas y deAdministraci6n Tributaria
: Organo de Control Institucional
TipO de Infóm\Q~Audito"
Provisi6n e instalaci6n de acumuladoresde energia equipos UPS para la SUNAT
28-2016-SUNAT/1 COOOO Rec. n.' 3.
Periodo de SeguimientoDel: 01/07/2016 al 31/12/2016
Disponer el inicio de las acciones legales contra laempresa VAlTOM INGENIEROS SAC por las
irregularidades identificadas durante la ejecuci6n delcontrato derivado de la lP n.' 39-2015-
SUNA T/8B120Q-1 "Provisi6n e instalaci6n deacumuladores de energia - equipos UPS, en mérito a
los incumplimientos contractuales detectados;debiendo poner de conocimiento al OrganismoSupervisor de las Contrataciones del Estado laspresuntas infracciones incurridas por el contratista
VAlTOM INGENIEROS S.A.C dentro del marco de laley de Contrataciones del Estado.
Pendiente
153-2016-2-3793
153-2016-2-3793
153-2016-2-3793
153-2016-2-3793
Provisi6n e instalaci6n de acumuladoresde energia equipos UPS para la SUNAT
Provisi6n e instalaci6n de acumuladoresde energia equipos UPS para la SUNAT
Provisi6n e instalaci6n de acumuladoresde energia equipos UPS para la SUNAT
Provisi6n e instalaci6n de acumuladoresde ener9ia equipos UPS para la SUNAT
Adm.'
Adm.
Adm
28-2016-SUNAT/1 COOOO
28-2016-SUNA T/1 COOOO
28-2016-SUNAT/1 COOOO
28-2016-SUNA T/1COOOO
Página 22 de 25
Rec. n.' 4.
Rec. n.' 5.
Rec. n.' 6.
Rec. n.' 7.
Disponga a la Gerencia de Infraestructura y Proyectosde Inversi6n adopte las acciones necesarias conrespecto a los sistemas de aire acondicionado quegaranticen el buen funcionamiento de los equiposadquiridos en el marco de la lP n.' 39-2015-
SUNAT/8B1200 ubicados en el Complejo FronterizoSanta Rosa - Tacna (CFSR).
Disponga a la Gerencia de Infraestructura y Proyectosde Inversi6n adopte las acciones necesarias conrespecto a los sistemas de aire acondicionado quegaranticen el buen funcionamiento de los equiposadquiridos en el marco de la lP n.' 39-2015-
SUNA T/8B1200 ubicados en el Complejo de ControlAduanero Tomasiri.
Disponga la inclusi6n, modificaci6n y/o actualizaci6nde la nonnativa actual, con respecto al sustento delrequerimiento de la necesidad el cual deberá incluir
en el caso de reemplazo de equiposelectromecánicos, el sustento documentario de
reemplazo de equipos por cumplimiento de la vidaútil, siendo que en los casos de reemplazo de equipospor mayor potencia, incremento de carga o modernatecnologia deberá sustentarse en un lnfonne Técnicoque refleje el análisis realizado por el área usuaria.
Asimismo se meritúe la contrataci6n de unespecialista que compruebe que el requerimiento
fonnulado por el área usuaria para la contrataci6n dela lP n.' 39-2015-SUNAT/8B120Q-1 "Provisi6n einstalaci6n de acumuladores de energia - equiposUPS, se ajustó a las necesidades institucionales
descartando un posible sobredimensionamiento de lanecesidad.
Disponga a través de la Gerencia Administrativa y susunidades orgánicas dependientes la evaluaci6n delos requerimientos de bienes o servicios a efectos degarantizar la adecuada programaci6n y oportunasatisfacci6n de las necesidades fonnuladas por las
Áreas Usuarias de la SUNAT.
Pendiente
Pendiente
Pendiente
Pendiente
Superintendencia Nacional de Aduanas y de Administración Tributaria6rgano de Control InstitucionalDivisión de Auditoria de Sistemas Infonmáticos
ESTADO DE IMPLEMENTACiÓN DE LAS RECOMENDACIONES DEL INFORME DE AUDITORíA ORIENTADAS A LA MEJORA DE LA GESTtÓNDirectiva W 006-2016-CG/GPROD "Implementación y seguimiento a las recomendaciones de los infonmes de auditoría y publicación de sus estados
en el Portal de Transparencia de la entidad", y Decreto Supremo N' 070-2013-PCM que modifica el Reglamento de la Ley de Transparenciay Acceso a la Información Pública, aprobado por Decreto Supremo N' 072-2003-PCM
Nombre de la Entidad
Nombre del ÓrganoInformante
: Superintendencia Nacional de Aduanas y deAdministración Tributaria
: 6rgano de Control Institucional
Periodo de SeguimientoDel: 01/07/2016 al 31/12/2016
Infonme : . ,.", ....,,""", . X>' ". RllliCllllendaill6n .'S; ." . ,..
