Checklist para Anexo 30 SAT
Checklist para Anexo 30 SAT
Checklist para Anexo 30 SAT
Control Volumétrico
-2022-
Verifigas es una empresa acreditada por la entidad mexicana de
acreditación con el número de registro UICV-003, razón social
“Aplicación de Sistemas de Control SA de CV”.
Somos Socios
• Capítulo 2.6. De los controles volumétricos, de los certificados y de los dictámenes de laboratorio aplicables a
hidrocarburos y petrolíferos
• Anexo 31 de la Resolución Miscelánea Fiscal para 2022: “De los servicios de verificación de la correcta
operación y funcionamiento de los equipos y programas informáticos para llevar los controles volumétricos y de
los certificados que se emitan”
• Anexo 32 de la Resolución Miscelánea Fiscal para 2022: “De los servicios de emisión de dictámenes que
determinen el tipo de hidrocarburo o petrolífero, de que se trate, y el octanaje en el caso de gasolina, y de los
dictámenes que se emitan”
Extensión SAT Mod. Fiscal 2022
¿Qué se revisa en la inspección?
▪ El proceso de inspección de los equipos y programas informáticos para llevar controles volumétricos, debe determinar
la conformidad de dichos equipos y programas con respecto a las especificaciones técnicas de funcionalidad y
seguridad establecidas en el Anexo 30 y en su defecto, indicar los hallazgos, conclusiones y recomendaciones que los
contribuyentes deberán atender, a fin de garantizar la confiabilidad de tales equipos y programas.
▪ La inspección se realiza de acuerdo al Anexo 31 y valida la conformidad con lo siguiente:
▪ Generación de registro de volumen (Anexo 30.5)
▪ Verificación de la Gestión de los Sistemas de medición;
▪ Recopilación y almacenamiento de información (Anexo 30.6)
▪ Registro de volumen (Sistema de Medición);
▪ Dictámenes de tipo de hidrocarburo o petrolífero;
▪ Archivos CFDIs (Sistema Informático);
▪ Generación y envío de reportes (a SAT).
Informes INBOX
Recomendaciones
Previas
Acreditación
Alcance acreditado en: www.ema.org.mx de la inspección
Requerimientos para dimensionar la inspección
• Información de la empresa
• RFC y/o Razón social
• Permiso de la CRE (por instalación)
• Ubicación Física (para visita en Sitio)
• Número de instalaciones (acorde a las que deberán de ser inspeccionadas)
• Contar con un Sistema de Gestión de Medición
• De acuerdo con la norma NMX-CC-10012-IMNC, en donde se muestran los requisitos para los procesos de medición y los
equipos de medición
• Características y tamaño de la instalación
• Por ejemplo, para estaciones de servicio:
• Cantidad de Dispensarios
• Cantidad de Tanques
• Proveedor y versión de Sistema informático de Control Volumétrico instalado
▪ El proceso de inspección de los equipos y programas informáticos para llevar controles volumétricos, debe determinar la
conformidad de dichos equipos y programas con respecto a las especificaciones técnicas de funcionalidad y seguridad
establecidas en el Anexo 30 y en su defecto, indicar los hallazgos, conclusiones y recomendaciones que los contribuyentes
deberán atender, a fin de garantizar la confiabilidad de tales equipos y programas.
▪ La inspección se realiza de acuerdo al Anexo 31 y valida la conformidad con lo siguiente:
▪ Generación de registro de volumen (Anexo 30.5)
▪ Verificación de la Gestión de los Sistemas de medición;
▪ Recopilación y almacenamiento de información (Anexo 30.6)
▪ Registro de volumen (Sistema de Medición);
▪ Dictámenes de tipo de hidrocarburo o petrolífero;
▪ Archivos CFDIs (Sistema Informático);
▪ Generación y envío de reportes (a SAT).
¿Qué se revisa en la inspección? – Anexo 30.5
▪ Revisión del sistema de gestión de las mediciones • El arreglo de tuberías del diseño, diámetros de tuberías
▪ Revisión de la existencia de programas de mantenimiento y verificación
y dimensiones de los medios de almacenamiento.
• Ubicación de elementos primarios y secundarios y sus
correspondientes tomas de proceso
Se valida: • Presencia de vibraciones, ruido u otras perturbaciones y
• De acuerdo los planos establecidos (para lo no métodos utilizados para su minimización o eliminación.
visible), así como lo validado en sitio en la • Integridad mecánica.
instalación (ubicación, instalación correcta, estado
físico,
• Materiales de construcción utilizados
• Confirmación de tipos de materiales utilizados • Instalación eléctrica acorde a la clasificación del área.
