Presentacin de PowerPoint

1
EUROsociAL
2
TITULO V
PREVENCIÓN, DETECCIÓN E INVESTIGACIÓN DE
CONDUCTAS IRREGULARES
TRATAMIENTO DE LAS DENUNCIAS. GESTIÓN Y
TRATAMIENTO DE LAS QUEJAS Y PROPUESTAS
ASESORAMIENTO Y CONSULTORÍA
3
PREVENCIÓN DE CONDUCTAS
Prevención de Conductas Irregulares en relación
con el incorrecto y fraudulento uso de la
información contenida en las bases de datos
tributarios. Tiene una fuerte vinculación con la
seguridad de los sistemas de información. Se hará
referencia a los aspectos más significativos en
el diseño de medidas y medios de control a
emplear.
4
ACTUACIONES DE PREVENCIÓN DE CONDUCTAS
IRREGULARES.
EPÍGRAFE 18.5.1

• CONCEPTO Son actuaciones orientadas a definir
  perfiles de comportamientos de riesgo, y
  articular los medios para activar los controles
  que permitan su detección.
• ALCANCE Y CONTENIDO Involucran a diferentes
  órganos, siendo el OAI el supervisor de sus
  actuaciones. Los órganos intervinientes, con
  diferentes rangos de responsabilidad, son
• Órganos colegiados como Comisiones de Seguridad.
• Áreas o Departamentos funcionales.
• Administradores de Seguridad.
• Autorizadores.
• Controladores.
• Usuarios internos y externos.

5
DISEÑO DE UNA MEDIDA PREVENTIVA GARANTIZAR EL
CORRECTO ACCESO A LA INFORMACION CORPORATIVA.

• ASPECTOS A CONSIDERAR
• Identificación precisa de todos los usuarios
  Código password.
• Registro de todas las operaciones de acceso.
• Análisis de coherencia de los accesos.
• Definición de perfiles de acceso en función del
  puesto de trabajo coherentes, abiertos,
  revisados periódicamente.

6
LOS USUARIOS INTERNOS
EPÍGRAFE 16.4.8

• Los usuarios internos de los sistemas de
  información de la organización son en general
  empleados de la Administración Tributaria.
• Los empleados deben cumplir las normas de
  seguridad de la organización, generales o
  específicas, en particular las que afectan a la
  seguridad de los sistemas de información.
• Usuarios del sistema de información
• Los empleados dispondrán de un código de usuario
  y de una contraseña, correspondientes a un solo
  usuario.

7

• La seguridad de la identificación de los usuarios
  puede reforzarse por medios físicos y lógicos
  como tarjetas y certificados digitales.
• El código de acceso y la contraseña, que deben
  reunir unas características sintácticas
  determinadas, son elementos personales e
  intransferibles de cada usuario.
• La utilización del código de usuario está
  regulada. En particular, se deben implantar
  procedimientos para efectuar
• Las altas y bajas de los códigos de usuario.
• Las modificaciones de las autorizaciones de los
  usuarios.
• Las revocaciones del código de usuario cuando se
  detecte alguna incidencia.

8
SISTEMA DE GESTIÓN DE LA SEGURIDAD (1)

• El establecimiento de un Sistema de Gestión de la
  Seguridad de la Información (SGSI) supone un
  nivel de formalización propugnado por entidades
  que se ocupan de la normalización y de la
  certificación, elaborando normas específicas.
• El establecimiento y mantenimiento de una
  determinada norma, supone un esfuerzo por parte
  de todas las áreas de la organización,
  especialmente las que se ocupan de la informática
  y de su control.
• Como contrapartida, un SGSI contribuye a mitigar
  los factores de riesgo asociados a la actividad
  informática y a asegurar la confianza de los
  usuarios en el SI.

9
EJEMPLO DE ROLES (1)

• En el sistema de administración de la seguridad
  de la AT pueden establecerse los siguientes
  roles
• El Comité de Seguridad de los SI coordina la
  administración de la seguridad de la información,
  bajo la dependencia de la Dirección, que ejerce
  la responsabilidad corporativa (véase el Epígrafe
  16.5.3).
• El OAI ejerce la supervisión de la administración
  de la seguridad de la información, mediante
  actuaciones de auditoría encuadradas en programas
  especializados.
• Los responsables de seguridad asumen la decisión
  final en cuestiones de seguridad de la
  información en el ámbito correspondiente, bajo la
  supervisión de los órganos competentes.

