1 LA GESTIÓN DE RIESGOS EN LA AEAT ANTECEDENTESAgencia Tributaria LA GESTIÓN DE RIESGOS EN LA AEAT ANTECEDENTES

2 LA GESTIÓN DE RIESGOS EN LA A.E.A.T.:Agencia Tributaria LA GESTIÓN DE RIESGOS EN LA A.E.A.T.: ANTECEDENTES Desde su creación, la A.E.A.T. ha incorporado a su estructura y actividad instrumentos de gestión de riesgos. Nacieron sin la existencia de una planificación global institucional de lo que debe ser un sistema integral de gestión de riesgos. Algunos de ellos se crearon con ocasión de la materialización de riesgos de gran trascendencia (por ejemplo, las Comisiones de Seguridad y Control). Desde dispone de Mapa de Riesgos.

3 CONTROLES INTEGRADOS EN LA GESTIÓNAgencia Tributaria CONTROLES INTEGRADOS EN LA GESTIÓN Utilización de manuales de procedimiento estandarizado. Gestión informatizada de los procedimientos. Fijación de acciones obligatorias en los procedimientos tributarios y aduaneros (sistemas de filtros). Alarmas automáticas en los procedimientos de gestión. Sistemas de autorizaciones múltiples. Registro automático de todas las consultas y decisiones adoptadas en el sistema de información. Aplicaciones informáticas específicas. Aplicación Controla. Zújares de tiempos de tramitación.

4 INSTRUMENTOS PLAN DE SEGURIDAD Y RIESGOS DE LA A.E.A.T.Agencia Tributaria INSTRUMENTOS PLAN DE SEGURIDAD Y RIESGOS DE LA A.E.A.T. PLANES ANUALES COMISIONES SECTORIALES SEGURIDAD Y CONTROL PLAN DE ACTUACIONES DEL S.A.I. INSTRUCCIÓN DE CONTROL DIRECTIVO MAPA DE RIESGOS

5 PLANES DE SEGURIDAD Surgen a propuesta del Plan de Modernización de la A.E.A.T. Sirven de enlace y articulación de los Planes Anuales de las Comisiones Sectoriales de Seguridad y Control 1º PLAN: 1999–2001 2º PLAN: PLANES POSTERIORES: MAPAS DE RIESGOS DE LA A.E.A.T.

6 PLAN DE SEGURIDAD Son medidas que, por su carácter horizontal o por su trascendencia, se considera prioritario su tratamiento. El S.A.I. elabora el proyecto que aprueba la Dirección de la A.E.A.T. La mayoría de las medidas son desarrolladas por las Comisiones de Seguridad y el resto por los Departamentos y el S.A.I.

7 INSTRUCCIÓN 4/2002 DE CONTROL DIRECTIVOINSTRUMENTO DE GESTIÓN DE RIESGOS diseñado específicamente para el control de riesgos por la Dirección de la organización en todos los niveles, tanto centrales como territoriales. DEFINE ÁREAS Y PUNTOS CRÍTICOS DE CONTROL . Se fijan los RESPONSABLES de la supervisión y la PERIODICIDAD de los controles a nivel territorial y central. Se exige el análisis y evaluación de las CAUSAS y de los resultados. Se establecen ACCIONES INMEDIATAS para la resolución de los problemas detectados, la consolidación y extensión de las mejores prácticas.

8 COMISIONES DE SEGURIDAD Y CONTROLLa AEAT dispone desde 1998 (Resolución de 26/01/1998 de la Presidencia de la AEAT; BOE de 05/02/1998) de Comisiones de Seguridad y Control: una general para el conjunto de la AEAT y varias sectoriales con competencias en las diferentes áreas funcionales : Gestión Tributaria. Recaudación. Aduanas, Impuestos Especiales y Vigilancia Aduanera. Inspección Financiera y Tributaria. Seguridad General y Gestión Económica. Informática Tributaria. La Resolución citada regula la composición de las Comisiones y su funcionamiento.

