Saltar al contenido

El perro guardián da la alarma sobre las deficiencias de control del IRS

El robo de la identidad de los contribuyentes y el fraude en los reembolsos han sido grandes noticias este año, por lo que no es sorprendente que una reciente auditoría financiera de la Oficina de Contabilidad del Gobierno de los Estados Unidos (GAO) del IRS indique una â??deficiencia significativaâ? en los controles internos de la agencia.

La GAO auditó los estados financieros del IRS para los años fiscales 2014 y 2015. Mientras que el informe de auditoría se centra en un espectro más amplio de cuestiones, estamos poniendo de relieve el área de la tecnología de la información debido a las preocupaciones de fraude fiscal ampliamente difundidas.

El perro guardián da la alarma sobre las deficiencias de control del IRS
El perro guardián da la alarma sobre las deficiencias de control del IRS

Durante el año fiscal 2015, el IRS continuó centrándose en la seguridad de sus sistemas de información y en la protección de la información confidencial de los contribuyentes y financiera, según el informe. Específicamente, la agencia restringió el acceso a aplicaciones financieras clave y continuó avanzando hacia la autenticación multifactorial.

Pero este es el problema: El efecto acumulado de las deficiencias anteriores que aún existen, además de los nuevos problemas revelados este año â?” a los que llegaremos â?” se combinaron para plantear una â??deficiencia significativa en el control interno del IRS sobre los sistemas de información financieraâ? a partir del 30 de septiembre, según el informe.

La GAO cita las siguientes deficiencias continuas:

  • No instalar actualizaciones de seguridad en las bases de datos y los servidores que dan soporte a los sistemas financieros, lo que aumenta el riesgo de que las vulnerabilidades conocidas de la seguridad de la información puedan ser explotadas.
  • Las comunicaciones entre las aplicaciones financieras carecen de una fuerte encriptación. Eso limita la capacidad del IRS para asegurar la confidencialidad de los datos.
  • Insuficientes pistas de auditoría y vigilancia de los sistemas clave, lo que limita la detección de actividades no autorizadas o inusuales.

â??Hemos estado informando y haciendo recomendaciones para abordar estos temas durante varios añosâ?, dice el informe.

Aquí hay nuevas deficiencias que los auditores de la GAO descubrieron:

  • Contraseñas: Algunas son iguales al nombre de la cuenta; los administradores de sistemas utilizan archivos de escritorio, archivos compartidos y mensajería instantánea para almacenar y enviar contraseñas para acceder a los sistemas y servidores.
  • Una base de datos para la administración de cuentas fiscales ya no es atendida por un proveedor y no ha tenido actualizaciones de seguridad desde junio de 2011.
  • Los planes de auditoría de algunos sistemas financieros carecían de actualizaciones que mostraran las políticas actuales.
  • El plan de auditoría de un sistema de contabilidad administrativa no se siguió de manera consistente.

â?” Estas deficiencias recientemente identificadas, junto con los problemas de vigilancia previamente informados pero no resueltos, reducen la capacidad del IRS para detectar actividades no autorizadas o inusuales de manera oportuna,â? informó la GAO.

Además, algunos aspectos del marco de la agencia para su programa de seguridad de la información no se utilizan eficazmente, según el informe. Las pruebas de seguridad, por ejemplo, no siempre indicaban si los controles requeridos funcionaban correctamente. â??Consecuentemente, continuamos identificando deficiencias de control en sistemas financieros clave que el IRS no habÃa detectado,â? afirma el informe.

El organismo tampoco había actualizado las políticas y procedimientos fundamentales de la computadora central que vigilarían el acceso entre los sistemas, lo que creaba el riesgo de un acceso no detectado y no autorizado.

Y, finalmente, el IRS no ha asegurado que las correcciones de los problemas anteriores funcionen. La agencia dijo a los auditores de la GAO que se habían puesto en marcha 28 recomendaciones anteriores. Pero los auditores determinaron que las deficiencias asociadas a nueve de las recomendaciones no habían sido corregidas efectivamente.

En definitiva, â??hasta que el IRS tome las medidas necesarias para abordar estas deficiencias de control, sus datos financieros y de los contribuyentes permanecerán en un mayor riesgo de uso, modificación o divulgación inapropiada y no detectadaâ?, se afirma en el informe.