10
EJEMPLO DE ROLES (2)

• Los administradores de seguridad son oficiales de
  la organización encargados del buen
  funcionamiento y control de la política de
  seguridad de los SI.
• Los autorizadores son aquellos agentes que
  conceden las autorizaciones a los usuarios de los
  SI de un ámbito funcional o territorial
  considerado.
• Los controladores son aquellos agentes que
  desarrollan actividades de control interno, en
  particular que revisan los accesos realizados por
  los usuarios de un determinado ámbito.
• Los autorizadores y controladores dependen del
  administrador de seguridad, y éste depende a su
  vez del responsable de seguridad.

11
EL COMITÉ DE SEGURIDAD DE LOS SISTEMAS DE
INFORMACIÓN
EPÍGRAFE 16.5.3
DEFINICIÓN

• El Comité de Seguridad de los Sistemas de
  Información es un órgano colegiado de la AT,
  cuyos objetivos coinciden con los de la política
  de seguridad de la información de la
  organización.
• La constitución de un Comité de Seguridad de los
  Sistemas de Información es una práctica
  recomendada para las grandes organizaciones.
• El Comité adopta medidas para mejorar el
  tratamiento de los temas críticos y permanentes
  de la seguridad informática corporativa.

12
FUNCIONES DEL COMITÉ DE SEGURIDAD DE LOS SI (1)

• Aprobar las políticas y procedimientos que
  desarrollan la política de seguridad de los SI.
• Vigilar el cumplimiento de las obligaciones
  normativas de la AT en materia de seguridad de la
  información.
• Seguir la evolución de la seguridad informática
  de la organización.
• Supervisar el funcionamiento de los sistemas de
  gestión de la seguridad de la información.
• Impulsar el establecimiento y la mejora de los
  controles existentes en el SI.
• Revisar las incidencias de seguridad acaecidas en
  los SI.

13
SISTEMA DE GESTIÓN DE USUARIOS Y DE
AUTORIZACIONES
EPÍGRAFE 16.5.4
DEFINICIÓN

• La gestión de usuarios y autorizaciones es el
  conjunto de operaciones cuyo objetivo es que los
  usuarios tengan un adecuado nivel de acceso al
  SI, que les facilite el desempeño de su trabajo,
  garantizando la seguridad de la información.
• Los procedimientos de gestión de usuarios y
  autorizaciones deben estar formalizados,
  documentados y automatizados, y ser comunicados.
• La gestión de usuarios y autorizaciones forma
  parte de las actividades de administración de la
  seguridad de la información.

14
IMPLEMENTACIÓN DEL SISTEMA DE GESTIÓN DE USUARIOS
(1)

• La implementación tenderá hacia el
  establecimiento de un único sistema auditable,
  que actúe
• Garantizando el funcionamiento eficaz de los
  procedimientos tributarios.
• Graduando las autorizaciones en relación con el
  puesto desempeñado.
• Estableciendo procedimientos para las altas,
  bajas, modificaciones y revocaciones de usuarios
  y autorizaciones.
• Efectuando un tratamiento de los usuarios
  externos coherente con las cesiones de
  información autorizadas.

15
IMPLEMENTACIÓN DEL SISTEMA DE GESTIÓN DE
USUARIOS (2)

• Incorporando controles automáticos.
• Ejemplo Las revocaciones automáticas por un
  número excesivo de reintentos en el acceso al
  sistema.
• Introduciendo técnicas de análisis de
  información, que faciliten el trabajo de
  supervisión.
• Ejemplo La detección automática y la
  comunicación a los supervisores de situaciones de
  riesgo, tales como la acumulación de
  autorizaciones que no son utilizadas
  habitualmente por el usuario.

16
EJEMPLO DE SISTEMA DE GESTIÓN DE USUARIOS (1)

• Un sistema auditable de gestión de usuarios y
  autorizaciones se compondría de los siguientes
  procedimientos debidamente implementados
• Alta del código de usuario.
• Revocación del código de usuario.
• Baja del código de usuario.
• Concesión de una autorización a un usuario.
• Concesión de una autorización especial a un
  usuario.
• Asignación de un perfil tipo a un usuario.