9 COMISIONES SECTORIALES DE SEGURIDAD Y CONTROLDirector del Departamento correspondiente PRESIDENTE Un Inspector de los Servicios del S.A.I. VICEPRESIDENTE Un funcionario del Departamento correspondiente, Un representante del Departamento de Informática Tributaria Dos representantes de los Servicios territoriales. VOCALES Un funcionario del Departamento correspondiente SECRETARIO

10 COMISIONES SECTORIALES DE SEGURIDAD Y CONTROL: FUNCIONESDetectar e inventariar las áreas y puntos de riesgo más relevantes en su ámbito. Analizar y evaluar, para cada una de las áreas de riesgo delimitadas, las deficiencias y debilidades de control existentes. Acordar y hacer operativas medidas encaminadas a corregir las deficiencias observadas y a reforzar los sistemas de control y seguridad. Elaborar, en su caso, las propuestas de normas e instrucciones que requiera la ejecución de las medidas acordadas. Elevar informe a la Comisión de Seguridad y Control de los riesgos, propuestas y medidas adoptadas.

11 PROBLEMÁTICA Dispersión de instrumentos y planes.Posible solapamiento de los riesgos tratados. Posibles ausencias de control en algunos riesgos. Falta de evaluación de su criticidad. Falta de método en su detección y gestión. COSO II MAPA DE RIESGOS

12 LA GESTIÓN DE RIESGOS EN LA AEAT METODOLOGÍAAgencia Tributaria LA GESTIÓN DE RIESGOS EN LA AEAT METODOLOGÍA

13 EVOLUCIÓN DEL CONTROL INTERNO HACIA LA GESTIÓN DE RIESGOSEL CONTROL INTERNO ES UN ELEMENTO ESENCIAL E IRRENUNCIABLE EN LA GESTIÓN DE LAS ORGANIZACIONES, INCLUIDAS LAS PÚBLICAS. FORMA PARTE DE LA MISMA. LA FORMA DE EFECTUAR ESE CONTROL HA IDO EVOLUCIONANDO CON EL TIEMPO Y DEPENDE DEL TIPO DE ORGANIZACIÓN A LA QUE SE APLIQUE.

14 EVOLUCIÓN DEL CONTROL INTERNO HACIA LA GESTIÓN DE RIESGOSESCÁNDALOS MERCANTILES FALLOS DE CONTROL PÉRDIDA DE CONFIANZA CAMBIOS EN EL CONTROL DE LA GESTIÓN DEMANDA MEJORES SERVICIOS PÚBLICOS REQUERIMIENTO DE MAYOR TRANSPARENCIA SATISFACCIÓN DEL CIUDADANO

15 EVOLUCIÓN DEL CONTROL INTERNO HACIA LA GESTIÓN DE RIESGOSSURGE LA GESTIÓN DE RIESGOS COMO UNA GESTIÓN PROACTIVA, ANTICIPATORIA, QUE TRATA DE AYUDAR AL GESTOR EN SU TOMA DE DECISIONES, TRATANDO EFICAZMENTE LA INCERTIDUMBRE, MINIMIZANDO LOS RIESGOS INHERENTES A DICHA GESTIÓN QUE PUEDAN AFECTAR A LA CONSECUCIÓN DE SUS OBJETIVOS.

16 CONCEPTO DE GESTIÓN DE RIESGOPROCESO EFECTUADO POR LA DIRECCIÓN Y EL CONJUNTO DEL PERSONAL DE LA AEAT. INTEGRADO DENTRO DE LA ESTRATEGIA DE LA ORGANIZACIÓN. DISEÑADO PARA PRIMERO IDENTIFICAR, DESPUÉS EVALUAR Y MAS TARDE CONTROLAR ACONTECIMIENTOS O SITUACIONES POTENCIALES DE RIESGO. SU FIN ES PROPORCIONAR UN ASEGURAMIENTO RAZONABLE RESPECTO AL ALCANCE DE LOS OBJETIVOS Y METAS DE LA INSTITUCIÓN.