(acero inoxidable, acero al carbón de aluminio)
• Dictamen vigente aplicable
¿Qué se revisa en la inspección? – Anexo 30.5
▪ Para obtener su confirmación metrológica, la verificación de los sistemas de medición (Anexo 30.5)
Validar la operación del sistema de medición se lleva a
incluye los siguientes aspectos: cabo de acuerdo con las referencias normativas listadas en
▪ Análisis del entorno de operación el apartado 30.7. del Anexo 30, y/o a los manuales y
▪ Análisis de la correcta selección de la tecnología de medición empleada recomendaciones del fabricante.
▪ Inspección y evaluación del diseño de la instalación
▪ Revisión del sistema de gestión de las mediciones • Verificar que se lleve un registro de todos los cambios o
ajustes realizados, tanto a la configuración del
(SGM)
computador de flujo o volumen, como a los demás
▪ Revisión de la existencia de programas de mantenimiento y verificación
elementos del sistema de medición
• Verificar que el personal involucrado en el proceso de
Que se documenta a través del SGM:
medición y la administración de los sistemas de
• Censo de todos los elementos del sistema.
• Especificaciones técnicas de los elementos del sistema.
medición está facultado para desempeñar las tareas
• Planos y diagramas del sistema de medición. asignadas
• Manuales y/o procedimientos de operación, verificación y
mantenimiento.
• Revisar que se tenga un control documental mediante la
• Certificados de calibración integración de un expediente del sistema de medición.
• Reportes de laboratorio del hidrocarburo o petrolífero de que
se trate.
* Sistemas de gestión de las mediciones - Requisitos para los procesos de medición y los equipos de medición
¿Qué se revisa en la inspección? – Anexo 30.5
▪ Para obtener su confirmación metrológica, la verificación de los sistemas de medición (Anexo 30.5)
incluye los siguientes aspectos:
Qué involucra:
▪ Análisis del entorno de operación
▪ Análisis y evaluación de la operación del sistema de medición • Verificar que se lleva un seguimiento estadístico de las
▪ Revisión del sistema de gestión de las mediciones (SGM) variables de control asociadas al sistema de medición y que
estas no sobrepasen los limites de control establecidos
▪ Revisión de la existencia de programas de
mantenimiento y verificación • Evaluar la estimación de incertidumbre con base en la norma
NMX-CH-140-IMNC-2002 "Guía para la Expresión de
Incertidumbre en las Mediciones" para verificar que las
características metrológicas de los elementos asociados en la
medición, las cuales pueden ser obtenidas de las
especificaciones del fabricante y/o de los certificados de
calibración
¿Qué se revisa en la inspección? – Anexo 30.5
Ejemplos
▪ Dictámenes / Certificados
de calibración
▪ Planos
▪ Especificaciones técnicas
de equipo otorgadas por el
fabricante
¿Qué se revisa en la inspección? – Anexo 30.6
▪ Para obtener su confirmación de los programas informáticos, la verificación de los programas informáticos para
llevar controles volumétricos (Anexo 30.6) incluye los siguientes aspectos:
▪ Requerimientos de funcionalidad
▪ Requerimientos de seguridad
▪ Realizar pruebas de consulta y pruebas de generación de informes, corroborando los resultados obtenidos
con la información visualizada directamente en las tablas de la base de datos
▪ Realizar una prueba simulando la interrupción de la comunicación de algún elemento del control
volumétrico, siempre y cuando existan condiciones que no comprometan la operación
¿Qué se revisa en la inspección? – Anexo 30.6
▪ Para obtener su confirmación de los programas informáticos, la verificación de los programas Qué involucra:
informáticos para llevar controles volumétricos (Anexo 30.6) incluye los siguientes aspectos:
▪ Funcionalidad general
▪ Requerimientos de funcionalidad • Interfaz grafica.
• Control de acceso (seguridad y roles).
▪ Requerimientos de seguridad
• Manejo de alarmas.
▪ Realizar pruebas de consulta y pruebas de generación de informes, corroborando los • Manejo de bitácora.
resultados obtenidos con la información visualizada directamente en las tablas de la base de
datos ▪ Información que recopila
▪ Realizar una prueba simulando la interrupción de la comunicación de algún elemento del
• Datos de contribuyente / Información fiscal.
control volumétrico, siempre y cuando existan condiciones que no comprometan la • Registro de volumen.
operación • Tipo de hidrocarburo.
▪ Almacenamiento de la información
Se valida: • Seguro, confiable.
