c. :~>materia delpresente Examen. Enproceso Implementada Implementada Enproceso Implementada....

Superintendencia Nacional de Aduanas y de Administración TributariaÓrgano de Control InstitucionalDivisión de Auditoria de Sistemas Infonmáticos

ESTADO DE IMPLEMENTACiÓN DE LAS RECOMENDACIONES DEL INFORME DE AUDITORíA ORIENTADAS A LA MEJORA DE LA GESTIÓNDirectiva N' 006-2016-CG/GPROD "Implementación y seguimiento a las recomendaciones de los infonmes de auditoria y publicación de sus estados

en el Portal de Transparencia de la entidad", y Decreto Supremo N' 070-2013-PCM que modifica el Reglamento de la Ley de Transparenciay Acceso a la Información Pública, aprobado por Decreto Supremo N' 072-2003-PCM

Nombre de la Entidad

Nombre del ÓrganoInfonmante

: Superintendencia Nacional de Aduanas y deAdministración Tributaria

: Órgano de Control Institucional

Periodo de SeguimientoDel: 01107/2016 al 31/1212016

Número(SCG • Ex SAGU

Informe

NombreTipo de Informe Número Informe SUIíAJdeAud~oria

....

n,o

RecomendáCi6n:''.. --;;.c .

Texto .'.:....~>

.'

Estado

027-2005-2-3793

023-2008-2-3793

003-2009.2.3793

015-2011-2-3793

019.2011-2-3793

Exámen Especial al Módulo Intonmáticode Manifiesto de Carga de laIntendencia de Aduana Maritima delCallao.

Exámen Especial al Módulo Infonmáticode Valores en la Intendencia RegionalLima

Exámen Especial a la Gerencia deProducción de la INSI en torno a losprocesos de seguridad para lageneración y custodia de respaldosinfonmáticos institucionales.

Uso irregular del Sistema InfonmaticoSIGESA para alterar datos vinculadoscon canales de control de 17 DAMs yactualizar fecha y hora de autorizaciónde levante de 280,389 DAMs en elSistema Infonmático SIGAD

Exámen Especial en torno a la alteraciónde los canales de Control en las DAMsde Importación Definitiva del año 2010informados por INSI

Adm.

f\dm

Adm.

Penal

Adm.

21-2005-1 BOOOO

19-2008-SUNAT/1 BOOOO


02-2011-1BOOOO

13-201 1-SUNA TI1 BOOOO

Página 1 de 25

Rec. n.'12.

Rec. n.' 1.

Rec. n.' 8.

Rec. n.'1.

Rec. n.' 2.

Regularizar mediante documentación oficial lasobligaciones y responsabilidades de las empresasVAN:IBM DEL PERU SAC, PERU SECURE e NETSAC (ex - Limatel) y TCI SA Transporte Confidencialde Infonmacion, que actualmente vienen trabajandocon la SUNAT, a fin de unilonmizar las condiciones enlas que se viene brindando el Servicio de intercambioelectronico de datos (EDI) considerando que a travésde dicho servicio se envia el Manifiesto de CargaMaritimo que constituye una infonmación de mucha

importancia y relevanciaa para SUNAT.

A la Intendencia Nacional de Sistemas deInfonmación, en coordinación con la IntendenciaNacional de Estudios Tributarios y Planeamiento,agregar las Bases de Datos: RSIRA T, SIRAT y

RFISCA en el entregable "Eliminar la vulnerabilidadde manipular la infonmación de la BD RECAUDA

utilizando conexión ODBC" del proyecto "Gestión dela Seguridad Infonmática"

A través de la Gerencia de Producción de laIntendencia Nacional de Sistemas de Infonmación, secoordine con la Divisiones de Operaciones y soporteTécnico a fin que se regularicen la elaboración de losdocumentos "Pase a producción - hardware" de todoslos servidores de producción que no cuenten con elloen el corto plazo a fin que es pueda asegurar que las

labores de respaldo y restauración se realicenadecuadamente

Que la Superintendencia Nacional de AdministraciónTributaria se sirva disponer que el Procurador Público

Ad Hoc de la Superintendencia Nacional deAdministración Tributaria, inicie la acción legal que

corresponda, contra las personas comprendidas en elCASO UNO, en el CASO DOS Yen el CASO TRESdesarrollados en el presente infonme. Para tal efecto,

debe tenerse en consideración que la FiscaliaEspecializada en Delitos Aduaneros y contra laPropiedad Intelectual del Callao, ha prevenido

competencia en el conocimiento de los hechos ilicitosanterionmente expuestos.

Que a través de la Gerencia de Servicios a Usuariosse proceda a modificar la Circular N 06-2004 Atenciónde Solicitudes de Servicios infonmáticos, de tal modo

que incluya la verificación o monitoreo de losrequerimientos de Ejecución por parte del jefe de

Departamento de Soporte Infonmático o Supervisor dela Intendencia de Aduana, para evitar los hechos

materia del presente Examen.

En proceso

Implementada

Implementada

En proceso

Implementada

Superintendencia Nacional de Aduanas y de Administración Tributaria6rgano de Control InstitucionalDivisión de Auditoria de Sistemas Infonmáticos

ESTADO DE IMPLEMENTACiÓN DE LAS RECOMENDACIONES DEL INFORME DE AUDITORíA ORIENTADAS A LA MEJORA DE LA GESTiÓNDirectiva W 006-2016-CG/GPROD "Implementación y seguimiento a las recomendaciones de los infonmes de auditarla y publicación de sus estados

en el Portal de Transparencia de la entidad", y Decreto Supremo W 070-2013-PCM que modifica el Reglamento de la Ley de Transparenciay Acceso a la Infonmación Pública, aprobado por Decreto Supremo W 072-2003-PCM


Nombre del ÓrganoInformante


: 6rgano de Control Institucional

Periodo de SeguimientoDel: 01107/2016 al 31/12/2016

Informe, ... Reeomendaei6n ""..'

NúmeroTipo de Informe

Número Informe SUNAT ". ~cc

Nombre de Audijoria n," Texto Estado(SCG. Ex SAGU " ..:,

Precisar en el numeral 8) del Rubro VI) delIFGRAPE,02, que la responsabilidad d ela INTA

Exámen Especial referido al Módulo comprende también establecer el canal de control

Informático de Teledespacho SIGAD, detenminado por criterios nonmativos, debiendo para

018-2011-2-3793 para el proceso de despacho de Mm 14-2011-SUNA TI1 BOOOO Rec, n.' 2, tal efecto contar con los instrumentos que le penmitan En proceso

declaraciones del Régimen de conocer y monitorear la herramienta infonmática en el

Importación Definitiva cual se encuentran implementados los criteriosnonmativos y el canal de control asignado por cada

una de estas herramientas

018-2011-2-3793

Exámen Especial referido al MóduloInfonmático de Teledespacho SIGAD,para el proceso de despacho dedeclaraciones del Régimen deImportación Definitiva

Mm, 14-2011-SUNAT/1BOOOO

Disponer se precise en el Procedimiento EspecificoIFGRA.PE.02 "Selección de Canales de Control", enla herramienta referida a Mineria de Datos los dos

Rec. n.' 5. modelos existentes de Maximización de Hallazgos yRed Neuronal; asi como, las responsabilidades y

tareas realizadas por cada una de las dependencias acargo de dichos modelos.

En proceso

013-2012-2-3793

Exámen Especial referido al proceso013-2012*3793 establecido para la selección de canalesf'''':. ';ir7"~ , de control en el régimen aduanero de

.' ,~~~'~;;;::;~il,<;~;~;~;i~portación para el consumo

.í~t >1\ \ .i;' '/,~ . ,.-', ~~~>~.~~~~~._~:;,'/ Exámen Especial referido al proceso

establecido para la selección de canalesde control en el régimen aduanero deimportación para el consumo.

Adm

Adm



Rec. n.' 1.

Rec. n.'16.

Disponga en el más breve pplazo se defina lasolución al impedimento que tienen otros usuarios

distintos al Sr. para efectuar las labores demantenimiento del Modelo de Maximización de

Hallazgos, tanto para el Módulo de Tablas Generalescomo para Base de Datos .

Disponga que la División de Análisis de Riesgo, unavez implementada la Recomendación N' 21 y recibida

la infonmación respectiva de la INTA, evalúe laimplementación de los Filtros de Múltiples Variables

(FMV) que corresponda, asignando los pesosjerárquicos respectivos y solicite a la Gerencia deDesarrollo de Sistemas Aduaneros la desactivaciónde los Filtros Planos que sean migrados a FMV

Implementada

Implementada

013-2012-2-3793

003-2013-2-3793

Exámen Especial referido al procesoestablecido para la selección de canalesde control en el régimen aduanero deimportación para el consumo,

Exámen Especial respecto a lainconsistencia de datos vinculados alcanal de control de la DUA W235-201o.10.055845

Adm

Mm

12-2012-SUNA Tl1 BOOOO


Página 2 de 25

Rec. n.'19,

Rec. n.' 1.

Disponga que la División de Análisis de Riesgo,cautele que el personal encargado de la creación y/oeliminación de Filtros de Múltiples Variables, a travésdel Módulo de Gestión de Perfiles de Riesgo, cumplacon lo establecido en el procedimiento IFGRA-PE.02

en relación al sustento requerido para este fin

Disponer que la Gerencia de Desarrollo de SistemasAduaneros, documente la funcionalidad del objetoUSAMTGOO.Pktg_Encripta de acuerdo a la MDSI,considerando que dicha documentación deberá ser

de carácter confidencial.

Implementada

En proceso


ESTADO DE IMPLEMENTACiÓN DE LAS RECOMENDACIONES DEL INFORME DE AUDITORíA ORIENTADAS A LA MEJORA DE LA GESTiÓNDirectiva N" 006-2016-CG/GPROD 'Implementación y seguimiento a las recomendaciones de los infonmes de auditaria y publicación de sus estados

en el Portal de Transparencia de la entidad', y Decreto Supremo N" 070-2013-PCM que modifica el Reglamento de la Ley de Transparenciay Acceso a la Infonmación Pública, aprobado por Decreto Supremo N" 072-2003-PCM


Nombre del ÓrganoIn/onmante

Número(SCG. Ex SAGU

003-2013-2-3793

003-2013-2-3793

003-2013-2-3793

. Superintendencia Nacional de Aduanas y deAdministración Tributaria

. Órgano de Control Institucional.

Exámen Especial respecto a lainconsistencia de datos vinculados alcanal de control de la DUA W235-201 0-10-055845

Exámen Especial respecto a lainconsistencia de datas vinculados alcanal de control de la DUA W235-201 O-10-055845

Exámen Especial respecto a laInconsistencia de datos vinculados alcanal de control de la DUA W235-2010-10-055845

Mm.

Adm.

Adrn

Número Informe SUNAT




Página 3 de 25

Rec. n.o 2.

Rec. n.o 3.

Rec. n' 4.

Periodo de SeguimientoDel: 01/07/2016 al 31/1212016

Disponer al área que corresponda, implementar ypublicar un Procedimiento de Resguardo del código

fuente y la Clave de Encriptación, el cual debeconsiderar, entre otros: La designación de un

responsable que deberá detenminar el valor de laclave de encriptación, considerando su

independencia funcional y que no deba tener accesoa los ambientes de bases de datos desarrollo, calidad

y producción. La clave de encriptación deberáconsiderar las caracteristicas de robustez. Lapersona que detenmina la clave de encriptación,

deberá obtener copia impresa del código fuente y dela clave de encriptación y guardar este documenta enun sobre lacrado, el cual deberá ser custodiado enlugar seguro, bajo responsabilidad. Realizar el

proceso de cifrado de la clave y el código fuente delobjeto USAMTGOO.Pktg_Encripta. Procedimiento dereemplazo del valor de la Clave de Encriptación.

Disponer al área que corresponda, reemplace elobjeto USAMTGOO.Pktg_Encripta, considerando entreotros: Evaluación de los algoritmos modernos deencriptación, ya que el actual es susceptible de

criptoanálisis. Que los privilegios de ejecución de lasfunciones de encriptación en ambientes alternos a losde producción (desarrollo y calidad) deberlan de serrestringidos. No deberla de mantenerse ninguna

versión legible del código fuente en los ambientes dedesarrollo, calidad y producción.

Disponer al área que corresponda, detenmine que elvalor de la Clave de Encriptación en los ambientesalternos a los de producción (desarrollo y calidad)deben ser diferentes, a fin de asegurar que no se

pueda obtener el canal de control en dichosambientes, antes de que se cumplan los requisitos

para su desencriptaclón.

Implementada

Implementada

Implementada

Superintendencia Nacional de Aduanas y de Administración Tributaria6rgano de Control InstitucionalDivisión de Auditoria de Sistemas Informáticos

ESTADO DE IMPLEMENTACiÓN DE LAS RECOMENDACIONES DEL INFORME DE AUDITORíA ORIENTADAS A LA MEJORA DE LA GESTIÓNDirectiva N" 006-2016-CG/GPROD "Implementación y seguimiento a las recomendaciones de los informes de auditoria y publicación de sus estados

en el Portal de Transparencia de la entidad", y Decreto Supremo N" 070-2013-PCM que modifica el Reglamento de la Ley de Transparenciay Acceso a la Información Pública, aprobado por Decreto Supremo N' 072-2003-PCM





Periodo de SeguimientoDel: 01/07/2016 al 31/12/2016

Número(SCG" Ex SAGU

Informe

14Q11lbreTipo de Informe

de AuditorlaNúmero Informe SUt4AT ...