17 PROCESO DE IMPLANTACIÓN DE UN SISTEMA DE GESTIÓN DE RIESGOS EN LA ADMÓN TRIBUTARIA.ETAPAS FUNDAMENTALES APOYO DE LA ALTA DIRECCIÓN: decidido y manifiesto PREPARACIÓN DE UN EQUIPO que lidere el proceso. DIAGNÓSTICO DE LA SITUACIÓN ACTUAL. ESTABLECIMIENTO DEL PLAN DE GESTIÓN DE RIESGOS. DESARROLLO Y PUESTA EN MARCHA SEGUIMIENTO.

18 RESPONSABLES DEL CONTROL INTERNO/GESTIÓN DE RIESGOSDIRECCIÓN El control interno es una función directiva. La dirección establece políticas y procedimientos de control que crean un ambiente de control. En definitiva, la dirección debe diseñar el modelo de control interno de la organización como parte integrante de la gestión.

19 RESPONSABLES DEL CONTROL INTERNO/GESTIÓN DE RIESGOSCOMITÉ DE AUDITORIA En aquellas organizaciones en que exista, el Comité de Auditoría debe participar en el diseño del sistema de control interno de la organización. En caso de no existir, es el máximo órgano colegiado de dirección ejecutiva de la organización quien asume habitualmente ese papel. Este es el caso de la AEAT.

20 ESTRUCTURA INSTRUMENTOSSISTEMA DE GESTIÓN DE RIESGOS ÓRGANOS DIRECTIVOS COMITÉ DE DIRECCIÓN ESTRUCTURA ÓRGANOS GESTORES COMISIONES SECTORIALES DE SEGURIDAD Y CONTROL INSTRUMENTOS MAPAS DE RIESGOS

21 FASES DE LA ELABORACIÓN DELMAPA DE RIESGOS 1ª) Fijación, catalogación y priorización de los objetivos de cualquier categoría de la organización. 2ª) Identificación, para cada objetivo, de los procesos y subprocesos efectuados por la organización que se consideren clave para el cumplimiento de aquél. 3ª) Identificación de los riesgos asociados a cada uno de los procesos clave u objetivos. 4ª) Evaluación del riesgo inherente: en ausencia de controles. 5ª) Identificación de los controles ya establecidos por la organización. 6ª) Evaluación del riesgo residual: remanente tras los controles. 7ª) Tratamiento. Análisis del efecto del riesgo residual e identificación y evaluación de alternativas de tratamiento.

22 PROCESO DE VALORACIÓN Y GESTIÓN DE RIESGOSAgencia Tributaria PROCESO DE VALORACIÓN Y GESTIÓN DE RIESGOS IDENTIFICAR OBJETIVOS · Estratégicos · Operativos · Cumplimiento · Reputación INFORMES Y RENDICIÓN DE CUENTAS SEGUIMIENTO Y EVALUACIÓN IDENTIFICAR RIESGOS · Qué podría limitar el logro de los objetivos? AUTO EVALUACIONES Y BALANCES. IDENTIFICA NUEVOS RIESGOS DIRECCIÓN DE LA A.E.A.T. EVALUAR RIESGOS Medir Probabilidad Medir Impacto Gravedad Se aceptan? si S.A.I. no RESPUESTA A LOS RIESGOS ·Identificar, evaluar y seleccionar opciones de tratamiento (Riesgo Residual) · Preparar e implementar medidas · Diseñar actividades de control

23 PUNTO DE PARTIDA: OBJETIVOS, METAS Y PROCESOSESTABLECIMIENTO DE LOS OBJETIVOS DE LA ORGANIZACIÓN: Los objetivos y metas de la institución, tanto estratégicos como operativos, se establecen con anterioridad a que se identifiquen, los posibles acontecimientos que impidan su consecución.