17
EJEMPLO DE SISTEMA DE GESTIÓN DE USUARIOS (2)

• Mantenimiento de un perfil tipo de usuario.
• Adaptación de las aplicaciones a una estructura
  preparada para ser compatible con el sistema de
  gestión de usuarios y autorizaciones.
• Establecimiento de controles automáticos que
  revisan los perfiles y autorizaciones de los
  usuarios y determinan las incoherencias.
• Auditabilidad del sistema de gestión de usuarios
  y autorizaciones de cara a su revisión por los
  responsables del control y la supervisión.

18
PARTICIPACIÓN DEL OAI

• El OAI participa, como los administradores de
  seguridad y el Comité de Seguridad de los SI, en
  la supervisión del sistema de gestión de usuarios
  para garantizar la seguridad de la información.
• El OAI revisará también que el sistema permita a
  los usuarios disponer a tiempo de las
  autorizaciones que requieren por su trabajo.

19
ACTUACIONES DE DETECCION DE CONDUCTAS IRREGULARES.
EPÍGRAFE 18.5.2

• CONCEPTO
• Se encaminan a identificar a los empleados que
  han cometido una conducta de riesgo o irregular.
• También se realiza para detectar posibles
  incompatibilidades.
• Se realiza por el personal del O.A.I.

20
FORMAS DE REALIZACION DE LAS ACTUACIONES DE
CONTROL

• ACTUACIONES GENERICAS
• Se realizan el la sede del órgano o unidad en la
  que presta servicios el usuario.
• Se sirven de una herramienta informática
  específica.
• Contempla un procedimiento de resolución de
  incidencias.
• ACTUACIONES ESPECIFICAS DEL OAI.
• Son actuaciones más precisas, que se orientan a
  recoger y analizar evidencias de posibles
  conductas irregulares.
• Forman parte del Plan de actuaciones del OAI por
  medio de técnicas de auditoria y del
  procesamiento de la información disponible.

21
SISTEMA DE CONTROL DE ACCESOS
EPÍGRAFE 16.5.5
DEFINICIÓN

• El control de los accesos consiste en el proceso
  seguido para registrar los accesos de los
  usuarios a la información residente en los SI,
  almacenar los accesos en un soporte adecuado para
  su análisis y recuperación, y establecer una
  supervisión de esos accesos conforme a unas
  pautas de comportamiento aprobadas por la
  Dirección.
• Los procedimientos de control de los accesos
  deben estar formalizados, documentados,
  automatizados, y ser comunicados.
• El control de los accesos forma parte de las
  actividades de administración de la seguridad de
  la información.

22
PRINCIPIOS DE ACTUACIÓN

• Principios
• Exhaustividad del registro de los accesos Todos
  los accesos debe ser registrados, para lo que se
  utilizarán los medios tecnológicos más
  eficientes.
• Optimización de los controles de acceso La
  revisión de los accesos será selectiva, aplicando
  tanto técnicas de análisis de riesgos como de
  muestreo, para determinar los accesos que ponen
  en mayor riesgo los objetivos de la seguridad de
  la información.

23
IMPLEMENTACIÓN DEL SISTEMA DE CONTROL DE ACCESOS
(1)

• La implementación tenderá hacia el
  establecimiento de un único sistema auditable,
  que actúe
• Registrando todos los accesos independientemente
  del subsistema utilizado.
• Permitiendo recuperar los accesos efectuados
  junto con los parámetros directos o indirectos de
  comportamiento.
• Valorando el riesgo asociado al acceso.
• Efectuando una selección de los accesos de mayor
  riesgo para su justificación.

24
IMPLEMENTACIÓN DEL SISTEMA CONTROL DE ACCESOS
(2)

• Incorporando controles automáticos.
• Ejemplo Las alertas establecidas en el sistema
  cuando se detecta el acceso fuera del horario
  habitual, el acceso a personas especialmente
  protegidas o el volcado masivo de información.
• Introduciendo técnicas de análisis de información
  que faciliten el trabajo de supervisión.
• Ejemplo El análisis de los ficheros que
  consolidan los accesos a los distintos
  subsistemas, determinando los accesos que tiene
  mayor riesgo de no estar debidamente motivados.