1,. :,1' Elltado

003-2013-2-3793

003-2013-2-3793

Exámen Especial respecto a lainconsistencia de datos vinculados alcanal de control de la DUA N'235-2010-10-055845

Exámen Especial respecto a lainconsistencia de datos vinculados alcanal de control de la DUA N'235-201 O-1Q.-055845

f\dm.

Adm



Disponer al área que corresponda, implementar elcontrol de cambios y versiones en los objetos de basede datos, evaluando el uso de un "Lag de Auditoria"que sea poblado por un Trigger DDL y registre los

cambios de dichos objetos, considerando, entre otros:la copia exacta del código fuente antes de su

modificación, nombre del objeto, identificador delobjeto en la base de datos, nombre del objeto en labase de datos, la IP del equipo desde el cual seefectúa el cambio, el usuario de red con el que seefectuó la conexión previa al cambio, ei usuario de

Rec. n.' 5. base de datos, el aplicativo desde el cual se lanza eltransact DDL, la fecha y hora de la modificación, un

número de secuencia de cambio y código deldocumento que sustenta la modificación (SAU, REO,PAS, etc.). El Log de Auditoria debe tener privilegios

restringidos a fin de que no se pueda realizarmodificaciones y eliminaciones, incluyendo a los

usuarios con el rol DBA (funcionalidad permitida porelOracle 11g, a través del Database Vault).

Asimismo, es necesario que se implementen alertaspara intentos de alteraciones sobre el Log de

Auditoria.

Disponer al área que corresponda, implementar unRec. n.' 7. procedimiento referido al análisis y revisión de los Log

de Auditoria, que contemple, entre otros, losentregables, periodicidad y responsables.

En proceso

Implementada

015-2013-2-3793

015-2013-2-3793

001-2014-2-3793

001-2014-2-3793

Exámen Especial al Proceso de Gestiónde Incidentes a cargo de la Gerencia deOperaciones y Soporte a Usuarios de laINSI

Exámen Especial al Proceso de Gestiónde Incidentes a cargo de la Gerencia deOperaciones y Soporte a Usuarios de laINSI

Exámen Especial a la SuperintendenciaNacional de Aduanas y deAdministración Tributaria - IntendenciaNacional de Sistemas de Información"Seguridad de accesos del móduloinformático de Asignación deEspecialistas del Régimen deImportación para el Consumo"

Exámen Especial a la SuperintendenciaNacional de Aduanas y deAdministración Tributaria - IntendenciaNacional de Sistemas de Información'Seguridad de accesos del móduloinformático de Asignación deEspecialistas del Régimen deImportación para el Consumo'

Mm

AdnL

Mm

1Q.-2013-SUNAT/1BOOOO




Página 4 de 25

Rec. n,O13.

Rec. n'15.

Rec. n.'11.

Rec. n.o12.

Disponga la evaluación y depuración de cuentas conprivilegios Administrador a nivel del Servidor de Base

de Datos SOL Server; asimismo, actualizar lacontraseña del usuario osa' y designar a un

responsable de la custodia de dicha contraseña

Actualizar en coordinación con la INSI el Acuerdo deNivel de Servicios de la Aduana Maritima (ANS-INSI-

Ad. Maritima)

A traves de la Oficina de Seguridad Informatica sedisponga la elaboración y aprobación del

procedimiento que contenga el detalle de las accionesa realizar en las revisiones periodicas de los logs deaccesos a nivel de cuentas, a fin que su personal

cuente con un documento formal que le permita llevara cabo correctamente tales revisiones

Disponga la elaboración y aprobación de unprocedimiento intemo que permita identificar aquellascuentas entregadas que no se utilicen durante mas de

30 dias con el fin de que sean dadas de baja enconcordancia al numeral 6.2 del rubro VIII

Instrucciones de la Circular n' 001-2012/400000 del23 de marzo de 2012 referida a las Politicas y normaspara la solicitud, creación, entrega y utilización de las

cuentas y claves de acceso a los sistemas deinformación en producción.

En proceso

Implementada

Implementada

Implementada

Superintendencia Nacional de Aduanas y de Administración TributariaÓrgano de Control InstitucionalDivisión de Auditoria de Sistemas Informáticos

ESTADO DE IMPLEMENTACiÓN DE LAS RECOMENDACIONES DEL INFORME DE AUDITORíA ORIENTADAS A LA MEJORA DE LA GESTiÓNDirectiva N' 006-2016-CGIGPROD "Implementación y seguimiento a las recomendaciones de los informes de auditoria y publicación de sus estados

en el Portal de Transparencia de la entidad', y Decreto Supremo N' 070-2013-PCM que modifica el Reglamento de la Ley de Transparenciay Acceso a la Información Pública, aprobado por Decreto Supremo N' 072-2003-PCM


Nombre del OrganoInformante


. Órgano de Control Institucional


MOmero(SCG .I:x SAGU

Informe

Nombre

Tipó'de Informede Auclitoria

::

Numero Informe SUMAT

.'.

'.'>i" ......••.""..........

.'

001-2014-2-3793

001-2014-2-3793

007-2014-2-3793

007-2014-2-3793

Exámen Especial a la SuperintendenciaNacional de Aduanas y deAdministración Tributaria - IntendenciaNacional de Sistemas de Información"Seguridad de accesos del móduloinformático de Asignación deEspecialistas del Régimen deImportación para el Consumo"

Exámen Especial a la SuperintendenciaNacional de Aduanas y deAdministración Tributaria - IntendenciaNacional de Sistemas de Información'Seguridad de accesos del móduloinformático de Asignación deEspecialistas del Régimen deImportación para el Consumo"

Exámen Especial a la SUNAT - INSISeguridad de accesos del móduloinformático de Cobranza CoactivaRSIRAT

Exámen Especial a la SUNAT - INSISe9uridad de accesos del móduloinformático de Cobranza CoactivaRSIRAT

Adm.

,A.drn.

!",drn

Aam,


02-2014-SUNA Tl1 BOOOO

02-2014-SUNAT/1COOOO

02-2014-SUNAT/1 COOOO

Rec. n.'13.

Rec. n.'14.

Rec. n.' 1.

Rec. n.' 2.

En coordinación con la Intendencia Nacional deSistemas de Información solicite la modificación en elSIGESA del perfil Otros por los perfiles Administrador,Consultas y Especialista de Importación Definitiva

correspondientes al modulo infoormatico deAsignación de Especialistas del Regimen de

Importación para el Consumo, a fin que el usuario quegenera una solicitud de acceso al sistema mediante el

SIGESA tenga conocimiento de los perfilesexistentes.

En coordinación con la Infendencia Nacional deSistemas de Información evaluen y determinen losperfiles Administrador y Especialista de ImportaciónDefinitiva correspondientes al mdulo informatico de

asignación de Especialista del Regimen deImportación para el Consumo, de acuerdo a las

necesidades y funciones de los usuarios del referidomodulo informático con el obetivo que dichos perfiles

no tengan las mismas opciones.

Elaborar y aprobar un procedimiento relacionado a lacreación, asignación, uso, baja y depuración de

cuentas de acceso a nivel del sistema operativo AIX yde bases de datos Informix, con la finalidad de evitarla existencia excesiva de las mismas y que no se

encuentren debidamente sustentadas yadministradas.

Revisar y de ser el caso eliminar, las cuentas deacceso en los archivos '/etc/passwd" de losservidores AIX y de las bases de datos ASOL,

RSIRA T y en aquellas bases de datos y servidores enlos que se haya implementado el "Esquema deAutenticación de Cuenta Única" a nivel nacional.Asimismo, justificar la conservación de aquellascuentas de acceso que son necesarias para eldesempeño de sus funciones, otras labores de

operación o administración, las cuales deberán estarplasmadas en un Informe que se emita con copia al

Órgano de Control Institucional.

En proceso

En proceso

En proceso

Implementada

007-2014-2-3793

007-2014-2-3793



Mm.

Adm.

Revisar y eliminar todas las cuentas de acceso en lasbases de datos de producción asignadas a personalde las áreas de desarrollo y pruebas, Asimismo

02-2014-SUNAT/1 COOOO Rec. n.' 3. elaborar y aprobar un procedimiento para la revisión y Implementadadepuración periódica de estos casos considerando las

caracteristicas de una adecuada segregación defunciones del personal de la INSI.

Eliminar la cuenta de acceso en blanco del servidorde base de datos RSIRA T-MEPECO de la

Intendencia Lima. Asimismo, evaluar e implementar02-2014-SUNAT/1COOOO Rec. n.' 4. los controles para evitar que se sucedan este tipo de Implementada

registros de cuentas de acceso, cuyo resultadodeberá estar plasmado en un Informe que se emita

con copia al Órgano de Control Institucional.

t'aglfla:> ut: £J


ESTADO DE IMPLEMENTACiÓN DE LAS RECOMENDACIONES DEL INFORME DE AUDITORíA ORIENTADAS A LA MEJORA DE LA GESTiÓNDirectiva W 006-2016-CG/GPROD "Implementación y seguimiento a las recomendaciones de los informes de auditoria y publicación de sus estados

en el Portal de Transparencia de la entidad", y Decreto Supremo N' 07Q-2013-PCM que modifica el Reglamento de la Ley de Transparenciay Acceso a la Información Pública, aprobado por Decreto Supremo N' 072-2003-PCM






Inforlné ............ RéeQlllellllacibn .... .'. ,;r. ::

.Tipo de Info~

Número Número Informe SUMAT ./1.0

••

.;~~/.: ....:.:•..•.•":/.:. "::'.:./:•...• ,.••...•...:... :.>/: .•:••••/,~,j<,

Nombre déAuditorta :. ¡.Texto.,;~;.t. ..' ,'É$ladOfi.(SCG. Ex SAGU /> ,

Revisar y depurar los privilegios de consulta,inserción, eliminación y actualización, asignados alas cuentas de acceso y a los roles sobre las tablas

Exámen Especial a la SUNAT - INSI de las bases de datos Informix consideradas en el

007-2014-2-3793Seguridad de accesos del módulo Adm, 02-2014-SUNAT/1COOOO Rec. n.' 5.

"Esquema de Autenticación de Cuenta Única" a nivel Implementadainformático de Cobranza Coactiva nacional. Asimismo, elaborar y aprobar un

RSIRAT procedimiento de revisión de privilegios que seefectúe de manera periódica, determinando los

responsables y entregables para evitar casos como lahabilitación de privilegios al rol "public".

Disponer a las áreas que corresponda, laExámen Especial a la SUNAT - INSI implementación de Pistas de Auditoría sobre las

007-2014-2-3793Seguridad de accesos del módulo

Adm 02-2014-SUNAT/1 COOOO Rec. n' 6.transacciones en las tablas de las bases de datos En proceso

informático de Cobranza Coactiva ASOL , RSIRA T y demás tablas de las bases de datosRSIRAT incluidas en el "Esquema de Autenticación de Cuenta

Única".

¡/iJ~;;~~''-'. Disponer al área que corresponda, implementar el

~l control de cambios y versiones en los objetos de basede datos del ASOL, RSIRA T y las demás bases dedatos incluidas en el "Esquema de Autenticación de

(~O Jj _.z:. Cuenta Única", evaluando el uso de un "Log de

J Auditoria" que sea poblado por un Trigger DDL u otra\.:t;) tecnologia similar que permita registrar los cambios

;'é;¡~ if~ de dichos objetos, considerando, entre otros: la copia,ir..;','!gOR ,¡\(i.

,()'S.exacta del código fuente antes de su modificación,nombre del objeto, identificador del objeto en la base

Exámen Especial a la SUNAT - INSi de datos, nombre del objeto en la base de datos, la IP

007-2014-2-3793Seguridad de accesos del móduio

Adm • 02-2014-SUNATI1COOOO Rec. n.' 7.del equipo desde el cual se efectúa el cambio, el En proceso

informático de Cobranza Coactiva usuario de red con el que se efectuó la conexiónRSIRAT previa al cambio, el usuario de base de datos, el

aplicativo desde el cual se ejecuta la sentencia DDL,la fecha y hora de la modificación, un número desecuencia de cambio y código del documento quesustenta la modificación (SAU, REO, PAS, etc.).

Asimismo, el Log de Auditoria debe tener privilegiosrestringidos a fin de que no se pueda realizar

modificaciones y eliminaciones, incluyendo a losusuarios con el rol DSA. Asimismo, es necesario quese implementen alertas para intentos de alteraciones

sobre el Log de Auditoría.

Disponer al área que corresponda, implementar unExámen Especial a la SUNAT - INSI procedimiento referido al análisis y revisión de las


Adrn 02-2014-SUNA T/1COOOO Rec. n.' 8.Pistas de Auditoría de las transacciones y objetos de En proceso

informático de Cobranza Coactiva las bases de datos consideradas en el Esquema deRSIRAT Autenticación de Cuenta Única, que contemple, entre

otros, los entregables, periodicidad y responsables.