24 IDENTIFICACIÓN DE LOS RIESGOSDeben identificarse los acontecimientos o eventos que pueden afectar a la consecución de los objetivos y metas. Algunos pueden afectar negativamente y, por tanto, implicar riesgos, y otros positivamente, e implicar oportunidades.

25 Evaluación de los RiesgoEVALUACIÓN DE LOS RIESGOS: SU IMPACTO SOBRE LA CONSECUCIÓN DE LOS OBJETIVOS LA PROBABILIDAD DE OCURRENCIA HAY QUE VALORAR: El riesgo inherente, que se define como el riesgo existente antes de establecer los controles, es decir si no se hubiesen adoptado acciones para alterar el impacto o la probabilidad. El riesgo residual, consistente en el riesgo remanente tras establecer las medidas de control.

26 Tipos de Riesgos RIESGO INHERENTE RIESGO RESIDUAL RESPUESTA AL RIESGO(CONTROL INTERNO) RIESGO RESIDUAL

27 TÉCNICAS DE EVALUACIÓNModelos probabilísticos (datos históricos conocidos, simuladores, etc.) CUANTITATIVAS Crítico, alto, medio, bajo Alto, medio, bajo 1, 2, 3, 4, 5 CUALITATIVAS

28 ACTIVIDADES DE CONTROL:Se trata de las políticas (lo que debe hacerse) y los procedimientos (cómo hacerlo) que son necesarios para asegurar que la respuesta al riesgo ha sido la adecuada. Las actividades de control deben estar establecidas en toda la organización, a todos los niveles y en todas sus funciones y deben tener convenientemente integradas las respuestas a los riesgos.

29 INFORMACIÓN Y COMUNICACIÓN:El sistema de gestión de riesgos debe disponer de una adecuada información en todos los niveles de la organización. La información debe identificarse, captarse y comunicarse en plazo. Los sistemas de información (SI) se diseñan desde hace tiempo para apoyar la estrategia de negocio de la organización. El desarrollo de los SI ha mejorado la capacidad de medir y supervisar el funcionamiento de las entidades y de presentar información analítica corporativa.

30 Agencia Tributaria En contrapartida, la dependencia de la organización respecto de los SI genera nuevos riesgos y plantea el problema de la calidad de la información. Una comunicación eficaz debe fluir en todas direcciones dentro de la organización. Consta de: Comunicación interna, que exprese eficazmente la importancia de una buena gestión de los riesgos, los objetivos de la entidad, el riesgo aceptado y las tolerancias al mismo, el lenguaje común de los riesgos y los roles y responsabilidades del personal. Comunicación externa, potenciada por el compromiso expreso de la dirección con la comunicación hacia terceros.

31 SUPERVISIÓN Y MEJORA CONTINUALA UTILIZACIÓN DEL MAPA DE RIESGOS COMO INSTRUMENTO DE GESTIÓN ES UN PROCESO DINÁMICO Una vez elaborado el mapa e implantadas las medidas de tratamiento, hay que reevaluar los riesgos. El objetivo es conseguir que riesgos inicialmente rojos pasen a naranjas y así sucesivamente, lo que indicaría una mejora de la organización en el tratamiento de sus riesgos. Si no se producen estos cambios, será consecuencia de una inadecuada selección del tratamiento o de una aplicación incorrecta del mismo. La situación ideal es que el proceso sea continuo y, a ser posible, informatizado.

