3. www.tusconsultoreslegales.com info@tusconsultoreslegales.com 1. RECOMENDACIONES PARA LA IMPLEMENTACIÓN Y/O AUDITORÍA DE FACTURA ELECTRÓNICA EXPONEMOS EL ÍNDICE DEL DOCUMENTO GUIAS PARA LA AUDITORIA I IMPLEMENTACION DE LA FACTURA ELECTRÓNICA Introducción Ámbito de aplicación Identificación de los activos en un procesonormalizado de facturación. 2.1.Organización y rol del CDO en el Departamento de Facturación Entorno Organizativo para la Seguridad (ejemplo de definición de una política de seguridad) 3.1.Organización para la seguridad 3.1.1.Existirá una política de seguridad 3.1.2.La política de seguridadestaráaprobada por la Dirección 3.1.3.La política de seguridadestarárespaldada por la Dirección 3.1.4.Se explicitará y documentará el uso correcto de cada sistema 3.1.5.Se desarrollaránprocedimientosescritos para todos los procesosoperativos de seguridad (administradores, operadores y usuarios)
4. www.tusconsultoreslegales.com info@tusconsultoreslegales.com 1. INDICE. DOCUMENTO DISPONIBLE EN LA ZONA DE ADQUISICIÓN DOCUMENTOS 3.1.6.Existirá un Comité de seguridad que centralice las decisionesrelativas a la seguridad de instalaciones y sistemas 3.1.7.Se inventariarántodos los activos del sistema 3.1.8.Se tomarán en consideracióntodas las incidencias 3.1.9.Se establecerá un catálogo de métricas del estado de seguridad 3.2.Control de accesos 3.2.1.No se permitiráningúnacceso sin identificar previamente al aspirante 3.2.2.Accesofísico a las instalaciones (exigible a los prestadores de servicios de información) 3.2.3.Acceso a los sistemas 3.2.4.Acceso a datos o accesológico a la información 3.3.Identificación – Autenticación 3.3.1.Física en lo referente a las instalaciones 3.3.2.Lógica en lo referente a la identificación y posterior accesológico a los sistemas 3.3.3.Identificación en red En lo referente a la red
5. www.tusconsultoreslegales.com info@tusconsultoreslegales.com 1. INDICE. DOCUMENTO DISPONIBLE EN LA ZONA DE ADQUISICIÓN DOCUMENTOS 3.4.Registro 3.4.1.Registro físico a las instalaciones 3.4.2.Registro del Accesológico a los sistemas 3.5.Auditoria 3.5.1.Auditoria Física Del uso seguro de las instalaciones 3.5.2.Auditoria Lógica del uso seguro de los sistemas 3.6.Confidencialidad 3.6.1.Se identificará la información de carácter personal 3.6.2.Se establecerá un sistema de clasificación de la información 3.6.3.Confidencialidad física Instalaciones que hospedeninformación sensible (en el caso que proceda) 3.6.4.Confidencialidadlógica de la información
6. www.tusconsultoreslegales.com info@tusconsultoreslegales.com 1. INDICE. DOCUMENTO DISPONIBLE EN LA ZONA DE ADQUISICIÓN DOCUMENTOS 3.7.Integridad 3.7.1.Integridad física de las instalaciones y equipos 3.7.2.Integridadlógica de los sistemas y a la información 3.8.Disponibilidad 3.8.1.Disponibilidad física de las instalaciones y equipos 3.8.2.Disponibilidadlógica de los sistemas y aplicaciones 3.9.Intercambio de información /comunicaciones 3.9.1.Intercambiosfísicos 3.9.2.Intercambioslógicos 3.9.3.Intercambios de datos o Acceso a la información 3.10.Cumplimiento de la normativa legal 3.10.1.De Instalaciones 3.10.2.De sistemas e información
7. www.tusconsultoreslegales.com info@tusconsultoreslegales.com 1. INDICE. DOCUMENTO DISPONIBLE EN LA ZONA DE ADQUISICIÓN DOCUMENTOS 3.11.Personal 3.11.1.El personal seráseleccionadoconsiderando los requisitos de seguridad del puesto de trabajo 3.11.2.El personal serácontratadoconsiderando los requisitos de seguridad de supuesto de trabajo 3.11.3.El personal seráinformado de las responsabilidadespropias de supuesto de trabajo 3.11.4.El personal seráformadoconsiderando los requisitos de seguridad de supuesto de trabajo
8. www.tusconsultoreslegales.com info@tusconsultoreslegales.com 1. INDICE. DOCUMENTO DISPONIBLE EN LA ZONA DE ADQUISICIÓN DOCUMENTOS Análisis de los riesgos en los procesos de facturaciónelectrónica a considerar desde el punto de vista del proveedor y desde el punto de vista del cliente 4.1.Procesos Generales 4.1.1.Riesgo general en los Sistemas de Información 4.1.2.Riesgo en el proveedor de servicios de facturación por terceros 4.1.3.Riesgo de Auditoria por no disponer de la documentaciónactualizada de los procesos y procedimientos generales 4.2.Proceso de transporte y distribución logística de expedición. 4.2.1.Riesgo del uso de un sistema de factura electrónica sin identificación clara y transparente 4.2.2.Riesgo del envío de facturaselectrónicas sin previaaceptación por parte del cliente 4.2.3.Riesgo por el cual los socioscomerciales de transporte de mercaderías o serviciostienenacceso al sistema de facturaciónelectrónica sin previocontratoentre las partes.