Página 6 de 25

Superintendencia Nacional de Aduanas y de Administración TributariaÓrgano de Control InstitucionalDivisión de Auditoria de Sistemas Infomnáticos

ESTADO DE IMPLEMENTACiÓN DE LAS RECOMENDACIONES DEL INFORME DE AUDITORíA ORIENTADAS A LA MEJORA DE LA GESTiÓNDirectiva N" 006-2016-CG/GPROD "Implementación y seguimiento a las recomendaciones de los infomnes de auditoria y publicación de sus estados

en el Portal de Transparencia de la entidad", y Decreto Supremo N" 07Q-2013-PCM que modifica el Reglamento de la Ley de Transparenciay Acceso a la Infomnación Pública, aprobado por Decreto Supremo N" 072-2003-PCM


Nombre del ÓrganoInfomnante





Informe .

Nombre

Tipo de Informede Auditorta

AA '1"

-.:-

NúmerolnformeSUNAT

. ..RecOlll8ildaci6n.%xx;{

f~.o.; XC./i.f'c :'1éxlií' , .•.... Estado" A'

007-2014-2-3793

Exámen Especial a la SUNAT - INSISeguridad de accesos del móduloinfomnático de Cobranza CoactivaRSIRAT

Mm 02-2014-SUNA T/1COOOO

Disponer ai área que corresponda, completar ladocumentación según la Metodologia de Desarrollode Sistemas Infomnáticos (MOSI) y otros que creaconveniente para pemnitir las actividades de

Rec. n.' 9. mantenimiento y capacitación, de los componentes deencriptación de las claves de las cuentas únicas,

considerando que dicha documentación debe ser decarácter confidencial y custodiada por personal de

confianza y bajo responsabilidad.

En proceso

Disponer la asignación fomnal de responsabilidades,vinculadas con el proceso de encriptación de lasclaves de las cuentas únicas en el "Esquema de

Exámen Especial a la SUNAT - INSI Autenticación de Cuenta Única" a personas o equipos

007-2014-2-3793Seguridad de accesos del módulo Adm. 02-2014-SUNAT/1 COOOO

Rec. n.' de trabajo distintos con la finalidad de alcanzar una En procesoinfomnático de Cobranza Coactiva 10. adecuada segregación de funciones en el desarrollo

RSIRAT de las actividades de implementación, despliegue,asignación de parámetros de seguridad y custodia deentregables y documentos, no recayendo todas estas

en un solo grupo ocupacional.

-4~S;\1~4~SJ'~~!:'~~>~~t¿t,O(\tíUf 'I}~b;-':q~

{¡~!J]" \~ Disponer al área que corresponda, elabore y apruebe

1"4 ( ) ~ un Procedimiento de Resguardo de código fuente,

~;;J.:~~o < ~~~.semilla y dato encriptado, el cual debe considerar,

entre otros aspectos: - La designación de un....<..l.~J.:.,'1 ,~\.•,~ .• ,; responsable o responsables de clave compartida que~.•., ..::.~.~~:...•~ deberán detemninar el valor de la clave de la cuenta

Exámen Especial a la SUNAT - INSI única encriptada (una porción cada uno),


Adm 02-2014-SUNA T/1COOOORec. n.' considerando la independencia funcional y que no En proceso

infomnático de Cobranza Coactiva 11.RSIRAT

cuenten con accesos a los ambientes de bases dedatos desarrollo, calidad y producción. - La

designación del responsable de detemninar la semillaen el algoritmo de encriptación. - Resguardo del

código fuente, considerando el no mantenimiento decódigo legible y el proceso de recuperación cuando

sea necesario.

Exámen Especial a la SUNAT - INSISoiucionar los problemas reiterativos presentados en

Seguridad de accesos del módulo Rec. n.'la funcionalidad y operatividad del módulo de

007-2014-2-3793informático de Cobranza Coactiva

Adm 02-2014-SUNAT/1COOOO 13.Cobranza Coactiva (RSIRA T), los mismos que han En proceso

RSIRATsido comunicados por la Gerencia de Cobranza

Coactiva - Lima.

Exámen Especial a la SUNAT - INSIFomnalizar el Pase a Producción según los

Seguridad de accesos del módulo Rec. n.'lineamientos de desarrollo de la Intendencia Nacional

007-2014-2-3793infomnático de Cobranza Coactiva

!\dm 02-2014-SUNAT/1 COOOO14.

de Sistemas de Infomnación del Aplicativo "Núcleo de En proceso

RSIRATInfomnación Nacional y Estadistica - NINE" de la

Intendencia Lima.

Evaluar la existencia y los riesgos vinculados a losaplicativos, módulos, servicios y sistemas de

Exámen Especial a la SUNAT - INSI infamnación, que de manera paralela vienen siendo

007-2014-2-3793Seguridad de accesos del módulo Mm. 02-2014-SUNAT/1COOOO

Rec. n.' utilizados en los ambientes de producción y que no En procesoinformático de Cobranza Coactiva 15. fueron implementados bajo los lineamientos deRSIRAT desarrollo de la INSI, como el caso del NINE, cuyo

resultado deberá estar plasmado en un Infomne quese emita con copia al Órgano de Control Institucional.

Págína 7 de 25

Superintendencia Nacional de Aduanas y de Administración TributariaÓrgano de Control InstitucionalDivisión de Auditoria de Sistemas Informaticos

ESTADO DE IMPlEMENTACION DE LAS RECOMENDACIONES DEL INFORME DE AUDITORíA ORIENTADAS A LA MEJORA DE LA GESTlONDirectiva N' 00&-2016.CG/GPROD "Implementación y seguimiento a las recomendaciones de los informes de auditoria y publicación de sus estados

en el Portal de Transparencia de la entidad", y Decreto Supremo N' 070.2013.PCM que modifica el Reglamento de la ley de Transparenciay Acceso a la Información Pública, aprobado por Decreto Supremo N" 072.2003-PCM

Nombre de la Entidad: Superintendencia Nacional de Aduanas y deAdministración Tributaria




Informe ','o': +--;-;- . ,,'c. Recomendaci6n c,

Tipo de InformeNOmero Informe SUNAr 1/,+ . ,

NúmeroNombré de Auditorla nvf) '("Texto Estad!,

(SeG- Ex SAGU

Examen Especial a la Superintendencia Disponer la validación del campo "fecha" y "hora" deNacional de Aduanas y de marcación de la opción "Registro de MarcacionesAdministración Tributaria - INSI referido

14.2014.SUNA T/1COOOO Rec. n.'1.Manuales" del sistema "SIRH.Asistencia". Asimismo

En proceso027.2014.2.3793 Adm eliminar las marcaciones de fechas y horasa la Seguridad en el Sistema deProcesamiento de las Planillas de inconsistentes (posteriores a las que realmenteRemuneraciones corresponden).

Examen Especial a la Superintendencia Disponer la implementación de controles queNacional de Aduanas y de permitan superar la vulnerabilidad lógica en la

027.2014.2.3793Administración Tributaria - INSI referido

Adrn 14.2014.SUNAT/1COOOO Rec. n.o 2. aplicación web Tibbo Device Server, al acceder sin No aplicablea la Seguridad en el Sistema de registrar contraseña a las opciones de configuraciónProcesamiento de las Planillas de de cinco relojes marcadores.Remuneraciones

Examen Especial a la Superintendencia Disponer la migración a servidores de la SUNAT deNacional de Aduanas y de los aplicativos y la información almacenada en el

027.2014.2.3793Administración Tributaria - INSI referido Adrn 14.2014.SUNAT/1 COOOO Rec. n.o 3. equipo PCB222, referidos a las "marcaciones de Implementadaa la Seguridad en el Sistema de asistencia" de los trabajadores de la SUNAT a nivelProcesamiento de las Planillas de nacional.Remuneraciones

diF ~;;;;~'~~~!t- Examen Especial a la Superintendencia;!:f'~~~ Disponer la actualización del documento "Pase a., .Nacional de Aduanas y de producción.hardware" del servidor virtual

,.:::r o

ii\ '~J ~.,.:,~ Administración Tributaria - INSI referido Adm. 14.2014.SUNAT/1COOOO Rec. n.o 4. SRVJABBER y salvaguardar que no se encuentre ImplementadaElQgz.2014-2V3 a la Seguridad en el Sistema de expuesta la cuenta de usuario administrador y su,(e) Ji Procesamiento de las Planillas de contraseña ..;JRemuneraciones

,~l.-;(~

'L.t,f,,~ ,~<f:i:..',~.~';..~,.f'.••..

Examen Especial a la Superintendencia Disponer la eliminación de la cuenta de usuario enNacional de Aduanas y de blanco en la base de datos "SP" del sistema "SIRH.


Mm 14.2014.SUNAT/1 COOOO Rec. n.o 5. Asistencia" y establecer controles en el referido Implementadaa la Seguridad en el Sistema de sistema y base de datos a fin de evitar que laProcesamiento de las Planillas de situación comentada se repita.Remuneraciones

Examen Especial a la Superintendencia Disponer la eliminación de las de 2 520 cuentas deNacionai de Aduanas y de usuario registradas en la base de datos "SP" del


Adm 14.2014.SUNAT/1 COOOO Rec. n.o 8. sistema "SIRH.Asistencia" que carecen del Implementadaa la Seguridad en el Sistema de correspondiente registro en el archivo "etc/pa;;swd"Procesamiento de las Planillas de del servidor INFP03S2.Remuneraciones

Disponer la evaluación de los privilegios asignados alExamen Especial a la Superintendencia rol "Public" sobre todas las tablas de la base de datosNacional de Aduanas y de "SIG" del "Módulo de Recursos Humanos del sistema

027.2014.2.3793Administración Tributaria - INSI referido Adm. 14.2014-SUNA TI1COOOO Rec. n.o 9. SIGA". Asimismo, se disponga la elaboración y Implementadaa la Seguridad en el Sistema de aprobación de un procedimiento general de revisiónProcesamiento de las Planillas de de privilegios sobre cuentas de usuario y roles en lasRemuneraciones bases de datos de los servidores de la SUNAT.

l\\

Página 8 de 2S


ESTADO DE IMPLEMENTACI6N DE LAS RECOMENDACIONES DEL INFORME DE AUDITORíA ORIENTADAS A LA MEJORA DE LA GESTl6NDirectiva W 006-2016-CG/GPROD "Implementación y seguimiento a las recomendaciones de los infonmes de auditoria y publicación de sus estados




Nombre del 6rganoInformante



Informe

NombreTipo de InformedeAud~orla Número Informe SUNAT l' n.O

... '

"':"

.....•... '

Recomendaei6n"

Textó'1,"',

027-2014-2-3793

Examen Especial a la SuperintendenciaNacional de Aduanas y deAdministración Tributaria - INSI referidoa la Seguridad en el Sistema deProcesamiento de las Planillas deRemuneraciones

Adm 14-2014-SUNAT/l COOOORec. n.'10.

Disponer la evaluación de las pollticas de seguridadde la contraseña asignada al perfil "DEFAUL T" de la

base de datos "SIG" del "Módulo de RecursosHumanos del sistema SIGA", a fin de precisar el valorpara las politicas: "número de intentos de conexión

fallidos", "tiempo de bloqueo de contraseña" y "tiempoadicional al vencimiento de la duración de la

contraseña". Asimismo, disponer la actualización delvalor para las pollticas: "tiempo de duración de lacontraseña", "número de cambios de contraseña

antes de ser reutilizado" y "función de verificación decontraseña"; en concordancia con lo dispuesto en la

Circular n.' 001-2012/400000.

No aplicable

En proceso

Implementada

Disponer la evaluación integral de las tablas de lasbases de datos "SP" y "SIG" de los sistemas "SIRH •Asistencia" y del "Módulo de Recursos Humanos delsistema SIGA" a fin de detenminar aquellas sobre lascuales deberán implementarse o complementarse

registros de auditoria.

Disponer ia implementación de registros de auditorlapara los cambios que pudieran realizarse en losobjetos (procedimientos almacenados, triggers,

tablas, vistas, entre otros) de las bases de datos "SP"y "SIG" de los sistemas "SIRH-Asistencia" y del

"Módulo de Recursos Humanos del sistema SIGA" afin de que pueda identificase la autoria sobre lasmodificaciones o eliminaciones realizados en tales

objetos.

Rec. n.'11.

Rec. n.'12.

14-2014-SUNA T/1COOOO


A.dm

;\dm.


027-2014-2-3793

"'''~I:'C''.~\:Ü\~,I~¡"¡:,\,/;; .~M.(,e"trol/.o.

'#1:?" r~-/'\~\:."i~ ~ U) @J Examen Especial a la Superintendencia\,~ \ l? I Nacional de Aduanas y de.~ .j. 02 \14-~31V Administración Tributaria - INSI referido

-¿"4Xi' .1o;"¡-<:>'- a la Seguridad en el Sistema de~-~._>."" ..,. Procesamiento de las Planillas de

Remuneraciones

027-2014-2-3793


Adm 14.2014-SUNA TI1 COOOORec. n.'

13.

Disponer la migración de los sistemas de "planillas depensiones" y "compensación por tiempo de servicio"instalados en los equipos PCK775 y ALQPCLlM20QF(alquilado) a los servidores de la SUNAT, y asegurar

la realización de las copias de seguridad.

Implementada

027-2014-2-3793


Adrn. 14-2014-SUNAT/1COOOORec. n.'

14.

Disponer la elaboración y aprobación de unprocedimiento interno que penmita asegurar la

encriptación de la infonmación que corresponda en lasbases de datos de los servidores de la SUNAT, con elfin de resguardar la seguridad de la infonmación.

En proceso

027-2014-2.3793


Adrn. 14-2014-SUNAT/l COOOORec. n.'

15.