32 MAPA DE RIESGOS DE LA AEATA finales de 2005, el Comité de Dirección de la AEAT decidió, a propuesta del SAI, la elaboración de un primer Mapa de Riesgos de la Agencia Tributaria ( ). El Mapa de Riesgos nace como un instrumento de ayuda a la Dirección fruto de una decisión estratégica. Por Resolución del Director de la AEAT de 4 de diciembre de 2009 se dieron instrucciones para el desarrollo del Mapa para el periodo Ambos se encuadran en los compromisos de los Servicios Centrales de los años correspondientes. Por Resolución de la Dirección de 27/7/2012 se aprueba el Mapa

33 OBJETIVOS DEL MAPA DE RIESGOSDotar de estructura, método y coordinación a los instrumentos de gestión de riesgos que ya posee la Agencia, especialmente a las Comisiones Sectoriales de Seguridad y Control. Orientar la atención preferente de dichos instrumentos de gestión hacia los riesgos más relevantes para la AEAT, y en general también la de los órganos y personal que desarrollan las actividades de control.

34 EVALUACIÓN DEL RIESGO PROBABILIDAD  muy alta (5), alta (4), media alta (3) media (2), baja (1) X IMPACTO  muy alto (3), alto (2), medio (1), bajo (0) * EVALUACIÓN: BAJO  1 a 3 MEDIO  4 a 5 MEDIO ALTO  6 ALTO  8 a 10 CRÍTICO  12 a 15 * Convención para que los riesgos de impacto muy bajo siempre resulten con evaluación final baja.

35 COMISIÓN DE SEGURIDAD DE INSPECCIÓNMAPA DE RIESGOS 2009/2011 COMISIÓN DE SEGURIDAD DE INSPECCIÓN RIESGO INS030401: RIESGO DE PRESCRIPCIÓN O UNA INADECUADA FINALIZACIÓN EN RELACIÓN CON EL CONTROL DE LOS PLAZOS DE LAS ACTUACIONES. Modificaciones normativas y en la actitud de los Tribunales. Incrementos en la conflictividad y en el plazo para su resolución, embolsamiento de deuda suspendida. En 2011 en la Agencia conflictos por millones de € en deuda positiva. En Inspección conflictos (4%) por millones de € (61%) millones de € en deuda suspendida (87% origen Inspección) y más del 40% con más de 5 años de antigüedad. Incentivo a los obligados para litigar en base a deberes de la Agencia de carácter formal y a los Tribunales para resolver en base a ellos sin entrar en el fondo del asunto. Dificultad de identificar un indicador de mejora de carácter anual.

36 COMISIÓN DE SEGURIDAD DE INSPECCIÓNMAPA DE RIESGOS 2009/2011 COMISIÓN DE SEGURIDAD DE INSPECCIÓN MEDIDA 1: CREACIÓN DE UN MODELO DE CONTROL DIRECTIVO QUE PERMITA UN ADECUADO CONTROL DE DICHOS PLAZOS Mejorar las herramientas informáticas para el cómputo de plazos. Ayuda para el adecuado reflejo en las diligencias de las dilaciones e interrupciones justificadas en la aplicación Plan de Inspección.

37 COMISIÓN DE SEGURIDAD DE INSPECCIÓNMAPA DE RIESGOS 2009/2011 COMISIÓN DE SEGURIDAD DE INSPECCIÓN MEDIDA 2: CONCIENCIACIÓN A LOS ACTUARIOS DE LA OBLIGACIÓN DE GRABAR LAS DILACIONES EN TIEMPO REAL. Baremo de productividad (Instrucción 1/2010). MEDIDA 3: DIFUSIÓN DE CRITERIOS JURÍDICOS SOBRE EL CÓMPUTO DE PLAZOS EN EL PROCEDIMIENTO INSPECTOR. Oficinas Técnicas. Instrucciones, Informes, Manuales y notas del Departamento.

38 INFORME EJECUCIÓN MAPA DE RIESGOS( ) El nivel de ejecución de los 50 riesgos gestionados muestran un resultado MODERADAMENTE POSITIVO. El 64% (32) de los riesgos pueden considerarse reducidos o mitigados en su probabilidad o impacto. Un 53’88% de las medidas (71) han sido implementadas y un 15% (20) se encuentran en un nivel de desarrollo avanzado. No obstante, en todos los casos no aparece con nitidez la relación entre las medidas cumplimentadas y la reducción efectiva del correspondiente riesgo. Lo importante debe ser el grado de CONSISTENCIA O RELEVAN CIA DE LAS MEDIDAS para mitigar el riesgo elegido.