• A través de documentación del sistema informático de • No vulnerable.
control volumétrico • Características de la BD y de la información como se
• Confirmación en sitio de la funcionalidad esperada y/o almacena.
mecanismos implementados comprobables • Ser del tipo relacional.
• Contar con herramientas para gestión de la base de datos
• Muestra de información y/o eventos comprobables que • Soportar intercambio de datos bajo estándar JSON y/o XML
se vean reflejados en el sistema (transacciones, ▪ Procesamiento de la información
eventos de bitácora como pueden ser fallas, errores,
etc.)
• Consolidación y reportes de información diarios y
mensuales conforme a las especificaciones y
características técnicas para su generación publicadas
en el Portal del SAT .
¿Qué se revisa en la inspección? – Anexo 30.6
▪ Para obtener su confirmación de los programas informáticos, la verificación de los programas
informáticos para llevar controles volumétricos (Anexo 30.6) incluye los siguientes aspectos:
Qué involucra:
▪ Requerimientos de funcionalidad
▪ Garantizar la confidencialidad, la integridad,
▪ Requerimientos de seguridad conservación, confiabilidad y la disponibilidad de la
▪ Realizar pruebas de consulta y pruebas de generación de informes, corroborando los
resultados obtenidos con la información visualizada directamente en las tablas de la base de
información
datos • Contar con documentación técnica
▪ Realizar una prueba simulando la interrupción de la comunicación de algún elemento del
• Contar con control de acceso
control volumétrico, siempre y cuando existan condiciones que no comprometan la • Procedimientos formales para restringir y controlar la
operación
asignación y uso de los privilegios de acceso
• Revisión y depuración de los usuarios y privilegios
• Procedimientos formales de generación, asignación y
Se valida: gestión de contraseñas
• Documentación técnica existente y en posesión del • Expiración de sesión
contribuyente. • Creación y resguardo de bitácoras donde se almacenen los
• Mecanismo de control de acceso y sus eventos de seguridad (aplicativo, base de datos y sistema
procedimientos establecidos e implementados
operativo)
• Bitácora de eventos (y su información)
• Contar con un proceso de control de cambios
• Implementación de mecanismo de control de
• Contar con ambientes de desarrollo, pruebas y producción
versiones
• Contar con el registro documental que permita sustentar la
titularidad del programa informático
• Contar con identificador único (hash con un algoritmo al
menos SHA256 o firma digital)
¿Qué se revisa en la inspección? – Anexo 30.6
▪ Para obtener su confirmación de los programas informáticos, la verificación de los programas
informáticos para llevar controles volumétricos (Anexo 30.6) incluye los siguientes aspectos:
Qué involucra:
▪ Requerimientos de funcionalidad
▪ Garantizar la confidencialidad, la integridad,
▪ Requerimientos de seguridad conservación, confiabilidad y la disponibilidad de la
▪ Realizar pruebas de consulta y pruebas de generación de informes, corroborando los
resultados obtenidos con la información visualizada directamente en las tablas de la base de
información
datos • Debe tener aplicada y documentada una línea base
▪ Realizar una prueba simulando la interrupción de la comunicación de algún elemento del
de seguridad
control volumétrico, siempre y cuando existan condiciones que no comprometan la • Implementación de autenticación de los usuarios (internos
operación o clientes).
• Implementación de mecanismo de no repudio de
transacciones.
• Protección contra inyección de código.
Se valida: • Inicio de sesión mediante mecanismo de autenticación de
• Documentación del mecanismo de seguridad de usuarios.
• Validación de datos de entrada/salida para evitar errores en
autenticación, protección contra el procesamiento de la información
vulnerabilidades, manejo de errores • Manejo de errores.
• Información procesada debe encontrarse cifrada
en su almacenamiento y transferencia
• Contar con una política y procedimientos para la
gestión de incidentes de Seguridad
• Mecanismos de criptografía como lo son el uso de
certificados digitales para proteger el acceso y el
consumo del servicio
¿Qué se revisa en la inspección? – Anexo 30.6
▪ Para obtener su confirmación de los programas informáticos, la verificación de los programas
informáticos para llevar controles volumétricos (Anexo 30.6) incluye los siguientes aspectos:
Qué involucra:
▪ Requerimientos de funcionalidad
▪ Garantizar la confidencialidad, la integridad,
▪ Requerimientos de seguridad conservación, confiabilidad y la disponibilidad de la
▪ Realizar pruebas de consulta y pruebas de generación de informes, corroborando los
resultados obtenidos con la información visualizada directamente en las tablas de la base de
información
datos • Realizar y documentar de manera anual pruebas de
▪ Realizar una prueba simulando la interrupción de la comunicación de algún elemento del
seguridad al programa informático para llevar
control volumétrico, siempre y cuando existan condiciones que no comprometan la controles volumétricos y a los activos tecnológicos
operación
que dan soporte al mismo
• Validación con la red implementada:
• Contar con dispositivos de prevención o detección de
Se valida: Intrusos cuyas firmas estén actualizadas.