25
DESCRIPCIÓN DEL SISTEMA DE CONTROL DE ACCESOS
(2) CONTROL DE LOS ACCESOS

• La aplicación de CONTROL de Accesos realiza un
  análisis de riesgo para determinar los accesos
  que son susceptibles de presentar una cierta
  incoherencia con las tareas desempeñadas por el
  usuario.
• Los accesos seleccionados deben ser explicados
  por los usuarios y la justificación debe ser
  aceptada por el controlador del usuario en un
  proceso administrativo que está automatizado.
• Bajo ciertas condiciones, los accesos no
  justificados pueden dar lugar a un expediente
  disciplinario.
• Los resultados obtenidos en el proceso de control
  de los accesos retroalimentan el sistema,
  mediante las opciones estadísticas de la
  aplicación de CONTROL de Accesos y los informes
  que elaboran los Administradores de Seguridad.

26
EJEMPLO DE SISTEMA DE CONTROL DE ACCESOS (1)

• Un sistema auditable de control de accesos se
  compondría de los siguientes procedimientos
  debidamente implementados
• Registro de los accesos a la información
  tributaria.
• Consolidación de los accesos en un sistema
  integrado de control.
• Selección de los accesos sometidos a revisión.
• Justificación de los accesos elegidos.
• Revisión por el agente de seguridad que actúa
  como controlador.

27
EJEMPLO DE SISTEMA DE CONTROL DE ACCESOS (2)

• Toma de decisión sobre los accesos revisados,
  aceptando o no la justificación.
• Retroalimentación de la selección de los accesos
  de riesgo, mediante la información obtenida
  durante la revisión de los accesos.
• Auditabilidad del sistema de registro y control
  de los accesos de cara a su revisión por los
  responsables del control y la supervisión.

28
PARTICIPACIÓN DEL OAI

• El OAI participa, como los administradores de
  seguridad y el Comité de Seguridad de los SI, en
  la supervisión del sistema de registro y control
  de los accesos.
• El OAI se cerciorará también de que el control
  implantado no disuada a los usuarios de la
  utilización de los instrumentos informáticos
  puestos a su disposición para el desempeño de su
  actividad.

29
Autorizadores
Perfil de Acceso
A.S.
USUARIO
(Código) y (Contraseña)
Sistema de Gestión de Usuarios
Informe
ACCESO B.D. AEAT
Grabación Accesos en ficheros
Controlador pide justificación
Sistema Control de Accesos (riesgo)
30
SELECCIÓN DE UN PORCENTAJE DE ACCESOS PARA SU
REVISIÓN SEGÚN DIFERENTES CRITERIOS
CRITERIO 1 SELECCIÓN EFECTUADA POR EL SUBSISTEMA
CONTROLA CON UN CRITERIO ALEATORIO
CRITERIO 2 SELECCIÓN EFECTUADA POR EL SUBSISTEMA
CONTROLA, DEBIDA AL RIESGO CALCULADO
CRITERIO 3 SELECCIÓN DECIDIDA POR EL
ADMINISTRADOR DE SEGURIDAD, TRAS ANALIZAR LOS
ACCESOS
31
CRUCES. CONDUCTAS, INCOMPATIBILIDADESO
CONFLICTOS DE INTERESES

• Retribuciones del personal de la AEAT satisfechas
  por terceros (informe anual)
• Actividades públicas Profesor Universitario
  Asociado
• Actividades Privadas
• Docencia Privada
• Actividades Profesionales
• Ejercicio de cargos en Consejos de Administración
  u órganos de Gobierno de Entidades Privadas
  (R.M.) (informe anual).

32
SUPERVISIÓN DEL SAI MEDIANTE AUDITORÍAS

• Verificación de la gestión de la seguridad de la
  información realizada por los Responsables y
  Administradores de Seguridad, determinando entre
  otras cuestiones, si
• Se tramitan con rapidez las altas y bajas, así
  como las opciones solicitadas por los usuarios.
• Se controlan de manera eficaz y en plazo los
  accesos a la información residente en los
  sistemas corporativos.
• Comprobación de la infraestructuras de seguridad
  informática, mediante actuaciones de auditoría
  informática en el Departamento de Informática
  Tributaria, determinando entre otras cuestiones
  si

33
EPÍGRAFE 18.5.3
ACTUACIONES DE INVESTIGACION
CONCEPTO Y CLASES

• Tienen por objeto, obtener información precisa
  para determinar con el suficiente grado de
  certeza, si existen responsabilidades
  administrativas o de otro tipo, y las medidas a
  adoptar para evitar en el futuro riesgos o
  situaciones similares.
• Investigaciones convencionales. Obtienen la
  información de los datos disponibles en la
  Administración Tributaria o en Registro Públicos.