39 Las Comisiones que han alcanzado mejores resultados, son aquellas en que la integración de las medidas en las actuaciones operativas del Departamento ha sido mayor y ha existido más articulación con los planes del SAI. La mayor limitación se encuentra, en la insuficiente capacidad analítica de las Comisiones para precisar resultados efectivos. Los balances son a menudo más un seguimiento de acciones efectuadas en torno a las tareas, que una auténtica autoevaluación del desarrollo de las mismas.

40 SE RECOMIENDA Establecer indicadores más claros y marcar metas para cada uno de los riesgos. Buscar resultados intermedios de ser necesarios. Trabajar más sobre las medidas que resultarán más relevantes para mitigar riesgos. Hacer más dinámico y adaptativo el mapa de riesgos. Actualizando de forma continuada riesgos y tareas. Realismo en el cronograma que contiene la programación de ejecución de tareas. Renovación, mejora y simplificación del Manual de Trabajo y el correspondiente Cuestionario.

41 Mapa de riesgos 2012/2014

42 OBJETIVOS VINCULADOS (1)MAPA DE RIESGOS OBJETIVOS VINCULADOS (1) Alineamiento con Misión y Objetivos Globales de la AEAT. Plan Anual Objetivos/2012. Plan Anual de Control Tributario y Aduanero 2012.

43 OBJETIVOS VINCULADOS (2)MAPA DE RIESGOS OBJETIVOS VINCULADOS (2) Sistema de Información y Electrónica: - Obtener Sistemas de información seguros y fiables que faciliten la consecución de resultados. Contar con profesionales íntegros, motivados y con sentido de pertenencia. Despliegue del Esquema Nacional de Seguridad en la AEAT.

44 MAPA DE RIESGOS OPERATIVOS DE LA AEATADUANAS GESTIÓN INFORMÁTICA INSPECCIÓN RECAUDACIÓN GENERAL TOTAL RIESGOS TOTAL MEDIDAS MAPA DE RIESGOS MAPA DE RIESGOS MAPA DE RIESGOS

45 MAPA DE RIESGOS OPERATIVOS DE LA AEAT (2012-2014)CLASIFICACIÓN DE LOS RIESGOS SEGÚN CONCEPTOS Riesgos Externos (1) Riesgo de Información para la Gestión (1) Riesgo de los Sistemas Informáticos (1) Riesgos Estratégicos (2) Riesgos de Seguridad en la Información (3) Riesgos vinculados a la Gestión Económico-Financiera (3) Riesgo de Cumplimiento de Normas (4) Riesgo de Diseño Organizativo y Funcional (8) Riesgo de RR.HH. (8) Riesgos en los Procesos de gestión (11)

46 CLASIFICACIÓN DE LAS MEDIDAS PROPUESTASMejora Control Directivo 13 Política y Planes de Seguridad 7 Mejora de la Calidad/Comunicación 11 Normalización Procedimientos 20 Actuaciones Operativas 24 Coordinación Actuaciones 5 Análisis, diseño, evaluación Propuestas Normativas Formación y Capacitación Profesional TOTAL

47 INS02 RIESGO DE LIMITACINES FUNCIONALES DEL CONTROL INSPECTOR CAUSADAS POR CARGAS DE TRABAJO DE CARÁCTER FORMAL EXCESIVAS O INADECUADAS. SIMPLIFICACIÓN ADMINISTRATIVA DE LA FUNCIÓN INSPECTORA. MEDIDAS: IDENTIFICAR Y MITIGAR LA CARGA DE TRABAJO QUE GENERAN LAS NUMEROSAS ACTIVIDADES QUE LOS SISTEMAS INFORMÁTICOS Y LOS PROTOCOLOS IMPONEN A LA INSPECCIÓN. IMPLANTAR EN LAS INSTRUCCIONES, NOTAS O MANUALES LA INCLUSIÓN DE UNA NOTA DEL IMPACTO BUROCRÁTICO DE CADA INICIATIVA EN LAS TAREAS A REALIZAR POR LOS ACTUARIOS. ALTO