Número'W Tipo de Informe
Número Infonme SUNAT n.' ,,.,, .. Z,." ..•. "l¡~ ,.",~,,,'Nombre 4e Auditorla' Estado
(SCG. Ex SAGO '.'
. ",.;, ........ .;
Disponer que el Comité de Gestión de la Seguridadde la Infonmación, en aras de cumplir con la
implementación del Sistema de Gestión de Seguridadde Infonmación - SGSI dentro del plazo que dispone la
131-2016-2-3793Servicio de Consultoria sobre temas Adm 2Q-2016-SUNA T/1COOOO Rec. n.'1.
Resolución Ministerial n.' 004-2016-PCM, ejerza las Pendienteinfonmáticos funciones de supervisión encargadas mediante la
Resolución de Superintendencia n.' 173-2016-SUNAT y cautele el cumplimiento de la presentacióndel cronograma asi como de la implementación del
SGSI.
Disponer la designación de un funcionario comoOficial de Seguridad de la Infonmación de la SUNAT,
Servicio de Consultoria sobre temasdistinto al Jefe de la Oficina de Seguridad Infonmática
131-2016-2-3793 Adm 20-2016-SUNA TI1COOOO Rec. n.' 2. de la Intendencia Nacional de Sistemas de Pendienteinfonmáticos Infonmación, tomando en consideración la
segregación de funciones establecidas para amboscasos.
Evaluar la implementación de un procedimiento parael seguimiento y monitoreo centralizado de las
Servicio de Consultoria sobre temasrecomendaciones de infonmes de consultorias
131-2016-2-3793 infonmáticosAdm. 20-2016-SUNAT/1COOOO Rec. n.' 3. infonmáticas resultantes de procesos de selección Pendiente
-- requeridos por la INSI, a fin de cautelar que existan
.' \¡'tJ,\lUAN4S ~ .. recomendaciones que de no implementarse, puedan,,(.~~controlll¡s'-/t ,:-. afectar la seguridad de la infonmación.
," .;;'t"o'bt¿ b,:.~''v'\hfl ~ ~'~'\" ' ••.- <,.; ..\2,:~
1.¥1, J(~ JI\l ~ jj Establecer las medidas de control que corresponda,
'~I ,~~Y para que las unidades orgánicas a su cargo, que
'~4%¡.';f()R'Jl1\"i)~~. Servicio de Consultoria sobre temasrealicen gestión técnica de los contratos adjudicados
131-201i2'37lf.l infonmáticosr-\dm 2o-2016-SUNAT/1 COOOO Rec. n.' 4. en el ámbito de su competencia, cumplan los plazos Pendiente
establecidos en la nonmativa de contrataciones,respecto al otorgamiento de las confonmidades a los
entregables presentados por los contratistas.
Disponer que las unidades orgánicas a su cargo, queparticipan de la gestión técnica de los contratos
adjudicados en el ámbito de su competencia, precisen
131-2016-2-3793Servicio de Consultoria sobre temas ¡',dm 2Q-2016-SUNAT/1 COOOO Rec. n.' 5.
y evidencien en los infonmes técnicos que emiten Pendienteinfonmáticos para la confonmidad del área usuaria, la recepción y
verificación de todos los entregables contratados,según lo establecido en las bases administrativas y
contratos de cada proceso de contratación.
Exhortar al personal que participa en la elaboraciónde los ténminos de referencial especificacionestécnicas, la obligación de efectuar una adecuada
evaluación de calidad, toda vez que estos
131-2016-2-3793Servicio de Consultoria sobre temas
;\dm 2o-2016-SUNAT/1 COOOO Rec. n.' 6.documentos al ser incluidas en las bases guiará el Pendiente
informáticos comportamiento de todos los intervinientes (directos oindirectos) en el procedimiento de contratación, y suelaboración adquiere especial relevancia; pues en laclaridad, precisión y objetividad de sus disposiciones,recaerá buena parte del éxito de la contratación.
Página 23 de 25
Superintendencia Nacional de Aduanas y de Administración TributariaÓrgano de Control InstitucionalDivisión de Auditoria de Sistemas Infonmáticos
ESTADO DE IMPLEMENTACiÓN DE LAS RECOMENDACIONES DEL INFORME DE AUDITORíA ORIENTADAS A LA MEJORA DE LA GESTiÓNDirectiva W 006-2016-CG/GPROD "Implementación y seguimiento a las recomendaciones de los infonmes de auditoria y publicación de sus estados
en el Portal de Transparencia de la entidad", y Decreto Supremo W 07D-2013-PCM que modifica el Reglamento de la Ley de Transparenciay Acceso a la Infonmación Pública, aprobado por Decreto Supremo W 072-2003-PCM
Nombre de la Entidad
Nombre del ÓrganoInfonmante
Número(SCG.Ex $AGU
: Superintendencia Nacional de Aduanas y deAdministración Tributaria
: Órgano de Control Institucional
~' f ~fTIpo de Infonne n¿mero 1IIt'..°orme.' SUMATcltAuIlitoli1i . .