• Políticas de seguridad en la red implementada • Dispositivos de seguridad perimetral
• Segmentadas por su direccionamiento y tipo de tráfico
• Políticas de respaldo de información y (productivo y gestión)
manteamiento a dichos respaldos • Contar con políticas y procedimientos para la
generación de respaldos de la información.
• Los medios donde se almacenen respaldos o información
asociada a la operación del programa informático deberán
estar sujetos a un procedimiento formal de destrucción o
borrado seguro en caso de baja, disposición o reutilización
¿Qué se revisa en la inspección? – Anexo 30.6
▪ Para obtener su confirmación de los programas informáticos, la verificación de los programas
informáticos para llevar controles volumétricos (Anexo 30.6) incluye los siguientes aspectos:
Qué involucra:
▪ Requerimientos de funcionalidad
▪ Garantizar la confidencialidad, la integridad,
▪ Requerimientos de seguridad conservación, confiabilidad y la disponibilidad de la
▪ Realizar pruebas de consulta y pruebas de generación de informes, corroborando los
resultados obtenidos con la información visualizada directamente en las tablas de la base de
información
datos • Planear, monitorear y ajustar el uso de activos
▪ Realizar una prueba simulando la interrupción de la comunicación de algún elemento del
tecnológicos y recursos operativos para asegurar el
control volumétrico, siempre y cuando existan condiciones que no comprometan la desempeño requerido por el programa informático
operación
por lo menos durante 12 meses
• Todos los activos tecnológicos relacionados al
programa informático para llevar controles
Se valida: volumétricos deben estar claramente identificados
• Inventario y política de mantenimiento sobre el
en un inventario de activos.
equipo tecnológico utilizado (hardware)
• Contar con acuerdos de confidencialidad firmados
por el personal involucrado en el desarrollo e
implementación del programa informático para
llevar controles volumétricos.
¿Qué se revisa en la inspección? – Anexo 30.6
▪ Para obtener su confirmación de los programas informáticos, la verificación de los programas
informáticos para llevar controles volumétricos (Anexo 30.6) incluye los siguientes aspectos:
▪ Requerimientos de funcionalidad
▪ Requerimientos de seguridad
▪ Requerimientos de funcionalidad
▪ Requerimientos de seguridad
Ejemplos
▪ Documentos técnicos de:
▪ Arquitectura
▪ Flujo de Datos
▪ Modelo y diccionario de datos
▪ Diagrama de implementación
▪ Manuales de usuario
▪ Operatividad del sistema:
▪ Control de acceso (login/perfiles)
▪ Pantallas
¿A QUIÉN
ELEGIR?
Diferenciadores claves
Background Tecnologico
Podremos hacer las integraciones necesarias para futuros requerimientos
por parte de la autoridad, somos los únicos al momento que estamos en
capacidad de poder cumplir con el objetivo final del SAT que es un reporte
transaccional de entradas, salidas e inventarios.
Expertise Regulatorio
Verifigas es la única entidad acreditada que tuvo que pasar por un proceso
desde cero donde se demostró que los procedimientos y las metodologías
de trabajo, adicional de venir con mas de 5 años de experiencia
gestionando procesos con la autoridad.
Fortaleza Financiera
Previamente ya cumplimos con los procedimientos del SAT y contamos
con fianzas operativas por hasta 5 MUSD.
SCRIPT DE SEGURIDAD / Prueba de IntrusiÓn
Grandes diferencias
Como grupo, aportamos nuestra sólida historia y experiencia de trabajo en distintas industrias con miles de
ideas para construir una solución única que permita dar un servicio enriquecedor a nuestros clientes
otros
Análisis inicial N/A 1X
Análisis inicial
Hasta 300 %
Esto es un ejemplo representativo de muestreo. La diferencia final representa un ahorro de hasta 300% aprox. respecto al costo de VERIFIGAS vs al de la
competencia / VERIFIGAS no cotiza análisis inicial debido a que dicho concepto se encuentra fuera de nuestro alcance y de temas de auditoria ante el organismo
acreditador y el SAT / Según informes de las otras compañías verificadoras entre el 70-75% de sus clientes llevan MAS de 2 visitas sin éxito, y van por una tercera
41
Q&A
Si ya sabes lo que necesitas,
o aún no lo sabes, llámanos.
+ 52 81 2710 7920
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]