34

• TIPOS
• INVESTIGACIONES CONVENCIONALES Serían las
  orientadas a recabar información relevante de
  entre la disponible en la A.T. (en sus archivos,
  locales, bases de datos y ordenadores en
  general), y en los Registros Públicos a los que
  se pueda acceder libremente.
• El inicio de éstas actuaciones, requiere
  simplemente Orden de Servicio expedida por el
  Director del O.A.I.

35

• INVESTIGACIONES ESPECIALES Actuaciones dirigidas
  a obtener y aportar información y pruebas sobre
  conductas o hechos privados o públicos, en la
  medida en que tales informaciones, pruebas o
  conductas no consten en la A.T. ni en los
  Registros Públicos a los que se pueda acceder
  libremente.
• Se consideran conductas o hechos privados los
  que afecten al ámbito económico, laboral,
  mercantil, financiera y, en general, a la vida
  personal, familiar o social, exceptuada la que se
  desarrolle en los domicilios o lugares
  reservados.
• Este tipo de actuaciones solo podrán iniciarse
  mediante Orden de Servicio suscrita por el Órgano
  Superior de Dirección de la A.T.

36
PROBLEMÁTICA PLANTEADA POR LAS ACTUACIONES
ESPECIALES DE INVESTIGACIÓN.

• DE CARÁCTER ORGANIZATIVO.
• Creación o no de unidades especializadas en la
  estructura del OAI.
• DE CARÁCTER LEGAL
• La norma legal que regula las competencias del
  OAI debe contemplar facultades para realizar
  investigaciones.
• Los derechos individuales protegidos, pueden
  entrar en conflicto con la investigación el
  derecho a la intimidad, el secreto de las
  comunicaciones, el derecho a la propia imagen.

37

• Derechos y obligaciones específicos del personal
  responsable de las investigaciones( seguimiento
  de personas, vigilancia de locales y
  establecimientos, grabaciones en locales
  públicos, información de entidades bancarias,
  etc....)
• DE CARÁCTER PROCEDIMENTAL
• Instrucción del Director General a las diferentes
  Áreas y Departamento, que regule las posibles
  solicitudes de apoyo dirigidas a los diferentes
  órganos.
• Instrucción del Director del OAI dirigida a
  facilitar el conocimiento del porqué se realizan
  estas actuaciones.
• Protocolo de Actuaciones.

38

• PROTOCOLO DE ACTUACIONES
• Inicio del procedimiento
• De oficio por el OAI.
• A instancia de terceros.
• Estudio de la solicitud
• Obtención de información y valoración por el OAI
• Informe del responsable de la unidad a la
  Dirección del OAI.
• Aprobación de la actuación.
• Tramitación de la autorización.
• Terminación de la actuación.

39
APARTADO 18.6
DENUNCIAS
EPÍGRAFE 18.6.1
DENUNCIAS DE LOS CIUDADANOS
Las denuncias de los ciudadanos como medio de
conocimiento de presuntas conductas irregulares y
del inicio de las investigaciones
correspondientes, requieren una norma de carácter
interno que apruebe el procedimiento y
tramitación.
40
EPÍGRAFE 18.6.2
DENUNCIAS DE LOS EMPLEADOS
Debe articularse un proceso de información, con
garantías de confidencialidad para el denunciante
y nivel de tolerancia cero ante el conocimiento
de actos represivos.
41
CAPÍTULO 19
QUEJAS Y PROPUESTAS
PRESENTACIÓN Y SIPNOSIS
APARTADO 19.1

• Una queja es un regalo Esta es la concepción
  que debe tener una organización cuando recibe una
  queja o una propuesta de mejora.
• La gestión de las quejas y sugerencias, debe
  incardinarse dentro de la secuencia lógica del
  desarrollo de cualquier programa de calidad.
• El sistema de gestión de quejas y sugerencias que
  se establezca, debe abordar entre otras, las
  siguientes cuestiones básicas

42
CONSIDERACION DE UN MARCO NORMATIVO
APARTADO 19.2
ORGANOS CON RESPONSABILIDAD EN LA GESTION Y
TRAMITACION DE QUEJAS.
EPÍGRAFE 19.2.1

• El marco normativo de la organización, debe dar
  cobertura suficiente y propiciar la presentación
  de quejas y sugerencias no solo de los
  destinatarios de los servicios finales prestados
  por los distintos órganos, sino también del
  propio personal.
• Puede constituirse un órgano ajeno a la
  organización con competencias específicas en la
  gestión tramitación y resolución de quejas, o
  bien constituirse unidades internas con idéntica
  función.