48 INS06 RIESGOS DERIVADOS DE LA RELACIÓN DE LOS SERVICIOS DE INSPECCIÓN CON LOS ÓRGANOS JURISDICCIONALES: COLABORACIÓN CON JUZGADOS Y TRIBUNALES (AUXILIO JUDICIAL Y PERITAJE) E INADECUADO CONTROL DE LAS DEUDAS INGRESADAS EN LOS SUPUESTOS DE SENTENCIA CONDENATORIA EN EL ÁMBITO DE DELITOS CONTRA LA HACIENDA PÚBLICA. MEDIDAS: DISEÑAR REGLAS COMUNES Y COORDINADAS PARA DAR RESPUESTA A LAS SOLICITUDES DE COLABORACIÓN EFECTUADAS POR LOS JUZGADOS Y TRIBUNALES. ORDENACIÓN DEL PERSONAL DEDICADO A LABORES DE COLABORACIÓN CON LA JUSTICIA. MEJORAR EL SEGUIMIENTO Y EL CÓMPUTO DEL RESULTADO RECAUDATORIO DE LOS EXPEDIENTES POR DELITOS CONTRA LA HACIENDA PÚBLICA.

49 IDENTIFICACIÓN DE LOS SERVICIOS CRÍTICOS DE LA AGENCIA TRIBUTARIA

50 CONTINUIDAD DEL NEGOCIOAgencia Tributaria CONTINUIDAD DEL NEGOCIO La continuidad del negocio es la capacidad táctica y estratégica que tiene una organización para planificar y responder a incidentes e interrupciones con el fin de continuar con sus actividades críticas en un nivel de servicio asumible y aceptable. Página de texto La gestión de la continuidad del negocio se ocupa de riesgos de muy baja probabilidad pero muy alto impacto, no cubiertos por el proceso de gestión de riesgos de la organización u otros procesos.

51 Agencia Tributaria PROCESOS DE NEGOCIO Los procesos de negocio son las actividades ejercidas por la organización para la consecución de sus objetivos. Los procesos de negocio críticos son aquellos cuya interrupción tiene un mayor impacto en un menor tiempo, y que son necesarios para proporcionar uno o más servicios críticos. Para conocer los procesos críticos, primero hay que evaluar el impacto de su interrupción. Crítico significa “crítico en el tiempo”, no “importante”. Los productos y servicios son el resultado de los procesos de negocio. Los productos y servicios críticos son aquellos servicios imprescindibles para la supervivencia de la organización. Página de texto

52 INTERRUPCIÓN E IMPACTOAgencia Tributaria INTERRUPCIÓN E IMPACTO Una interrupción es un evento, anticipado o no, que causa una desviación negativa no planificada del nivel de servicio deseado, respecto de los objetivos de la organización. El impacto es la consecuencia evaluada de un suceso El impacto se puede evaluar tanto cualitativamente como cuantitativamente según el tipo de activo afectado: empleados y ciudadanos, tecnología e información, obligaciones legales o estatutarias, reputación, viabilidad económica, calidad de productos o servicios, y medioambiente.