Disponer el cambio del valor de la semilla en losambientes de producción, calidad y desarrollo enbase al procedimiento de la recomendación n.' 16

para las funciones encripta y desencripta del paquete"SEGURIDAD.seg_cifrado" de la base de datos "SIG"del SIGA, con el fin de resguardar la seguridad de la

infonmación.

En proceso

Página 9 de 25

Superintendencia Nacional de Aduanas y de Administraci6n TributariaÓrgano de Control InstitucionalDivisi6n de Auditorla de Sistemas Infonmáticos

ESTADO DE IMPLEMENTACiÓN DE LAS RECOMENDACIONES DEL INFORME DE AUDITORíA ORIENTADAS A LA MEJORA DE LA GESTIÓNDirectiva N" 006-2016-CG/GPROD "Implementaci6n y seguimiento a las recomendaciones de los Infonmes de auditorla y publlcaci6n de sus estados

en el Portal de Transparencia de la entidad", y Decreto Supremo N" 07Q-2013-PCM que modifica el Reglamento de la Ley de Transparenciay Acceso a la Infonmaci6n Pública, aprobado por Decreto Supremo N" 072-2003-PCM



. Superintendencia Nacional de Aduanas y deAdministraci6n Tributaria



Número'(SCG. Ex SAGU I

Inloríne '..

Nombre'. T¡p;de Informe'; . .

déAuditorfÍl!;';.'"

Disponer que la Oficina de Seguridad Infonmáticarealice las pruebas del "Procedimiento de continuidadoperativa del servicio aduanero ante interrupciones

Rec. n.• 1. del sistema infonmático en las intendencias de aduanaa nivel nacional", con el fin de verificar la continuidad

operativa del servicio aduanero.

027-2014-2-3793

027-2014-2-3793

027-2014-2-3793

031-2014-2-3793

031-2014-2-3793

Examen Especial a la SuperintendenciaNacional de Aduanas y deAdministraci6n Tributaria - INSI referidoa la Seguridad en el Sistema deProcesamiento de las Planillas deRemuneraciones

Examen Especial a la SuperintendenciaNacional de Aduanas y deAdministraci6n Tributaria - INSI referidoa la Seguridad en el Sistema deProcesamiento de las Planillas deRemuneraciones



Procedimiento de continuidad Operativadel Servicio Aduanero anteinterrupciones del sistema infonmático enlas Intendencia de Aduana A nivelNacional

Procedimiento de continuidad Operativadel Servicio Aduanero anteinterrupciones del sistema infonmático enlas Intendencia de Aduana A nivelNacional

Procedimiento de continuidad Operativadel Servicio Aduanero anteinterrupciones del sistema Infonmático enlas Intendencia de Aduana A nivelNacional

Adm

Adm

Adm

Adm

Adm

Adrn


14-2014-SUNAT/l COOOO






Página 10 de 25

Rec. n"18.

Rec. n"19.

Rec. n"21.

Rec. n"23.

Rec. n" 3.

Rec. n" 4.

En coordinación con la Intendencia Nacional deSistemas de Infonmación, se establezcan controles,alertas y reportes en el sistema "SIRH-Asistencia",que penmita advertir aquellos colaboradores de

SUNAT a nivel nacional, que no tengan un tumo detrabajo asignado.

En coordinaci6n con la Intendencia Nacional deSistemas de Infonmación, se establezcan controlesalertas y reportes en el sistema "SIRH-Asistencia",que penmita mantener actualizado el turno de trabajo"R67", asignado a algunos trabajadores de la SUNAT

que por la naturaleza de sus funciones lescorresponde.

Disponer que el "exceso de refrigerio", sea incluido enlos alcances del articulo 21. del Reglamento Internode Trabajo de la SUNAT, como un control por elnúmero de minutos considerables y evidenciadoscomo "exceso de refrigerio", correspondiente a los

trabajadores de la SUNAT a nivel nacionalcomprendidos en los reglmenes laborales de los

Decretos Legislativos n.• s 276 y 728.

Disponer la implementaci6n de controles, a fin de quelas modificaciones efectuadas en las calificaciones de

asistencia de los trabajadores de la SUNATrealizadas por usuarios distintos a los jefes, sean

necesariamente autorizados por la jefatura inmediatadel trabajador.

Disponer que se implemente el servidor de respaldopara la Intendencia de Aduana de Iquitos, con el finde garantizar la continuidad operativa del servicio

aduanero en la referida Intendencia

Disponer que la Oficina de Seguridad Infonmáticacoordine la realización de las capacitaciones del

"Procedimiento de continuidad operativa del servicioaduanero ante interrupciones del sistema infonmáticoen las intendencias de aduana a nivel nacional", con

el fin de que el personal involucrado apliquecorrectamente el referido procedimiento.

Implementada

Implementada

Implementada

Implementada

En proceso

Implementada

En proceso


ESTADO DE IMPLEMENTACiÓN DE LAS RECOMENDACIONES DEL INFORME DE AUDITORIA ORIENTADAS A LA MEJORA DE LA GESTiÓNDirectiva N" 006-2016-CG/GPROD "Implementación y seguimiento a las recomendaciones de los informes de auditoria y publicación de sus estados







Informe.....

.... •.•.. .... ...RecOl1l.ildaci6llA'\ ... 'A'"",(¡," :,¡'

NúmeroTipo de Informe Núlnero Infórme SUNAT C7. n, •.:r: J

..... .v;,

..

(SCG. Ex SAGUNombre deAud~oria "Texto?: ..'0 Estado

# .H

Disponer que la Gerencia de Desarrollo de Sistemasimplemente los siguientes controles en los programas

Auditoria de Cumplimiento a la SUNAT- fuentes relacionados al Sistema de Remates de

Proceso de Seguridad del Sistema de Aduanas: a. Que la validación referida a que un

054-2015-2-3793Remates de Aduanas de la Intendencia Acm. 05-2015-SUNAT/1 COOOO Rec. n.' 1.

postor no sea trabajador de la Institución, se realice

Nacional de Sistemas de Información - en la tabla de personal activo del Sistema deEn proceso

Periodo 1 de enero de 2013 al 31 de Recursos Humanos y no en la tabla CAT _PERSONAL

diciembre 2014 y b. Que la validación del punto anterior se realicetanto al momento de efectuar el registro, como al

realizar ofertas en el citado sistema.

Auditoria de Cumplimiento a la SUNAT- Disponer que la Gerencia de Desarrollo de Sistemas,Proceso de Seguridad del Sistema de

054-2015-2-3793Remates de Aduanas de la Intendencia

en coordinación con la Gerencia de Almacenes,

Nacional de Sistemas de Información -Adm 05-2015-SUNAT/1 COOOO Rec. n.' 2. evalúen la eliminación de la opción que permite el En proceso

Periodo 1 de enero de 2013 al 31 decambio de la fotografia del lote a rematar en el

diciembre 2014Módulo de Consultas Remates por Intranet.

Disponer que la Oficina de Seguridad Informáticarealice: a. La validación de la información referida a

Auditoria de Cumplimiento a la SUNAT-los datos de las cuentas de usuarios generadas,

Proceso de Seguridad del Sistema deexistentes en el Sistema de Remates de Aduanas con


la finalidad de contar con información veraz,

Nacional de Sistemas de Información -Adm. 05-2015-SUNAT/1 COOOO Rec. n.' 3. consistente y actualizada de los mismos y b. En proceso

- Periodo 1 de enero de 2013 al 31 deImplementar un procedimiento de control en la

",';,;¡.I)UAIlAS YOI: 1 j~embre 2014creación de usuarios que valide que los datos

#~e c.""lrol/1]8~' ~ti~correspondientes a los trabajadores de la Institución

%~~\ sean acordes con la información de las tablas

(~!J~ respectivas del Sistema de Recursos Humanos.,::r J ¡:: ~').~(E ff\~ ~./tI~ . ""4J4.rIMO RUI~~; ,....'"

,..,.•...•.-"'_ .. Disponer la evaluación de los permisos deactualización, inserción o eliminación de las cuentas

de usuario "gsalcedoc", "¡rodriguez", "parias",

Auditoria de Cumplimiento a la SUNAT-"pperez" y "yalarcon", asi como del rol "Public", a fin

Proceso de Se9uridad del Sistema dede determinar su permanencia, eliminación o


mantenimiento, sobre las veintisiete (27) tablas de la

Nacional de Sistemas de Información -Adm 05-2015-SUNAT/1COOOO Rec. n.' 4. base de datos "PRAD1" del "Sistema de Remates de Implementada

Periodo 1 de enero de 2013 al 31 deAduanas" identificadas en el apéndice n.' 1, Y que

diciembre 2014como resultado del mismo se emita un Informe con

copia al6rgano de Control Institucional, de acuerdo alo dispuesto en el numeral 6 del rubro VII "Pollticas de

cuentas de acceso" de la Circular n.' 001-2012/400000.

Página 11 de 25


ESTADO DE IMPLEMENTACiÓN DE LAS RECOMENDACIONES DEL INFORME DE AUDITORíA ORIENTADAS A LA MEJORA DE LA GESTIÓNDirectiva N" 006-2016-CGIGPROD "Implementación y seguimiento a las recomendaciones de los infonmes de auditoria y publicación de sus estados

en el Portal de Transparencia de la entidad", y Decreto Supremo N' 070-2013-PCM que modifica el Reglamento de la Ley de Transparenciay Acceso a la Infonmación Pública, aprobado por Decreto Supremo N" 072-2003-PCM






Número(SCG" Ex SAGU

Informe

NombreTipo de Informede Audltoria

NClmero Informe SUNAT

054-2015-2-3793

054-2015-2-3793

054-2015-2-3793

Auditoria de Cumplimiento a la SUNAT-Proceso de Seguridad del Sistema deRemates de Aduanas de la IntendenciaNacional de Sistemas de Infonmación -Periodo 1 de enero de 2013 al 31 dediciembre 2014


Auditoria de Cumplimiento a la SUNA T-Proceso de Seguridad del Sistema deRemates de Aduanas de la IntendenciaNacional de Sistemas de Infonmación -Periodo 1 de enero de 2013 al 31 dediciembre 2014

Adrn

Adm.

Adrn.



05-2015-SUNA Tl1COOOO

Página 12 de 25

Rec. n.' 5.

Rec. n.' 6.

Rec. n' 7.

Disponer la evaluación de las políticas de seguridadde la contraseña asignada al perfil "DEFAUL 1" de labase de datos "PRAD1" del "Sistema de Remates de

Aduanas", a fin de precisar los valores de laspolíticas: "número de intentos de conexión fallidos",

"tiempo de bloqueo de contraseña" y "tiempoadicional al vencimiento de la duración de la

contraseña". Asimismo, disponer la actualización delos valores de las politicas: "tiempo de duración de lacontraseña", "número de cambios de contraseña

antes de ser reutilizado" y "función de verificación decontraseña"; en concordancia con lo dispuesto en la

Circular n.' 001-2012/400000.

Disponer la evaluación de las tablas de la base dedatos "PRAD1" relacionadas con el "Sistema de

Remates de Aduanas" a fin de detenminar aquellassobre las cuales deberán implementarse registros de

auditoria para las operaciones de inserción,actualización o eliminación de infonmación y, quecomo resultado del mismo se emita un Infonme con

copia al Órgano de Control Institucional.

Disponga que la División de Soporte y Operación dela Infraestructura Tecnológica y en coordinación conlas unidades orgánicas que correspondan, efectúe losiguiente: a. Definir que medios de respaldo deberán

ser migrados a la Solución de Respaldo yRestauración de Infonmación Institucional, b. En

concordancia con lo dispuesto en el numeral 10.5 delrubro VI de la Circular N" 017-2010; elabore el Plande transferencia o conversión de la infonmaciónalmacenada en los medios de respaldo nocompatibles con la Solución de Respaldo y

Restauración de Infonmación Institucional, el cualdeberá ser fonmalizado y contar con la aprobación de

las unidades orgnánicas correspondientes y c.Efectúe la migración de la infonmación almacenada enmedios de respaldo no compatibles con la Solución

de Respaldo y Restauración de InfonmaciónInstitucional y que, como resultado del mismo, seemita un infonme con copia al Órgano de Control

Institucional.

No aplícable

Implementada

En proceso


ESTADO DE IMPLEMENTACiÓN DE LAS RECOMENDACIONES DEL INFORME DE AUDITORíA ORIENTADAS A LA MEJORA DE LA GESTiÓNDirectiva N" 006-2016-CG/GPROD 'Impiementación y seguimiento a las recomendaciones de los informes de auditarla y publicación de sus estados

en el Portal de Transparencia de la entidad", y Decreto Supremo N" 070-2013-PCM que modifica el Reglamento de la Ley de Transparenciay Acceso a la Información Pública, aprobado por Decreto Supremo N" 072-2003-PCM




. 6rgano de Control Institucional


Inform.:.

:'. .>.: ... ;: R~omendacl6ri ..•...; . .

Número. Tipo d.lnforme NúMero Informe SUflAT ':;'n '" .............. . ...•.;¡;;; ...•.•.. "". ",: .. '

Nombre de Auditoria '.. . ....';:.;

Texto 'k .' . Estado(SCG "Ex SAGU .' ':' .. 1';:

Disponga que la División de Soporte y Operación dela infraestructura Tecnológica: a. Programar y realizarlas verificaciones de los respaldos de base de datos

Informix y Oracle, asi como de los sisfemas

Auditoria de Cumplimiento a la SUNAT.operativos, entre otros, de acuerdo con lo establecidoen la Circular n.o 017-2010 para el presente año y b.