43

• En uno u otro caso, el papel del órgano de
  auditoria interna puede ser diferente. Puede
  prestar apoyo técnico y administrativo al órgano
  creado ad hoc para el conocimiento resolución
  de las quejas o, por el contrario, no participar
  en su tramitación y resolución, pero obtener y
  analizar la información derivada de las mismas
  con el fin de detecta conductas irregulares o
  proponer mejoras en los procesos.
• En este último caso, el órgano de auditoria
  interna realizará el seguimiento de las quejas y
  sugerencias, siendo responsable de elaborar un
  Informe Global de Quejas a la Alta Dirección de
  la Organización.

44
SEGUIMIENTO
APARTADO 19.4
ORGANO INDEPENDIENTE
EPÍGRAFE 19.4.1.

• Si existe un órgano independiente con
  competencias en la resolución de quejas, el OAI
  puede realizar funciones de apoyo técnico y
  administrativo en el proceso de tramitación. En
  éste modelo en particular, el seguimiento se
  efectúa a través de
• La recepción y tramitación.
• El establecimiento de requisitos exigibles.

45

• Control del calidad sobre las contestaciones.
• Explotación de la información a través de la
  aplicación informática diseñada al efecto.
• Presencia del Director del OAI en el consejo
  rector del órgano.
• Elaboración de una Memoria Anual.

46
SISTEMA DE TRATAMIENTO DE LAS QUEJAS Y
PROPUESTAS. OBJETIVOS Y CARACTERÍSTICAS
APARTADO 19.5
SISTEMA DE TRATAMIENTO DE LAS QUEJAS Y
PROPUESTAS. IMPLANTACIÓN Y ÓRGANOS ESPECIALIZADOS
EPÍGRAFE 19.5.1.
Se expone a continuación el sistema basado en la
existencia de un órgano independiente de la
Administración Tributaria con competencias en la
recepción y resolución de quejas de los
contribuyentes. Modelo seguido en la
Administración Tributaria española a raíz de la
creación del Consejo para la Defensa del
Contribuyente.
47
UNIDAD RESPONSABLE DE LA GESTION DE QUEJAS

• Se integra en la estructura orgánica del OAI con
  carácter y personal diferenciados.
• Su responsable es un Jefe de Área de Auditoria.
• Depende jerárquicamente del OAI y funcionalmente
  del CDC.

48
FUNCIONES

• De relación tanto con el CDC como con la
  estructura central y territorial de la AEAT.
• De Control tanto procedimental como de calidad.
• De investigación.
• De análisis y seguimiento de la información.

49
ESTRUCTURA

• UNIDADES RECEPTORAS
• Recepción.
• Acuse de recibo ante el contribuyente.
• Registro
• Remisión a Unidad de Tramitación.

50

• UNIDADES TRAMITADORAS
• Iniciar la tramitación de la queja.
• Codificar y dar alta en sistema informático.
• Decidir en primera instancia sobre su admisión a
  trámite.
• Designar al Servicio responsable.
• Recibir del Servicio responsable la contestación
  dada al contribuyente.
• Efectuar un control de calidad de la
  contestación.
• Efectuar un control material sobre la
  contestación.

51

• UNIDAD CENTRAL
• Quejas en relación con competencias de Servicios
  Centrales.
• Quejas presentadas por entidades representativas
  de intereses colectivos.
• Quejas contra Servicios de más de un ámbito
  regional.
• Sugerencias.

52
ESQUEMA GENERAL DEL PROCEDIMIENTO
EPÍGRAFE 19.5.2

• PRINCIPIOS GENERALES
• Información a los ciudadanos.
• Confidencialidad.
• Legitimación para la presentación de quejas.
• Formas y lugares de presentación.
• Constancia formal de la presentación.

53

• FASES DE LA TRAMITACION
• Fase I Recepción de la queja por las Unidades
  Receptoras Locales.
• Fase II Tramitación del expediente de Queja.
• Fase III Gestión del expediente ante el CDC.
• Las dos primeras fases se desarrollan en el
  propio OAI a través de la coordinación y
  dirección funcional de las unidades locales y
  regionales.
• La tercera se desarrolla en el Órgano
  independiente de resolución de quejas, según su
  procedimiento y con la asistencia y apoyo técnico
  del OAI.