53 CRONOLOGÍA DE UN INCIDENTEAgencia Tributaria CRONOLOGÍA DE UN INCIDENTE RPO (recovery point objective): Máximo tiempo posible de pérdida de información MTO (maximun tolerable outage): Tiempo en el que la organización empezaría a resentirse gravemente por la pérdida de la actividad Página de texto RTO (recovery time objective): Tiempo máximo que debe transcurrir entre un incidente y la recuperación de una actividad interrumpida (en “estado de contingencia”)

54 SITUACIÓN EN LA AEAT - CENTRO DE RESPALDOAgencia Tributaria SITUACIÓN EN LA AEAT - CENTRO DE RESPALDO El Centro de Respaldo de la Agencia Tributaria es una infraestructura tecnológica propia, en estado operativo desde 1998, que permite que los datos del sistema de información centralizado sean respaldados en su gran mayoría y con una alta fiabilidad. En el caso de la Agencia, el respaldo de los datos no significa como consecuencia directa el respaldo de los servicios que se prestan con ellos. Asimismo, la Agencia cuenta con medidas de contingencia para tratar las interrupciones del servicio en ciertas áreas (Oficinas de Aduanas, Centro de Impresión y Ensobrado). En los últimos años, el Mapa de Riesgos y el Plan de Adecuación al ENS, entre otras iniciativas, han propugnado un reforzamiento de la continuidad del negocio en la AEAT, que debía comenzar por un análisis de impacto, conducente a la identificación de los servicios críticos. Los procesos de negocio se definen en la siguiente transparencia

55 Agencia Tributaria GRUPO DE TRABAJO Para identificar los servicios críticos de la Agencia Tributaria, evaluando el impacto que pueda sufrir la organización en el caso de una interrupción del servicio, se constituyó por Resolución de la Dirección de la AEAT, presidido por el SAI y con representación de todos los Departamentos y Servicios, un Grupo de Trabajo específico. El Grupo se constituyó el 21/06/2012 y aprobó la propuesta de servicios críticos al Comité de Dirección en su última reunión el 17/01/2013. Factores de éxito: El impulso estratégico de la Dirección. La correcta identificación de los servicios críticos, tomando en cuenta tiempo de interrupción e impacto. La actualización permanente de los contenidos utilizados para el análisis de la criticidad y el restablecimiento del servicio. Los procesos de negocio se definen en la siguiente transparencia

56 Agencia Tributaria METODOLOGÍA La metodología ha sido elaborada por SAI y DIT, alineada con estándares internacionales y adaptada al mandato recibido por el Grupo: Se ha recabado la opinión de los expertos acerca de cuáles serían los servicios críticos para la Agencia en su ámbito de responsabilidad y qué características tendrían. Se ha preparado un mismo formulario de toma de datos, que debía cumplimentarse por cada propuesta de servicio crítico, incluyendo información sobre: Identificación del servicio. análisis de la interrupción, efectos de la interrupción y tiempos máximos de interrupción asumibles por la organización. Se confeccionaron inicialmente 41 formularios, que finalmente dieron lugar a 34 servicios críticos diferenciados. Los procesos de negocio se definen en la siguiente transparencia

57 Duración de la interrupciónAgencia Tributaria ÍNDICE DE CRITICIDAD Se mide la criticidad mediante un índice calculado a partir de la matriz de impacto de cada servicio, como suma ponderada de las puntuaciones para los distintos escenarios temporales, considerando los diferentes criterios con la misma importancia relativa. Duración de la interrupción Varias horas Hasta 1 día Hasta 3 días Hasta 1 semana Hasta 5 semanas Factor de ponderación (P) 8 6 4 2 1 Los procesos de negocio se definen en la siguiente transparencia MI es la matriz de impacto A mayor valor, mayor criticidad.

58 RESULTADOS Gestión de Riesgos. Estrategias de Recuperación.Agencia Tributaria RESULTADOS Gestión de Riesgos. Se han identificado medidas que podrían mitigar el riesgo de interrupción del servicio, mejorar o anticipar su prestación en modo degradado y facilitar su recuperación. Estrategias de Recuperación. Se han puesto de manifiesto las diferentes estrategias de recuperación del servicio. Respaldo de los Servicios. La solución para el respaldo de los servicios debe ajustarse a la realidad presupuestaria, a la capacidad y disponibilidad de los recursos internos, a la evolución tecnológica y a la política de alianzas. Los procesos de negocio se definen en la siguiente transparencia