Proceso de Seguridad del Sistema de Formalizar la emisión de un documento que contenga

054-2015.2-3793Remates de Aduanas de la Intendencia Mm 05-2015-SUNAT/1 COOOO Rec. n.' 9. el 'Plan de VerificaciónlRevisión de los respaldos de ImplementadaNacional de Sistemas de Información - equipos", considerando entre otros, la periodicidad,Periodo 1 de enero de 2013 al 31 de alcance de la verificación y la emisión de undiciembre 2014 documento final que contenga el resultado de las

labores efectuadas, la fecha de emisión y vigencia,asi como los sellos y firmas de las jefaturascorrespondientes, en señal de conformidad y

aprobación del mismo.

Disponga que la División de Soporte y Operación dela Infraestructura Tecnológica, elabore un

procedimiento formal para efectuar el inventario flsicode los medios de almacenamiento que contempleentre otros, lo siguiente: a. Fecha de emisión y

vigencia y contener los sellos y firmas de las jefaturas

Auditoria de Cumplimiento a la SUNAT-correspondientes, en señal de conformidad y

Proceso de Seguridad del Sistema deaprobación., b. Deberá definir claramente las

Remates de Aduanas de la Intendencia Rec. n.oresponsabilidades del personal involucrado, c.

054-2015.2.3793Nacional de Sistemas de Información -

Ad01 05.2015-SUNA TI1COOOO10.

Establecer la emisión de un Informe (o documento Implementada

- Periodo 1 de enero de 2013 al 31 desimilar) en el cual se consigne el resultado del

~~~f),jS rOt4~ diciembre 2014inventario realizado y d. Oportunidad en que se

d~ (,on\,ollns,. ~elaboran los cronogramas para la realización del

~

toe ./{~.,.~ inventario de medios de almacenamiento en las

,\~:' cintotecas de San Isidro y San Luis: los cuales

i:..~.o JE~- ¡f,l deberán contener fecha de emisión y vigencia asi~ (el ~ como los sellos y firmas de las jefaturas

'~~~. ~;Y correspondientes en señal de conformidad y..•.1~.~ ,~t"" aprobación de los mismos

~4;1I,\'Or.,I'J.'>~--'j

Priorizar y efectuar, en estricto cumplimiento de loscronogramas formalmente establecidos asi como del

Auditoria de Cumplimiento a la SUNAT. numeral 7.3 del rubro VI de la Circular N' 017-2010,Proceso de Seguridad del Sistema de los inventarios fisicos en las cintotecas de San Isidro y

054-2015.2.3793Remates de Aduanas de la Intendencia

Adm. 05.2015-SUNAT/1 COOOORec. n.' San Luis, (consignados en los documentos "Proyecto En proceso

Nacional de Sistemas de' Información • 11. San IsidroF.mpp" y "Proyecto San LuisF.mpp") quePeriodo 1 de enero de 2013 al 31 de permitan corroborar los datos de identificación,diciembre 2014 contenido y ubicación fisica de los medios de

almacenamiento; cuyo resultado deberá sercomunicado al6rgano de Control Institucional.

Disponer que la Gerencia de Operaciones y Soporte aAuditoria de Cumplimiento a la SUNAT. Usuarios, priorice la actualización de la Circular n.'Proceso de Seguridad del Sistema de 017.2010 - Procedimiento de seguridad para la

054.2015-2-3793Remates de Aduanas de la Intendencia

Adm 05-2015.SUNAT/1COOOORec. n.o gestión de los respaldos informáticos de la SUNA T, En proceso

Nacional de Sistemas de Información - 12. entre otros aspectos, de la denominación vigente dePeriodo 1 de enero de 2013 al 31 de ocho unidades orgánicas mencionadas en el numeraldiciembre 2014 1.4 del presente Informe, de acuerdo al Reglamento

de Organización y Funciones vigente.

'o' "UeL'::l


ESTADO DE IMPLEMENTACiÓN DE LAS RECOMENDACIONES DEL INFORME DE AUDITORíA ORIENTADAS A LA MEJORA DE LA GESTiÓNDirectiva N" 006-2016-CG/GPROD "Implementación y seguimiento a las recomendaciones de los infonmes de auditoria y publicación de sus estados

en el Portal de Transparencia de la entidad", y Decreto Supremo N' 070-2013-PCM que modifica el Reglamento de la Ley de Transparenciay Acceso a la Información Pública, aprobado por Decreto Supremo N" 072-2003-PCM


Periodo de SeguimientoDel: 01/07/2016 al 3111212016

Nombre del 6rganoInfonmante

. 6rgano de Control Institucional


Infonne

Nombre

tipo de Informe, (le Auditorla Número Infonne SUNAT

:

054-2015-2-3793


Adm. 05-2015-SUNAT/l COOOORec. n'

14.

Disponer que la Gerencia de Desarrollo de Sistemas,actualice el modelo de base de datos correspondienteal Sistema de Remates de Aduanas en concordanciacon las tablas que confonman e interactúan con dicho

sistema, con la finalidad de que sirva comoherramienta para labores de desarrollo y

mantenimiento de sistemas.

En proceso

054-2015-2-3793


Mm. 05-2015-SUNAT/l COOOORec. n.'

15

Disponga que la División de Desarrollo de SistemasAduaneros o la unidad orgánica a cargo del

mantenimiento del Sistema de Remate de Aduanas,actualice el Sistema de Remates de Aduanas y su

respectivo manual de usuario, modificando entre otrostemas que se considere pertinente, la denominaciónvigente de la Institución y la tasa actual del ImpuestoGeneral a las Ventas, asimismo se deberá indicar lafecha de emisión o actualización del manual de

usuario al momento de su publicación; con la finalidadde no generar mayor confusión y no se afecte la

imagen de la Institución.

En proceso

En proceso

Implementada

Disponer que la División de Desarrollo de SistemasTributarios implemente los cambios necesarios en elsoftware 'Servidor de Aplicaciones (SIGCO)', con elfin que realice lo siguiente: Al momento que se crean

cuentas para el SIGCO, no penmita que uncolaborador tenga más de una cuenta activa. Validela existencia de la Solicitud de Acceso al Sistema

(SAS) que se registra como sustento para la creacióno modificación de cuentas del SIGCO. Almacene lasmodificaciones a la infonmación de las cuentas delSIGCO, así como la fecha, hora y el usuario que

realiza dichas modificaciones.

Disponga que la Intendencia Nacional deAdministración, efectúe o solicite a la unidad orgánicacorrespondiente, la actualización del ProcedimientoGeneraIINA-PG.16 referido al 'Remate via internet

de mercancias en abandono legal y comisoadministrativo' entre otros, de la denominación

vigente de cuatro unidades orgánicas (mencionadasen el numeral 3 del presente Infonme) de acuerdo alReglamento de Organización y Funciones vigente.

Rec. n.'16.

Rec. n.' 1.01-2015-SUNAT/1COOOO


Adm

Adrn.

Auditoria de cumplimiento a la SUNAT -Proceso de seguridad del sistema deinfonmacón general de consultas de laIntendencia Nacional de Sistemas deInfonmación periodo 1 de enero de 2013al 31 de diciembre de 2014.

001-2015-2-3793

054-2015-2-3793

Auditoria de Cumplimiento a la SUNAT-Proceso de Seguridad del Sistema deRemates de Aduanas de la IntendenciaNacional de Sistemas de Infonmación -Periodo 1 de enero de 2013 al 31 de

, •• ~~ diciembre 2014""'~;iWJ~I'!lSyt.'.:;>;~control l!¡s~1t'iff.•.~

)') /~ f:,~ 'I\}.~~i./r¡" \ \~l~:r .I(~;: ¡¡¡l.~~\ " S"": f!j

'., /'"-. 1 ~<!,~-$'.I"'J"".I,,,! UlI.\\~~ ,,"

001-2015-3793

Auditoria de cumplimiento a la SUNAT -Proceso de seguridad del sistema deinfonmacón general de consultas de laIntendencia Nacional de Sistemas deInfonmación periodo 1 de enero de 2013al 31 de diciembre de 2014.

Adm. 01-2015-SUNA TI1COOOO Rec. n.' 2.

Disponer que la Oficina de Seguridad Infonmáticacoordine con las unidades orgánicas a las que

pertenece el personal del apéndice n.'l, con el fin deque cada colaborador sólo tenga una cuenta activa

para el SIGCO y se individualice la trazabilidad de susaccesos.

Implementada

Página 14 de 25

Superintendencia Nacional de Aduanas y de Administración TributariaÓrgano de Control InstitucionalDivisión de Auditarla de Sistemas Informáticos

ESTADO DE IMPLEMENTACiÓN DE LAS RECOMENDACIONES DEL INFORME DE AUDITORíA ORIENTADAS A LA MEJORA DE LA GESTiÓNDirectiva N" 006-2016-CG/GPROD "Implementación y seguimiento a las recomendaciones de los informes de auditorla y publicación de sus estados

en el Portal de Transparencia de la entidad', y Decreto Supremo N' 070-2013-PCM que modifica el Reglamento de la Ley de Transparenciay Acceso a la Información Pública, aprobado por Decreto Supremo N' 072-2003-PCM





Perlado de SeguimientoDel: 01/07/2016 al 31/12/2016

Informe ",Recomendaei66 " , ,',0", '>

NúmeroTipo de Informe NúmerolnfonneSUNAT ",n:~ ';'", ,

\"" ,', ~8!i¡ -

(Sea. E~ SAGU ' Nombre de Audijoria'-n';'

Texto',', ,;",' > Esta~~,

Disponer que la División de Desarrollo de SistemasTributarios implemente los cambios necesarios en el

Sistema de Información General de Consultas

Auditoria de cumplimiento a la SUNAT - (SIGCO), a fin que: El SIGCO registre todos losProceso de seguridad del sistema de detalles de acceso por tipo de información de los

001-2015-3793informacón general de consultas de la Adm, 01-2015-SUNAT/1 COOOO Rec, n,' 3-

contribuyentes y sean visualizados a través de su En procesoIntendencia Nacional de Sistemas de opción de auditoria denominada 'Seguimiento porInformación periodo 1 de enero de 2013 usuario y Detalle de Acceso por Tipo de Información',al31 de diciembre de 2014, El SIGCO obligue a los usuarios cambiar sus claves

cada seis (6) meses, de acuerdo a lo establecido enel numeral 5,2 del Rubro VIII de la Circular n,' 001-

2012/400000,

Disponer que la Oficina de Seguridad Informática encoordinación con las Divisiones de Desarrollo de

Auditoria de cumplimiento a la SUNAT -Sistemas Tributarios, Anallticos y Administrativos,

Proceso de seguridad del sistema deevalúen ei uso de las cuentas de base de datos

informacón general de consultas de la'SiFA' indicadas en el cuadro n,' 3, con el fin de

001-2015-3793Intendencia Nacional de Sistemas de

Adnt 01-2015-SUNAT/1COOOO Rec, n,' 4, eliminar, mantener o reasignar dichas cuentas, Implementada

Información periodo 1 de enero de 2013Asimismo, a las cuentas que se mantengan para el

al31 de diciembre de 2014personal de las divisiones de desarrollo, se les

restrinja el acceso a la tabla 't2347usuarios", con elfin de prevenir que se conozcan las claves de cuentas

de acceso al SIGCO,

Auditoria de cumplimiento a la SUNAT -Disponer que se implemente un mecanismo para que

Proceso de seguridad del sistema delas tablas "t2342acc', 't2341accinr y

informacón general de consultas de la"t3021sigcoaccpan' de la base de datos 'SIFA' sean

001-2015-3793Intendencia Nacional de Sistemas de

Mm 01-2015-SUNAT/1COOOO Rec, n,' 5, replicadas, con el fin que no se pierdan los registros En proceso

Información periodo 1 de enero de 2013de auditoria del SIGCO posteriores a la última- ejecución de respaldo, en el caso de inoperatividad

MiliUAH4S~~ al 31 de diciembre de 2014,.t:t::i- controlllls,1l?4,_

del servidor que soporta dicha base de datos,

t ~~ n.?:;." 'í'~ '4íA". ~~ ,,~

~~

~ J~E E ~1Que en coordinación con las unidades orgánicas~ ./J.~ ~~,

respectivas efectúe la actualización de la Circular n,'

~;(,/A'J,lrooiJt~"''!'005-2002 'Control y Seguimiento del Acceso al•..•.

Auditarla de cumplimiento a la SUNAT -Sistema Integrado de Fiscalización para Auditores

Proceso de seguridad del sistema de(SIFA)", en relación a la denominación vigente del

informacón general de consultas de lasistema (actualmente Sistema de Información General

001.2015.3793Intendencia Nacional de Sistemas de

Adm, 01-2015-SUNA 111 COOOO Rec. n.' 6. de Consultas) y la de algunas unidades orgánicas que Implementada

Información periodo 1 de enero de 2013conforman actualmente la SUNAT según su

al31 de diciembre de 2014.Reglamento de Organización y Funciones, asi comoen la cantidad de perfiles de usuario contenidos en latabla "p2407perusu' de la base de datos "SI FA', conla finalidad que dicha Circular contemple información

vigente.

Disponer que la División de Desarrollo de Sistemas

Auditoria de cumplimiento a la SUNAT -Tributarios actualice el modelo de base de datos

Proceso de seguridad del sistema de"SIFA" correspondiente al Sistema de Información

informacón general de consultas de laGeneral de Consultas (SIGCO), registrando los diez

001-2015-3793Intendencia Nacional de Sistemas de Adn\' 01.2015-SUNAT/1 COOOO Rec, n,' r (10) campos de las cinco (5) tablas consignadas en el Implementada

Información periodo 1 de enero de 2013cuadro n.' 5 Y adicionando las tablas 'p2346motacc'

al 31 de diciembre de 2014.y 'p2453susacc", con la finalidad que dicho modelosea de utilidad en las operaciones de mantenimiento

del SIGCO,

Página 15 de 25

Superintendencia Nacional de Aduanas y de Administración TributariaOrgano de Control InstitucionalDivisión de Auditarla de Sistemas Infonmáticos

ESTADO DE IMPLEMENTACION DE LAS RECOMENDACIONES DEL INFORME DE AUDITORíA ORIENTADAS A LA MEJORA DE LA GESTIONDirectiva N" 006-2016-CG/GPROD "Implementación y seguimiento a las recomendaciones de los infonmes de auditoria y publicación de sus estados

en el Portal de Transparencia de la entidad", y Decreto Supremo N' 070-2013-PCM que modifica el Reglamento de la Ley de Transparenciay Acceso a la Infonmación Pública, aprobado por Decreto Supremo N' 072-2003-PCM

Nombre de la Entidad. Superintendencia Nacional de Aduanas y deAdministración Tributaria



: Organo de Control Institucional

InfOl11le. ...... ", .., , ...... '.' Racomendaci6n.; ;. .p -":-:;-:;'0>!<f~ ....... .....

NúmeroTipo de Informe

Número Informe SUNAT iy 'n.~.:""...•....••.. ::~:i. '.':i'Texto:~:li... ....3:. . (:;.. .... ....

(SCG. ExSAGUNombre de Audijoria ...... : .... .• ,'Estado

<":1

Auditorla de cumplimiento a la SUNAT -Disponer que la División de Desarrollo de Sistemas

Tributarios actualice el manual del usuario delProceso de seguridad del sistema de Sistema de Infonmación General de Consultas

001-2015-3793infonmacón general de consultas de la Adrn 01-2015-SUNAT/1 COOOO Rec. n.' 8. (SIGCO) emitido en el año 2004 y publicado en la En procesoIntendencia Nacional de Sistemas deInfonmación periodo 1 de enero de 2013

intranet institucional, a fin de contar con el documentoque penmita al usuario utilizar el sistema (SIGCO) de

al31 de diciembre de 2014. fonma correcta.

Se registre en el LDAP la Solicitud de Acceso al

098-2015-2-3793Proceso de seguridad del sistema de Adm. 015-2015-SUNAT/1 COOOO Rec. n.' 3.

Sistema (SAS) de las cuentas que se crean para el En procesoregistro de perfiles de la INTRANET Sistema Intranet, con la finalidad que se sustente el

alta de dichas cuentas.

Se mantenga un registro de la baja de las cuentas delSistema Intranet, asl como de las Solicitudes de

Proceso de seguridad del sistema deAcceso al Sistema (SAS) que sustentan la baja y el

098-2015-2-3793 registro de perfiles de la INTRANETAdm. 015-2015-SUNA T/1COOOO Rec. n.' 4. alta de dichas cuentas, con el fin que se obtenga la En proceso

trazabilidad de las operaciones realizadas en elSistema Intranet, relacionadas a las cuentas que se

ha dado de baja

Al momento de asignar y dar de baja perfiles a unacuenta en la opción administración de menú del

098-2015-2-3793Proceso de seguridad del sistema de Adm. 015-2015-SUNA TI1COOOO Rec. n.' 5.

sistema intranet, se registre la Solicitud de Acceso al En procesoregistro de perfiles de la INTRANET Sistema (SAS) respectiva, con el fin de almacenar el

sustento de dichas operaciones para cuando seanrequeridas.

~Ñ;'~~~,Se almacenen todas las asignaciones de perfil a las

'¡\;;'(.b~~f~~l5\~i\~3Proceso de seguridad del sistema de Mm 015-2015-SUNAT/1 COOOO Rec. n.' 6.

cuentas de intranet, con el fin de obtener la En proceso,.4 ~r¿ca I¡$~'441_ \ registro de perfiles de la INTRANET infonmación de los periodos que un usuario tuvo. ."j" " ~'>:~t\ asignado un detenminado perfil

?[!1.~'O JEF) f:.~1:.:;

(e) ~~ lJ Se efectúe la baja de los perfiles 'SIRH-

.~ ANA_OPERATIVO' Y 'SIRH-ADMIN.ASISTENCIA' a

~ ~•. 098-20 J.~ Proceso de seguridad del sistema de Adm 015-2015-SUNAT/1 COOOO Rec. n.' 7.las cuentas referidas en los cuadros n.' 4 y n.' 5 Implementada

.!~1ViM~.R'J~~~~~\V.' registro de perfiles de la INTRANET respectivamente, con el fin de restringir privilegios deacuerdo a las tunciones actuales que realiza el

personal de dichas cuentas.

e coordine con las unidades orgánicas a las que

098-2015-2-3793Proceso de seguridad del sistema de Adm. 015-2015-SUNAT/1 COOOO Rec. n.' 8.

pertenece el personal comprendido en el Apéndice Implementadaregistro de perfiles de la INTRANET n.' 4, con el fin de que cada colaborador sólo tenga

una cuenta activa del sistema intranet.

Se efectúe la baja de las cuentas del sistema intranet

098-2015-2-3793Proceso de seguridad del sistema de

Adm. 015-2015-SUNAT/1 COOOO Rec. n.' 9.indicadas en el Apéndice n.' 5, asi como a los perfiles Implementada

registro de perfiles de la INTRANET vigentes que tienen asignados dichas cuentas, con elfin de evitar el uso indebido de las mismas.

Se implemente un control que no penmita la

098-2015-2-3793Proceso de seguridad del sistema de Adrn. 015-2015-SUNA TI1COOOO

Rec. n.' asignación de más de una cuenta activa del sistema En procesoregistro de perfiles de la INTRANET 10. intranet para un mismo usuario, con el fin de evitar su

posible uso indebido a través del referido sistema.

Se actualicen los 14 manuales del sistema intranet

098-2015-2-3793Proceso de seguridad del sistema de Adm. 015-2015-SUNA TI1COOOO

Rec. n.' indicados en el cuadro n.' 6, a fin de contar con En procesoregistro de perfiles de la INTRANET 11. documentos que penmitan al usuario utilizar dicho

sistema de fonma correcta.

f

Página 16 de 25


ESTADO DE IMPLEMENTACiÓN DE LAS RECOMENDACIONES DEL INFORME DE AUDITORíA ORIENTADAS A LA MEJORA DE LA GESTiÓNDirectiva W 006-201&-CG/GPROD "Implementación y seguimiento a las recomendaciones de los infonmes de auditoria y publicación de sus estados



Periodo de SeguimientoDel: 01/07/2016 al 3111212016

: Órgano de Control InstitucionalNombre del ÓrganoInformante


Informe

,Nombre

......, '.. Tipo dtlnfonnt

dtAudnorfa

. .•.........

Número Informe SU~T .'...•• ,.n.00'.;:"j.

'''''-KS¡...IOstado

120-2015-2-3793

Infonme de Auditoria de Cumplimiento alprocesos de contratación de solucionesinfonmáticas de la Intendencia Nacionalde Sistemas de Infonmación del 1 deenero 2013 al6 de julio de 2015,

Adm. 22-2015-SUNAT/1 COOOO Rec, n.o 2.

Que a través de la Oficina de Seguridad Infonmáticase realice el seguimiento y conclusión de los

incidentes comentados en el numeral 6,1 del presenteinfonme, a fin de afectar situaciones que podrian

afectar la integridad y disponibilidad de la infonmación,comunicando lo actuado al Órgano de Control

Institucional.

Pendiente

120-2015-2-3793

Infonme de Auditoria de Cumplimiento alprocesos de contratación de solucionesinformáticas de la Intendencia Nacionalde Sistemas de Infonmación del 1 deenero 2013 al 6 de julio de 2015,

Adm 22-2015-SUNAT/1 COOOO Rec. n.o 3.

Actualizar la Circular n.o 39-2005 del 28 de diciembrede 2005, aprobada para "Establecer los lineamientos

y procedimientos para reportar incidentes yvulnerabilidades de seguridad infonmática",

incorporando las nonmas de seguridad relacionadas,plazos de atención de los reportes tanto por parte delas áreas involucradas asi como de la propia Oficinade Seguridad Infonmática, asimismo, se remita al OCIlos reportes de incidentes, en los casos que amerite

una mayor investigación.

Implementada

Infonme de Auditoria de Cumplimiento alprocesos de contratación de soluciones

120-2Q15.2.3Z93 infonmáticas de la Intendencia Nacional.&.í.~\;\lI,~~-,":,,-rt~ d S' t d I f 'ó d I 1 dA~\.t~'(,~""",,,;:,". e IS emas e n ormaCl n e e