Periodo de SeguimientoDel: 01/07/2016 al 31/12/2016
131-2016-2-3793
131-2016-2-3793
131-2016-2-3793
131-2016-2-3793
Servicio de Consultoria sobre temasinfonmáticos
Servicio de Consultoria sobre temasinfonmáticos
Servicio de Consultoria sobre temasintonmáticos
Servicio de Consultoria sobre temasinfonmáticos
Adm
Mm
Adm
Adm.
20-2016-SUNA TI1 COOOO
20-2016-SUNAT/l COOOO
20-2016-SUNAT/l COOOO
2D-2016-SUNA TI1COOOO
Págína 24 de 25
Exhortar a los colaboradores que participan en elproceso de verificación y emisión de confonmidad delos entregables y/o prestaciones de los procesos deselección, tengan en cuenta la remisión de las actas
Rec. n.' 7. de observaciones y de subsanación de las mismas,se9ún los plazos establecidos en la nonmativa
correspondiente y la revisión del cumplimiento de losaspectos fonmales de presentación de los entregables
según las bases administrativas.
A través de la Oficina de Seguridad Infonmática,realizar la evaluación técnica de la infraestructura
tecnológica proporcionada por terceros y sus posiblesriesgos, vinculados a la escalabilidad de las
transacciones de SUNAT; asi como del crecimientode las bases de datos de la aplicación INMUNO
SUITE ; y de ser el caso, delegar a quien correspondala implementación de medidas que penmitan gestionarel riesgo de afectación a la continuidad operativa
Rec. n" 8. vinculadas a las limitaciones de uso de memoria ycapacidad de almacenamiento de su motor de basesde datos. Asimismo, realizar la evaluación del riesgode continuidad operativa vinculado a la competenciade recursos entre los servidores de bases de datos,web y el sistema operativo del "ServidorSGSI" y encoordinación con la dependencia respectiva de laINSI, implemente el pase a producción de hardwaredel equipo "ServidorSGSI" incluyendo la política de
generación de respaldos.
Disponer que la Jefatura de la División de EjecuciónContractual comunique a su personal la oblígación de
evaluar previamente la partida electrónica de lasempresas contratistas asi como sus escrituras
públicas, cuando dichas empresas hayan optado pormodalidades de reorganización societaria; y contrastecon la relación de proveedores sancionados por elTribunal de Contrataciones del Estado con sanciónvigente, para identificar que sociedades absorbentes
de otra(s) sancionada(s) participen de lascontrataciones con la entidad.
Disponer que la Jefatura de la División de EjecuciónContractual recuerde al personal encargado de lagestión de los contratos suscritos con la Entidad, al
estricto cumplimiento de la nonmativa internadebiendo establecer medidas de control quegaranticen el efectivo cumplimiento de las
prestaciones contratadas, justificando para casossimilares al descrito, el costo beneficio de mantener
vigente el vinculo contractual.
Pendiente
Pendiente
Pendiente
Pendiente
Superintendencia Nacional de Aduanas y de Administración TributariaÓrgano de Control InstitucionalDivisión de Auditoria de Sistemas Infonmáticos
ESTADO DE IMPLEMENTACiÓN DE LAS RECOMENDACIONES DEL INFORME DE AUDITORíA ORIENTADAS A LA MEJORA DE LA GESTIÓNDirectiva N° 006-2016-CG/GPROD "Implementación y seguimiento a las recomendaciones de los infonmes de auditoria y publicación de sus estados
en el Portal de Transparencia de la entidad", y Decreto Supremo N° 07Q-2013-PCM que modifica el Reglamento de la Ley de Transparenciay Acceso a la Infonmación Pública, aprobado por Decreto Supremo N° 072-2003-PCM
Nombre de la Entidad
Nombre del ÓrganoIn!onmante
: Superintendencia Nacional de Aduanas y deAdministración Tributaria
: Órgano de Controllnstilucional
Periodo de SeguimientoDel: 01/07/2016 al 31/12/2016
Número(SCG. Ex SAGU
131-2016-2-3793Servicio de Consultoria sobre temasinfonmáticos
Adm. 20-201 I>-SUNATI1 cooao
Página 25 de 25
Rec. n.O11.
A través de la Gerencia Administrativa, exhortar alpersonal que participa en la elaboración de las bases,la obligación de efectuar un adecuado control de
calidad toda vez que las bases administrativas son eldocumento que guiará el comportamiento de todos
los in!ervinientes (directos o indirectos) en elprocedimiento de contratación, y su elaboraciónadquiere especial relevancia; pues en la claridad,
precisión y objetividad de sus disposiciones, recaerábuena parte del éxito de la contratación.
Pendiente
top related