9. www.tusconsultoreslegales.com info@tusconsultoreslegales.com 1. INDICE. DOCUMENTO DISPONIBLE EN LA ZONA DE ADQUISICIÓN DOCUMENTOS 4.2.4.Riesgode acceso al sistema de facturaciónelectrónica por parte de la compañía de transporte sin previaformación o adiestramiento a los responsables en el uso de funciones clave del sistema de facturación. 4.2.5.Riesgo de incompatibilidad de los sistemas de facturaciónelectrónicadejandovulnerabilidades de seguridaddurante el proceso de intercambio de información. 4.2.6.Riesgo de dar acceso al sistema de facturaciónelectrónica sin probar con éxito la comunicación en base a unoscriteriospreviamenteacordados por las partes. 4.2.7.Riesgo de dar acceso al sistema de facturaciónelectrónica sin probarpreviamente con éxito la comunicación en base a unoscriteriosacordados por las partes. 4.2.8.Riesgo de emitirfacturaselectrónicas en formato EDI sin el previoconsentimiento del cliente 4.2.9.Riesgo en el uso de diferentesestructuras en formato EDI por parte de los proveedores
10. www.tusconsultoreslegales.com info@tusconsultoreslegales.com 1. INDICE. DOCUMENTO DISPONIBLE EN LA ZONA DE ADQUISICIÓN DOCUMENTOS 4.3.Proceso de custodia y archivo de las facturaselectrónicas y suauditoría. 4.3.1.Riesgo en comprobar la validez del certificado en el momento de la firma o en el momento de emitir el recibo de la factura electrónica 4.3.2.Riesgo por imposibilidad de verificar la integridad de la factura electrónica 4.3.3.Riesgo por no conservar las facturaselectrónicas en el periodomarcado por la legislaciónvigente. 4.3.4.Riesgo de no disponibilidad de las facturaselectrónicasdentro de un periodorazonable. 4.3.5.Riesgo de modificación de las facturasdentro del periodo de conservación. 4.3.6.Riesgo que la información conservada no seahumanamentelegible como resultado del procesoinformático. 4.3.7.Riesgo que la informacióncontenida en la factura electrónica no seaplenamente correcta debido a que en la aplicaciónde facturación se hubieranconservadodatosmaestros, tablas de códigos y cálculoserróneos. 4.3.8.Riesgo de no conservar las pistas de auditoria
11. www.tusconsultoreslegales.com info@tusconsultoreslegales.com 1. INDICE. DOCUMENTO DISPONIBLE EN LA ZONA DE ADQUISICIÓN DOCUMENTOS 4.4.Proceso en la recepción por parte del servicio de transporte de mercaderías o servicios 4.4.1.Riesgo de escaso control en las transacciones y conservación de las facturaselectrónicas y albaranes, impidiendo el acceso a las autoridadescompetentes. 4.4.2.Riesgo de no recepción o acceso por parte del cliente a la factura.electrónica original. 4.5.Procesogenérico en el transporte de datos o mensajeria. 4.5.1.Riesgo de alteración o modificación de los datos de la factura o de la factura electrónicadurante la transmisión .