~~~oec.cn\ro{/!;.~r~t; ;¡nero 2013 al6 de julio de 2015,

Adin

Que la Oficina de Seguridad Infonmáüca elabore losprocedimientos necesarios para definir las alertas, asl

22-2015-SUNAT/1COOOO Rec. n.o 4. como para la verificación de la infonmación generada Implementadapor la herramienta de monitoreo y auditorla en üempo

real de bases de datos de la insütución

Evaluar la actualización de la confonmación yfunciones de la Comisión Central de Seguridad

Infonmática, a fin de adoptar medidas necesarias para22-2015-SUNATI1COOOO Rec. n.o 5. la definición y aprobación de ias tablas criticas de la Pendiente

SUNAT, para que sean monitoreadas por laherramienta de monitoreo y auditoria en tiempo real

de bases de datos (DAM).

Mm

_4,~¡- ,

.: j¡{fonme de Audltorla de Cumplimiento al<"'~;.,procesos de contratación de soluciones.', infonmáticas de la Intendencia Nacional

de Sistemas de Infonmación del 1 deenero 2013 al 6 de julio de 2015.

I:~'J .I(:~~",!, •.

120-2015-2-3793

Informe de Auditoria de Cumplimiento alprocesos de contratación de solucionesinfonmáticas de la Intendencia Nacionalde Sistemas de Infonmación del 1 deenero 2013 al 6 de julio de 2015,

Adm, 22-2015-SUNA TI1COOOO Rec. n.o 6.

Efectuar hasta su conclusión, el seguimiento de lasacciones implementadas para miügar los riesgos

comunicados en la Orientación de Oficio remitida porel Órgano de Controllnsütucional, medianteMemorándum n.o 559-2015-SUNAT/1COOOO.

Implementada

125-2015-2-3793Proceso de Contratación del Servicio deFábrica de Software - Componente dedesarrollo de sistemas

Adm, 28-2015-SUNAT/1COOOO Rec. n.o 9.

Se implemente un registro consolidado de las horashombre uülizadas, en proceso y planificadas porrequerimiento y componente de los servicios de

Fábrica de Software que contrate la SUNAT, a fin decontar con la infonmación del alcance ejecutado a una

fecha detenminada.

En proceso

125-2015-2-3793Proceso de Contratación del Servicio deFábrica de Software - Componente dedesarrollo de sistemas

Mm 28-2015-SUNAT/1 COOOO Rec. n.o 2.

Se efectúe el cálculo de los indicadores de metas yniveles de servicio del Componente de Gestión deIncidentes y su correspondiente afectación a laspenalidades desde julio de 2014, emiüendo un

infonme con copia al Órgano de Controllnsütucional,en el cual se detalle los valores por cada indicador asi

como la fonma de cálculo y las herramientasfonmalmente establecidas, utilizadas para cada uno

de ellos.

Implementada

Página 17 de 25


ESTADO DE IMPLEMENTACiÓN DE LAS RECOMENDACIONES DEL INFORME DE AUDITORIA ORIENTADAS A LA MEJORA DE LA GESTiÓNDirectiva N" 006-2016-CG/GPROD "Implementación y seguimiento a ias recomendaciones de los informes de auditorla y publicación de sus estados





: Órgano de Controllnstilucional



Informe

NOmbre

TipO de InformedeAuditoria Número Informe SUNAT

n••

125-2015-2-3793Proceso de Contratación dei Servicio deFábrica de Software - Componente dedesarrollo de sistemas

28-2015-SUNAT/l COOOO Rec. n.' 1.

Que se eiabore un procedimiento para la contrataciónde servicios de tercerización de software poractividades independientes (análisis, diseño,

desarrollo, mantenimiento o gestión de incidentes) oagrupadas, como es el caso de Fábricas de Software,

en el cual minimamente deberá considerarse iosiguiente: El desarrollo de un estudio de factibilidad

con el correspondiente costo beneficio, Laidentificación de las áreas usuarias, El

dimensionamiento del servicio considerandoproyecciones futuras de las áreas usuarias. Linea

base de requerimientos funcionales y no funcionalesa ser atendidos por cada necesidad de las áreas

usuaria identificadas.

