Accesos SRI: ¿quién tiene permisos sobre tu empresa?
- Alejandro Tapia

- hace 12 horas
- 6 min de lectura

Un tema que muchos gerentes revisan tarde
En una empresa se suele controlar el banco, la caja, el inventario, las ventas, las claves del sistema contable y hasta quién tiene la llave de la oficina.
Pero hay una “llave digital” que muchas veces se pasa por alto: el acceso al SRI.
Y aquí viene la pregunta incómoda, pero necesaria:
¿Sabes exactamente quién puede ingresar al SRI en nombre de tu empresa?
No es una pregunta menor. En el portal del SRI se puede consultar información tributaria, revisar obligaciones, acceder a notificaciones, gestionar trámites, revisar comprobantes, actualizar ciertos datos del RUC y operar procesos relacionados con declaraciones o facturación electrónica. Es decir, no estamos hablando de una clave cualquiera. Estamos hablando de una puerta directa a la vida tributaria de la empresa.
El propio SRI indica que la clave de acceso es personal e intransferible, y que el titular o representante legal es responsable de su cuidado, del mal uso o del uso por terceros autorizados.
El problema no siempre es el contador
Aquí hay que ser justos: el problema no es “el contador”, ni “el asistente”, ni “el proveedor del sistema”. El problema aparece cuando la empresa no sabe quién tiene acceso, para qué lo tiene y si todavía debería tenerlo.
En muchas empresas pasa algo así:
El contador anterior aún conoce la clave.
El correo de recuperación está registrado con un correo antiguo.
Una exasistente tenía acceso para “ayudar con un trámite”.
El proveedor del sistema de facturación tiene cargada la firma electrónica.
El gerente cree que solo el área contable entra al SRI, pero en realidad hay usuarios adicionales o autorizaciones que nadie ha revisado.
Y claro, mientras todo funciona, nadie pregunta. El problema aparece cuando hay una notificación no atendida, una declaración enviada sin validación interna, una factura emitida por error, un cambio de contador o una diferencia tributaria que pudo detectarse antes.
La administración tributaria no suele aceptar como estrategia empresarial el clásico “yo pensé que eso lo veía otra persona”. Spoiler: no es un buen plan de control interno.
Qué tipos de acceso debería revisar un gerente
Cuando hablamos de accesos al SRI, no solo hablamos de “quién tiene la clave principal”. La revisión debe ser más amplia.
Primero, hay que revisar la clave principal del RUC. Esta debe estar bajo control del representante legal o de la persona formalmente designada por la empresa. Si la clave se ha compartido por WhatsApp, correo o notas internas, ya existe un riesgo.
Segundo, hay que revisar los usuarios adicionales. El SRI permite que terceros autorizados accedan a opciones de SRI en línea. Según la guía oficial, estos usuarios pueden visualizar alertas y avisos enviados al titular al buzón del contribuyente, aunque no tienen habilitada la administración de otros usuarios adicionales.
Tercero, hay que revisar las autorizaciones a terceros. El SRI permite generar autorizaciones electrónicas para que otras personas realicen trámites a nombre del contribuyente. Además, aclara que las cartas de autorización firmadas manualmente no son válidas, salvo casos con poder legalmente otorgado. Estas autorizaciones pueden consultarse y anularse desde SRI en línea.
Cuarto, hay que revisar los medios de contacto registrados: correo electrónico, número celular y datos asociados a la recuperación de clave. Si el correo de recuperación pertenece a una persona que ya no trabaja en la empresa, la empresa no tiene control real sobre su acceso.
Quinto, hay que revisar la firma electrónica utilizada para facturación. El Facturador SRI requiere contar con un certificado de firma digital electrónica vigente para emitir comprobantes electrónicos, y permite emitir documentos como facturas, notas de crédito, notas de débito, comprobantes de retención y guías de remisión.
Sexto, hay que revisar quién administra el sistema de facturación electrónica o software contable conectado con los procesos tributarios. A veces el riesgo no está directamente en el SRI, sino en el sistema que emite documentos tributarios usando credenciales o certificados cargados previamente.
El buzón del contribuyente: el lugar donde el silencio puede salir caro
Uno de los puntos más delicados es el buzón del contribuyente.
El SRI utiliza notificación electrónica para que los contribuyentes reciban información, recordatorios, respuestas a trámites y documentos emitidos por la Administración Tributaria. Estos documentos pueden visualizarse en el Buzón del Contribuyente dentro del portal. (Servicio de Rentas Internas)
