Falhas de segurança nos sistemas do IRS representam risco para as demonstrações financeiras, diz GAO

O órgão de fiscalização do Congresso encontrou novas deficiências nos controles de gerenciamento de segurança, acesso e configuração da agência tributária.

Algumas deficiências de segurança nos sistemas de informação do IRS aumentam o risco de imprecisões nas demonstrações financeiras da agência tributária, disse o Government Accountability Office na quinta-feira.

No seu relatório , o órgão de fiscalização do Congresso destacou deficiências “novas e contínuas” nos sistemas de informação e na salvaguarda de activos, questões que aumentam a probabilidade de acesso não autorizado a dados sensíveis do IRS. As deficiências de segurança também representam uma ameaça de interrupção das operações críticas das agências, alertou o GAO.

“As contínuas deficiências de controlo relacionadas com os ciclos de transacção aumentam o risco de distorções nas demonstrações financeiras”, afirmou o GAO no seu relatório. “O IRS mitigou o efeito potencial dessas deficiências de controle principalmente por meio de controles compensatórios que a administração projetou para ajudar a detectar possíveis distorções nas demonstrações financeiras.”

A auditoria do GAO das demonstrações financeiras dos anos fiscais de 2022 e 2023 do IRS revelou três novas deficiências, depois que a agência tomou “ações corretivas” para abordar 51 recomendações anteriores do órgão de fiscalização – 15 das quais foram concluídas e as 36 restantes estão em andamento .

Anúncio

Essas deficiências recentemente identificadas, que o GAO caracterizou como “de natureza sensível”, abrangem problemas de controlo na gestão de segurança, gestão de acesso e configuração. 

O gerenciamento de configuração pareceu apresentar os problemas mais significativos para o IRS, de acordo com o relatório. As configurações de segurança para servidores específicos que suportam sistemas relacionados a relatórios financeiros não foram implementadas de forma consistente; o órgão de fiscalização apresentou quatro recomendações para resolver essa deficiência. 

Para o problema de controle de gestão de segurança, o IRS não conseguiu “criar consistentemente um plano de ação e marcos para as fraquezas identificadas em tempo hábil”. Nos controles de acesso vinculados ao monitoramento e auditorias, a agência não revisou e certificou um relatório mensal de segurança em tempo hábil. O GAO fez uma recomendação para cada uma dessas deficiências. 

O Comissário do IRS, Danny Werfel, disse numa carta em resposta a uma versão preliminar do relatório do GAO que a agência está “empenhada em implementar melhorias dedicadas a promover o mais alto padrão de gestão financeira, controlos internos e segurança da tecnologia da informação”.