En proceso

078-2016-2-3793 .Adm 05-2016-SUNA T/1COOOO

Disponga que se elabore y se haga de conocimientode todo el personal de la INSI, un procedimiento que

establezca que los protocolos de verificación ypruebas contengan todos los términos de referencia y

caracteristicas técnicas minimas y adicionalesrequeridas en las bases de los procesos de

contratación de bienes y servicios informáticos, asiRec. n.' 1. como de lo ofertado por el contratista en su propuesta Implementada

técnica; y que los documentos resultantes de laaplicación de dichos protocolos (actas, entre otros),detallen la actividades llevadas a cabo para verificarsu cumplimiento por parte del contratista; con lafinalidad de asegurar que se ha validado el

cumplimiento de todas las caracteristicas técnicasrequeridas y ofertadas.

078-2016-2-3793Auditoria de Cumplimiento a la SUNAT -Alquiler de equipos de Computo

Adm

Disponga que se implemente un procedimiento paracontar con un inventario actualizado de las

computadoras alquiladas, el cual sea de conocimientode todas las áreas involucradas (entre ellas INSI y lasOSAS), que contemple las actividades de asignacióny reasignación de equipos a nivel nacional asi comoel reemplazo de equipos, el cual deberá contar como

05-2016-SUNAT/1COOOO Rec. n.' 2. mlnimo con los siguientes datos: Usuario del equipo(registro, nombres y apellidos), Número de serie,Sede (ubicación fisica), Contratista, Proceso de

selección y Fecha de vencimiento del contrato; con lafinalidad de tener conocimiento de la situación real de

los equipos de cómputo alquiladas, y que dichainformación sirva para definir la necesidad real para

futuras contrataciones.

Página 18 de 25

En proceso

Superintendencia Nacionai de Aduanas y de Administración TributariaÓrgano de Control InstitucionalDivisión de Auditoria de Sistemas informáticos

ESTADO DE IMPLEMENTACiÓN DE LAS RECOMENDACIONES DEL INFORME DE AUDITORíA ORIENTADAS A LA MEJORA DE LA GESTiÓNDirectiva W 006-2016-CG/GPROD "Implementación y seguimiento a las recomendaciones de los informes de auditoria y publicación de sus estados

en el Portal de Transparencia de la entidad", y Decreto Supremo W 07Q-2013-PCM que modifica el Reglamento de la Ley de Transparenciay Acceso a la Información Pública, aprobado por Decreto Supremo W 072-2003-PCM




: Órgano de Controi Institucional

Periodo de SeguimientoDel: 01107/2016 ai 31/12/2016


Infoone

Nombré

078-2016-2-3793

078-2016-2-3793

078-2016-2-3793

Auditoria de Cumplimiento a la SUNAT -Alquiler de equipos de Computo



Adm.

Adm.

Adl11

05-201 6-SUNAT /1COOOO



Rec. n.o 3.

Rec. n.o 4.

Rec. n.o 5.

Disponga que la Gerencia de Operaciones y Soportea Usuarios implemente un procedimiento para lageneración de imágenes utilizadas para clonar

equipos de cómputo (computadoras personales deescritorio y portátiles), en el cual se detalle entreotros, los siguientes aspectos: Asignación de

responsabilidades, Configuración mlnima requerida(entre ellos: Librerlas, PATH, ODBC l, Detalle deactividades a realizar, Plan de pruebas, participaciónde las áreas competentes de INSI y áreas usuarias,asi como Documentación de las pruebas realizadas;

con la finalidad de minimizar los errores en lageneración de imágenes.

Disponga la elaboración de un procedimiento a seguirpara toda migración de aplicativos el cual contemple,como minimo, el establecimiento de cronogramas,objetivos, alcance, responsabilidad de las áreas

involucradas, definición de los recursos necesarios,entregables; con la finalidad de asegurar su

culminación en los plazos establecidos para losentregables definidos. Dicho procedimiento debe serde conocimiento de las divisiones dependientes de la

Gerencia de Desarrollo de Sistemas.

Disponga la modificación de la Norma para la Gestióny Ejecución de Contratos, a fin de precisar que laopinión sustentada del área usuaria para otorgar odenegar una ampliación de plazo solicitada por elcontratista en los procesos relacionados a bienes oservicios informáticos contemple un informe técnicodetallado de los motivos por los cuales se deberiaotorgar o denegar dicha ampliación, con la finalidadde evitar que se otorguen ampliaciones injustificadas

favoreciendo al contratista, debiendo dichosdocumentos incorporarse de manera obligatoria al

expediente de contratación.

Implementada

Implementada

Implementada

115-2016-2-3793Adquisición e Implementación de laSolución de Business Intelligence paraUsuarios Analíticos.

Mm 013-2016-SUNA TI1 COOO

Página 19 de 25

Disponer el inicio de las acciones administrativas parael deslinde de responsabilidades de los funcionarios y

servidores de la Superintendencia Nacional deRec. n.o 1. Aduanas y de Administración Tributaria comprendidos

en las observaciones n.o 1 y n.o 2, teniendo enconsideración que su inconducta funcional no seencuentra a la potestad sancionadora de la

Contraloria General de la República.

En proceso


ESTADO DE IMPLEMENTACiÓN DE LAS RECOMENDACIONES DEL INFORME DE AUDITORíA ORIENTADAS A LA MEJORA DE LA GESTiÓNDirectiva N" 006-2016-CG/GPROD 'Implementación y seguimiento a las recomendaciones de los informes de auditoria y publicación de sus estados

en el Portal de Transparencia de la entidad', y Decreto Supremo N' 070-2013-PCM que modifica el Reglamento de la Ley de Transparenciay Acceso a la Información Pública, aprobado por Decreto Supremo N" 072-2003-PCM







Informe

Nombre C

Tipo de InfQrmede Auditorta

'C

Número Informe SUNAT

Reeomehdacl6n "'. .,'c":C:Jexto

".', ".<J¡:,.....' ..

115-2016-2-3793Adquisición e Implementación de laSolución de Business Intelligence paraUsuarios Analiticos,

Adm, 013-2016-SUNA T/1COOO Rec, n.o 2,

Disponga la definición del tiempo de respuestamáXimo para la atención de una averla o defecto desoftware y el cálculo del UPTIME mensual del Soporte

Técnico al Software de Análisis de Informacióndefinido en la Especificaciones Técnicas de la LPN'28-2014-SUNAT/8B1200, desde setiembre de

2015 hasta el término del contrato, y sucorrespondiente afectación a las penalidades

emitiendo un informe con copia a este OCI en el cualse detalle los valores de UPTIME mensual.

En proceso

115-2016-2-3793Adquisición e Implementación de laSolución de Business Intelligence paraUsuarios Analiticos,

Adm, 013-2016-SUNA T/1COOO

Disponer, a quien corresponda, la elaboración de unprocedimiento aplicable cada vez que se incluyan

Planes de Capacitación como parte de las soluciones,herramientas informáticas y/o software a adquirir enlos procesos de selección, se especifique, entre otros,los siguientes aspectos: Sustento de la inclusión decursosftemas de niveles técnicos que involucre al

personal de las dependencias de la INSI relacionadosa la Administración, configuración, seguridad y

Operación de las soluciones, herramienta y/o softwarey los temas a tratar. Especificar cantidad de horas

minimas por cursoftema de nivelestécnicosDependencias de la INSI a ser capacitadas

Rec, n,' 3. (indicando número de personal por dependencia).Sustento de la inclusión de cursos a nivel de usuariorelacionados al uso de las facilidades y opciones yfacilidades de la solución, herramienta y/o software.Especificar cantidad de horas minimas por cursoftema

a nivel de usuario. Dependencias usuarias a sercapacitadas (indicando número de personal pordependencia). Sustento de la conveniencia de

obtener Certificaciones relacionadas para el personalde la Institución. Perfil profesional, certificaciones yexperiencia requerido para el dictado de los cursospor parte de los capacitado res. Materiales didácticosrequeridos, entre otros aspectos que se consideren

necesarios.

En proceso

115-2016-2-3793

115-2016-2-3793

Adquisición e Implementación de laSolución de Business Intelligence paraUsuarios Analiticos.

Adquisición e Implementación de laSolución de Business Intelligence paraUsuarios Analiticos.

Adm

Adm

Evaluar la conveniencia de incluir en el Plan deCapacitación de Usuarios Bllos cursos relacionadosal tema 'BI Móvil' establecido en las bases integradas

013-2016-SUNAT/1COOO Rec. n.o 4. y que como resultado de la referida evaluación, se Implementadaelabore un informe resultante con las acciones aadoptar referidos a la inclusión o no inclusión del

referido tema.

Se instruya a los colaboradores de la IntendenciaNacional de Sistemas de Información (INSI)responsables de la revisión y otorgamiento de

conformidad de las prestaciones contratadas comoárea usuaria, sobre las normas vigentes para la

013-2016-SUNAT/1COOO Rec. n.o 5. gestión y ejecución de contratos en la SUNAT, asl Implementadacomo del cumplimiento de plazos establecidos en lascláusulas contractuales y bases administrativas de losprocesos de contratación de los que son parte, a fin

de no afectar los plazos de las prestaciones acontratar.

Página 20 de 25


ESTADO DE IMPLEMENTACiÓN DE LAS RECOMENDACIONES DEL INFORME DE AUDITORíA ORIENTADAS A LA MEJORA DE LA GESTiÓNDirectiva N' 006-2016-CG/GPROD "Implementación y seguimiento a las recomendaciones de los infonmes de auditoria y publicación de sus estados

en el Portal de Transparencia de la entidad", y Decreto Supremo N' 07Q-2013-PCM que modifica ei Reglamento de la Ley de Transparenciay Acceso a la Infonmación Pública, aprobado por Decreto Supremo N' 072-2003-PCM






Informe . .'. ........ .... 0~ecome!\<taci6n • ',". . ••. '.¡. . C10;

NúmeroTipo de Informe Número Informe'SUNAl " '.

.'~~l"""....... .:... o',Ú ':.'¿'j:)

(SCG. Ex SAGUNombre de Auditorla n,.

"j:)... y .'J;•.

Recordar a los gerentes y jefes de División de la INSI

Adquisición e Implementación de lael monitoreo que deben realizar sobre el

115-2016-2-3793 Solución de Business Intelligence para Adm 013-2016-SUNAT/1 COOO Rec. n.' 6.cumplimiento y aplicación de la nonmativa interna Implementada

Usuarios Analiticos.aplicable a los procesos que realizan, incidiendo en

los procesos de revisión de las prestacionescontratadas y otorgamiento de confonmidades.

A través de la Gerencia de Operaciones y Soporte aUsuarios (en cumplimiento del Procedimiento para la

elaboración, remisión y gestión de los Pases aProducción de equipos y/o servicios de InfraestructuraTecnológica apoyados en las funcionalidades delSistema Gestor de Servicios INSI - SIGESI), se

disponga lo siguiente: a)EI registro en el SIGESI delos Pases a Producción de los 3 servidores virtuales

BIPMIRSVC01, CI-0050056975360 y SV.POLICYSERVER de la Solución de Business

Adquisición e Implementación de laIntelligence. b) El registro de la dirección IP y DNS

115-2016-2-3793 Solución de Business Intelligence para Adm 013-2016-SUNA T/1COOO Rec. n.' 7.Name en los Pases a Producción del SIGESI para los En proceso

Usuarios Analiticos.9 servidores virtuales BIQMIRSV01, BIDMIRSV01,

BIQMIRSV03, BIQMIRSV04, BIDMIRSV02,BIQMIRSV02, BIPMIRSV02, BIPMIRSV09 y

BIPMIRSV01 de la Solución de Business Intelligence.

1J~i;; c) El registro actualizado de las direcciones IP yservidores virtuales configurados consignados en los

~\J.~~t~eo".'r...1l!]¿.J'¡;;~~::~.~~\

Pases a Producción del SIGESI de los 3 servidores~ o •••.,,~. fisicos BIPMIRSF01, BIPMIRSF03 y BIPMIRSF02 de

11.1 JE) ~~Jla Solución de Business Intelligence, evitando el uso

\~ (a) ""1de los Pases a Producción fisicos a fin de contar con

fü el SIGESI como única fuente de todo pase a

~ "'; producción para la referida Solución de BI.

''V'¡>c<" ~S'.

~~l<>' "

Disponer que la Intendencia Nacional deAdministración, que a través de unidades orgánicas a

su cargo, efectúen las acciones necesarias quegaranticen que los bienes entregados en mérito a la

153-2016-2-3793Provisión e instalación de acumuladores

ejecución contractual de la LP n.' 39-2015-

de energia equipos UPS para la SUNAT!.••drn 28-2016-SUNAT/1COOOO Rec. n.'1. SUNAT/8B120Q-1 "Provisión e instalación de Pendiente

acumuladores de energia - equipos UPS",correspondan a los equipos ofertados tanto en

cantidad como en calidad, debiendo pronunciarsesobre dicho cumplimiento, e infonmar a las unidades

competentes.

Disponer que la Intendencia Nacional de RecursosHumanos evalúe el accionar de los funcionarios

comprendidos en el otorgamiento de la confonmidad

Provisión e instalación de acumuladoresque fuera declara nulo de oficio mediante Resolución

153-2016-2-3793 de energia equipos UPS para la SUNATMm 28-2016-SUNA TI1COOOO Rec. n.' 2.

de Gerencia n.' 12-2016/SUNAT/8B5000 de 7 de Pendientediciembre de 2016 emitida por la Gerencia deInfraestructura y Proyectos de Inversión de la

Intendencia Nacional de Administración, en aplicacióndel numeral 11.3 del articulo 11' de la Ley n.' 27444-

Ley del Procedimiento Administrativo General.