Esto es importante porque una notificación no leída no significa necesariamente una obligación inexistente. Puede significar simplemente que nadie la vio a tiempo.
Por eso, desde la gerencia, no basta con preguntar: “¿Estamos al día con el SRI?”
La pregunta correcta debería ser:
¿Quién revisa el buzón del contribuyente, cada cuánto lo hace y quién deja evidencia de esa revisión?
Una empresa puede tener todo en orden, pero si no atiende una notificación, puede entrar en un problema por simple falta de control.
El acceso al SRI también es gobierno corporativo
Este tema no debería tratarse como un asunto operativo menor. Debería formar parte del control interno de la empresa.
Así como se define quién aprueba pagos, quién firma contratos y quién autoriza compras, también debe definirse quién puede ingresar al SRI, con qué alcance y bajo qué responsabilidad.
Un gerente debería tener claro:
Quién tiene la clave principal.
Quiénes son usuarios adicionales.
Qué autorizaciones a terceros están vigentes.
Quién tiene acceso al correo de recuperación.
Quién maneja la firma electrónica.
Quién revisa el buzón del contribuyente.
Quién puede emitir, anular o modificar documentos tributarios desde el sistema de facturación.
Quién valida declaraciones antes de su envío.
Esto no es desconfianza. Es administración profesional.
Señales de alerta que no deberías ignorar
Hay varias señales que indican que la empresa necesita revisar sus accesos de inmediato:
Si la clave del SRI la conocen varias personas.
Si el contador anterior aún puede ingresar.
Si no sabes qué correo está registrado para recuperar la clave.
Si no tienes claro quién revisa el buzón del contribuyente.
Si la firma electrónica está cargada en computadoras de terceros.
Si el proveedor del sistema puede emitir documentos sin autorización interna.
Si nadie ha revisado usuarios adicionales o autorizaciones vigentes.
Si solo te enteras de los temas tributarios cuando ya existe una multa, diferencia o requerimiento.
Cuando una empresa llega a ese punto, el problema ya no es tributario. Es de control.
Qué debería hacer una empresa cada cierto tiempo
Una buena práctica es hacer una revisión trimestral o semestral de accesos SRI. No tiene que ser un proceso complicado, pero sí debe ser ordenado.
La empresa debería cambiar claves cuando exista cambio de contador, salida de personal administrativo, cambio de representante legal o modificación del proveedor contable o tecnológico.
También debería revisar y anular autorizaciones que ya no sean necesarias. El SRI permite consultar el historial de autorizaciones a terceros y anularlas si corresponde.
Además, es recomendable mantener un registro interno con la siguiente información:
Persona autorizada.
Motivo del acceso.
Fecha de autorización.
Tipo de acceso otorgado.
Responsable interno que lo aprobó.
Fecha de revisión o eliminación.
Este pequeño control puede evitar muchos problemas. Es más barato revisar accesos que explicar después por qué alguien hizo algo que nadie autorizó.
La recomendación para gerentes
Si eres gerente, dueño o representante legal, no necesitas saber operar cada pantalla del SRI. Para eso está tu equipo contable y tus asesores.
Pero sí necesitas saber quién tiene control sobre esa información. El acceso al SRI debe manejarse con el mismo nivel de cuidado que una cuenta bancaria, porque aunque no mueva dinero directamente, sí puede generar consecuencias económicas, tributarias y administrativas para la empresa.
La clave no es desconfiar de todos. La clave es que cada acceso tenga nombre, motivo, control y fecha de revisión. Porque en temas tributarios, el verdadero riesgo muchas veces no está en lo que la empresa sabe. Está en lo que nadie está revisando.
En Conclusión
Revisar los accesos al SRI no es una tarea burocrática. Es una medida de protección empresarial. Una empresa ordenada no solo declara a tiempo. También sabe quién tiene acceso a su información, quién puede actuar en su nombre y quién responde internamente por cada proceso.
En A&CS ayudamos a las empresas a mantener su gestión contable, tributaria y administrativa bajo control, no solo para cumplir con el SRI, sino para tomar mejores decisiones y reducir riesgos innecesarios.
Antes de preguntarte si tu empresa está al día, pregúntate algo más importante:
¿Quién tiene la llave digital de tu empresa ante el SRI?

GRUPO A&CS Consultores Av. De los Shyris N32-218 y Av. Eloy Alfaro, Edificio Parque Central, Oficina 503
(+593) 2 395 9755 / (+593) 99 902 4950




Comentarios