Página 21 de 25

Superintendencia Nacional de Aduanas y de Administraci6n TributariaOrgano de Control InstitucionalDivisi6n de Auditoria de Sistemas Infonnáticos

ESTADO DE IMPLEMENTACiÓN DE LAS RECOMENDACIONES DEL INFORME DE AUDITORíA ORIENTADAS A LA MEJORA DE LA GESTiÓNDirectiva W 006-2016-CG/GPROD "Implementaci6n y seguimiento a las recomendaciones de los infonnes de auditoria y publicaci6n de sus estados

en el Portal de Transparencia de la entidad", y Decreto Supremo N' 070-2013-PCM que modifica el Reglamento de la ley de Transparenciay Acceso a la Infonnaci6n Pública, aprobado por Decreto Supremo N' 072-2003-PCM



Número .(SCG. Ex SAGU

153-2016-2-3793

. Superintendencia Nacional de Aduanas y deAdministraci6n Tributaria

: Organo de Control Institucional

TipO de Infóm\Q~Audito"

Provisi6n e instalaci6n de acumuladoresde energia equipos UPS para la SUNAT

28-2016-SUNAT/1 COOOO Rec. n.' 3.


Disponer el inicio de las acciones legales contra laempresa VAlTOM INGENIEROS SAC por las

irregularidades identificadas durante la ejecuci6n delcontrato derivado de la lP n.' 39-2015-

SUNA T/8B120Q-1 "Provisi6n e instalaci6n deacumuladores de energia - equipos UPS, en mérito a

los incumplimientos contractuales detectados;debiendo poner de conocimiento al OrganismoSupervisor de las Contrataciones del Estado laspresuntas infracciones incurridas por el contratista

VAlTOM INGENIEROS S.A.C dentro del marco de laley de Contrataciones del Estado.

Pendiente

153-2016-2-3793

153-2016-2-3793

153-2016-2-3793

153-2016-2-3793




Provisi6n e instalaci6n de acumuladoresde ener9ia equipos UPS para la SUNAT

Adm.'

Adm.

Adm


28-2016-SUNA T/1 COOOO



Página 22 de 25

Rec. n.' 4.

Rec. n.' 5.

Rec. n.' 6.

Rec. n.' 7.

Disponga a la Gerencia de Infraestructura y Proyectosde Inversi6n adopte las acciones necesarias conrespecto a los sistemas de aire acondicionado quegaranticen el buen funcionamiento de los equiposadquiridos en el marco de la lP n.' 39-2015-

SUNAT/8B1200 ubicados en el Complejo FronterizoSanta Rosa - Tacna (CFSR).

Disponga a la Gerencia de Infraestructura y Proyectosde Inversi6n adopte las acciones necesarias conrespecto a los sistemas de aire acondicionado quegaranticen el buen funcionamiento de los equiposadquiridos en el marco de la lP n.' 39-2015-

SUNA T/8B1200 ubicados en el Complejo de ControlAduanero Tomasiri.

Disponga la inclusi6n, modificaci6n y/o actualizaci6nde la nonnativa actual, con respecto al sustento delrequerimiento de la necesidad el cual deberá incluir

en el caso de reemplazo de equiposelectromecánicos, el sustento documentario de

reemplazo de equipos por cumplimiento de la vidaútil, siendo que en los casos de reemplazo de equipospor mayor potencia, incremento de carga o modernatecnologia deberá sustentarse en un lnfonne Técnicoque refleje el análisis realizado por el área usuaria.

Asimismo se meritúe la contrataci6n de unespecialista que compruebe que el requerimiento

fonnulado por el área usuaria para la contrataci6n dela lP n.' 39-2015-SUNAT/8B120Q-1 "Provisi6n einstalaci6n de acumuladores de energia - equiposUPS, se ajustó a las necesidades institucionales

descartando un posible sobredimensionamiento de lanecesidad.

Disponga a través de la Gerencia Administrativa y susunidades orgánicas dependientes la evaluaci6n delos requerimientos de bienes o servicios a efectos degarantizar la adecuada programaci6n y oportunasatisfacci6n de las necesidades fonnuladas por las

Áreas Usuarias de la SUNAT.

Pendiente

Pendiente

Pendiente

Pendiente


ESTADO DE IMPLEMENTACiÓN DE LAS RECOMENDACIONES DEL INFORME DE AUDITORíA ORIENTADAS A LA MEJORA DE LA GESTtÓNDirectiva W 006-2016-CG/GPROD "Implementación y seguimiento a las recomendaciones de los infonmes de auditoría y publicación de sus estados







Infonme : . ,.", ....,,""", . X>' ". RllliCllllendaill6n .'S; ." . ,..

Número'W Tipo de Informe

Número Infonme SUNAT n.' ,,.,, .. Z,." ..•. "l¡~ ,.",~,,,'Nombre 4e Auditorla' Estado

(SCG. Ex SAGO '.'

. ",.;, ........ .;

Disponer que el Comité de Gestión de la Seguridadde la Infonmación, en aras de cumplir con la

implementación del Sistema de Gestión de Seguridadde Infonmación - SGSI dentro del plazo que dispone la

131-2016-2-3793Servicio de Consultoria sobre temas Adm 2Q-2016-SUNA T/1COOOO Rec. n.'1.

Resolución Ministerial n.' 004-2016-PCM, ejerza las Pendienteinfonmáticos funciones de supervisión encargadas mediante la

Resolución de Superintendencia n.' 173-2016-SUNAT y cautele el cumplimiento de la presentacióndel cronograma asi como de la implementación del

SGSI.

Disponer la designación de un funcionario comoOficial de Seguridad de la Infonmación de la SUNAT,

Servicio de Consultoria sobre temasdistinto al Jefe de la Oficina de Seguridad Infonmática

131-2016-2-3793 Adm 20-2016-SUNA TI1COOOO Rec. n.' 2. de la Intendencia Nacional de Sistemas de Pendienteinfonmáticos Infonmación, tomando en consideración la

segregación de funciones establecidas para amboscasos.

Evaluar la implementación de un procedimiento parael seguimiento y monitoreo centralizado de las

Servicio de Consultoria sobre temasrecomendaciones de infonmes de consultorias

131-2016-2-3793 infonmáticosAdm. 20-2016-SUNAT/1COOOO Rec. n.' 3. infonmáticas resultantes de procesos de selección Pendiente

-- requeridos por la INSI, a fin de cautelar que existan

.' \¡'tJ,\lUAN4S ~ .. recomendaciones que de no implementarse, puedan,,(.~~controlll¡s'-/t ,:-. afectar la seguridad de la infonmación.

," .;;'t"o'bt¿ b,:.~''v'\hfl ~ ~'~'\" ' ••.- <,.; ..\2,:~

1.¥1, J(~ JI\l ~ jj Establecer las medidas de control que corresponda,

'~I ,~~Y para que las unidades orgánicas a su cargo, que

'~4%¡.';f()R'Jl1\"i)~~. Servicio de Consultoria sobre temasrealicen gestión técnica de los contratos adjudicados

131-201i2'37lf.l infonmáticosr-\dm 2o-2016-SUNAT/1 COOOO Rec. n.' 4. en el ámbito de su competencia, cumplan los plazos Pendiente

establecidos en la nonmativa de contrataciones,respecto al otorgamiento de las confonmidades a los

entregables presentados por los contratistas.

Disponer que las unidades orgánicas a su cargo, queparticipan de la gestión técnica de los contratos

adjudicados en el ámbito de su competencia, precisen

131-2016-2-3793Servicio de Consultoria sobre temas ¡',dm 2Q-2016-SUNAT/1 COOOO Rec. n.' 5.

y evidencien en los infonmes técnicos que emiten Pendienteinfonmáticos para la confonmidad del área usuaria, la recepción y

verificación de todos los entregables contratados,según lo establecido en las bases administrativas y

contratos de cada proceso de contratación.

Exhortar al personal que participa en la elaboraciónde los ténminos de referencial especificacionestécnicas, la obligación de efectuar una adecuada

evaluación de calidad, toda vez que estos

131-2016-2-3793Servicio de Consultoria sobre temas

;\dm 2o-2016-SUNAT/1 COOOO Rec. n.' 6.documentos al ser incluidas en las bases guiará el Pendiente

informáticos comportamiento de todos los intervinientes (directos oindirectos) en el procedimiento de contratación, y suelaboración adquiere especial relevancia; pues en laclaridad, precisión y objetividad de sus disposiciones,recaerá buena parte del éxito de la contratación.

Página 23 de 25


ESTADO DE IMPLEMENTACiÓN DE LAS RECOMENDACIONES DEL INFORME DE AUDITORíA ORIENTADAS A LA MEJORA DE LA GESTiÓNDirectiva W 006-2016-CG/GPROD "Implementación y seguimiento a las recomendaciones de los infonmes de auditoria y publicación de sus estados

en el Portal de Transparencia de la entidad", y Decreto Supremo W 07D-2013-PCM que modifica el Reglamento de la Ley de Transparenciay Acceso a la Infonmación Pública, aprobado por Decreto Supremo W 072-2003-PCM



Número(SCG.Ex $AGU



~' f ~fTIpo de Infonne n¿mero 1IIt'..°orme.' SUMATcltAuIlitoli1i . .


131-2016-2-3793

131-2016-2-3793

131-2016-2-3793

131-2016-2-3793

Servicio de Consultoria sobre temasinfonmáticos


Servicio de Consultoria sobre temasintonmáticos


Adm

Mm

Adm

Adm.

20-2016-SUNA TI1 COOOO



2D-2016-SUNA TI1COOOO

Págína 24 de 25

Exhortar a los colaboradores que participan en elproceso de verificación y emisión de confonmidad delos entregables y/o prestaciones de los procesos deselección, tengan en cuenta la remisión de las actas

Rec. n.' 7. de observaciones y de subsanación de las mismas,se9ún los plazos establecidos en la nonmativa

correspondiente y la revisión del cumplimiento de losaspectos fonmales de presentación de los entregables

según las bases administrativas.

A través de la Oficina de Seguridad Infonmática,realizar la evaluación técnica de la infraestructura

tecnológica proporcionada por terceros y sus posiblesriesgos, vinculados a la escalabilidad de las

transacciones de SUNAT; asi como del crecimientode las bases de datos de la aplicación INMUNO

SUITE ; y de ser el caso, delegar a quien correspondala implementación de medidas que penmitan gestionarel riesgo de afectación a la continuidad operativa

Rec. n" 8. vinculadas a las limitaciones de uso de memoria ycapacidad de almacenamiento de su motor de basesde datos. Asimismo, realizar la evaluación del riesgode continuidad operativa vinculado a la competenciade recursos entre los servidores de bases de datos,web y el sistema operativo del "ServidorSGSI" y encoordinación con la dependencia respectiva de laINSI, implemente el pase a producción de hardwaredel equipo "ServidorSGSI" incluyendo la política de

generación de respaldos.

Disponer que la Jefatura de la División de EjecuciónContractual comunique a su personal la oblígación de

evaluar previamente la partida electrónica de lasempresas contratistas asi como sus escrituras

públicas, cuando dichas empresas hayan optado pormodalidades de reorganización societaria; y contrastecon la relación de proveedores sancionados por elTribunal de Contrataciones del Estado con sanciónvigente, para identificar que sociedades absorbentes

de otra(s) sancionada(s) participen de lascontrataciones con la entidad.

Disponer que la Jefatura de la División de EjecuciónContractual recuerde al personal encargado de lagestión de los contratos suscritos con la Entidad, al

estricto cumplimiento de la nonmativa internadebiendo establecer medidas de control quegaranticen el efectivo cumplimiento de las

prestaciones contratadas, justificando para casossimilares al descrito, el costo beneficio de mantener

vigente el vinculo contractual.

Pendiente

Pendiente

Pendiente

Pendiente


ESTADO DE IMPLEMENTACiÓN DE LAS RECOMENDACIONES DEL INFORME DE AUDITORíA ORIENTADAS A LA MEJORA DE LA GESTIÓNDirectiva N° 006-2016-CG/GPROD "Implementación y seguimiento a las recomendaciones de los infonmes de auditoria y publicación de sus estados

en el Portal de Transparencia de la entidad", y Decreto Supremo N° 07Q-2013-PCM que modifica el Reglamento de la Ley de Transparenciay Acceso a la Infonmación Pública, aprobado por Decreto Supremo N° 072-2003-PCM


Nombre del ÓrganoIn!onmante


: Órgano de Controllnstilucional



131-2016-2-3793Servicio de Consultoria sobre temasinfonmáticos

Adm. 20-201 I>-SUNATI1 cooao

Página 25 de 25

Rec. n.O11.

A través de la Gerencia Administrativa, exhortar alpersonal que participa en la elaboración de las bases,la obligación de efectuar un adecuado control de

calidad toda vez que las bases administrativas son eldocumento que guiará el comportamiento de todos

los in!ervinientes (directos o indirectos) en elprocedimiento de contratación, y su elaboraciónadquiere especial relevancia; pues en la claridad,

precisión y objetividad de sus disposiciones, recaerábuena parte del éxito de la contratación.

Pendiente

c. :~>materia delpresente Examen. Enproceso Implementada Implementada Enproceso Implementada....

Documents

Transcript of c. :~>materia delpresente Examen. Enproceso Implementada Implementada Enproceso Implementada....