I Encuentro Virtual sobre TI para Contadores de las Américas
-
Upload
castaneda-mejia-asociados -
Category
Economy & Finance
-
view
323 -
download
2
description
Transcript of I Encuentro Virtual sobre TI para Contadores de las Américas
E-mail: [email protected]
www.facebook.com/cmyasociados wwww.cmconsultoressa.es.tl
MATERIAL DEL
“I ENCUENTRO VIRTUAL SOBRE
TECNOLOGÍAS DE LA INFORMACIÓN PARA
CONTADORES DE LAS AMÉRICAS”
Manejo de Resolución de Querellas en el Mundo Cibernético
Jean G. Vidal Font, LL.M Ferraiuoli LLC 221 Plaza Bldg. 5th Floor, Pónce de León Ave. San Juan, PR 00917
Corporación de Internet para la Asignación de Nombres y Números (ICANN)
• Organización sin fines de lucro.
• Asigna direcciones de protocolo IP.
• Administra DNS.
Política de Resolución de Disputas de Nombres de Dominio Uniformes (UDRP)
• Establecido por ICANN.
• Busca resolver disputas de nombres de dominios basados en marcas registradas de una manera rápida y barata.
• Se intenta solucionar la disputa mediante acuerdo, acción judicial o arbitraje, antes de que el nombre de dominio sea cancelado, removido o transferido.
• Todos los registradores están bajo esta política.
Elementos a establecer en la Demanda (UDRP)
• El nombre de dominio es igual o causa confusión por ser similar a una marca.
• El demandado no tiene derecho sobre o interés legítimo en el nombre de dominio.
• El demandado registró el nombre de dominio y lo está usando con mala fé.
Demanda - Elementos
• Puede ser pertinente a más de un nombre de dominio.
• Es presentada a un Proveedor aprobado por ICANN.
• Debe ser radicada de forma electrónica.
• Redactada en el mismo lenguaje que el contrato de registro.
Demanda Respuesta
Respuesta (UDRP)
• El Demandado tiene 20 días para presentarla al Proveedor.
• Debe responder específicamente a las imputaciones estipuladas en la demanda .
Respuesta Designación
Panel Administrativo (UDRP)
• Es designado por el Proveedor.
• Está compuesto por 1 o 3 personas expertas en el tema.
• Es independiente de todas las partes envueltas.
• Emite una decisión sobre la demanda.
• Le notifica a las partes.
Designación Decisión & Notificación
Decisiones (UDRP)
• El panel administrativo puede: – Decidir a favor del demandante y ordenar que el nombre
de dominio en cuestión sea transferido a esa persona o entidad.
– Decidir a favor del demandante y ordenar que el nombre de dominio en cuestión sea cancelado; o
– Decidir a favor del demandado y denegar el remedio solicitado en la demanda.
Decisión & Notificación
Implementación
Ventajas
• Rápidez
• Barato
• Informal
• Internacional
• Personal experto
VIOLACIÓN AL DERECHO MARCARIO CON NOMBRES DE DOMINIO
• Llamado cybersquatting en Inglés • Ocurre cuando un tercero adquiere un nombre de
dominio que contenga su marca. • Legislación federal (Lanham Act) provee un remedio
para el dueño de la marca.
VIOLACIÓN AL DERECHO MARCARIO CON NOMBRES DE DOMINIO
• Uso de marca como nombre de dominio.
• Registración de marca en nombre de dominio se hace de mala fé.
• Varios factores para considerar intención/mala fé de registro.
• A.C.P.A. 11 U.S.C.A. 1125 (d).
DMCA Notice and Take Down
• El Digital Millenium Copyright Act (DMCA) es una ley de EEUU que protege los derechos de autor.
• Proceso para bajar de la red material que viole derechos de autor o que sea illegal.
• Se le notifica al online service provider.
• Luego de la notificación, el online service provider deberá remover el contenido de la web.
Requisitos
• La notificación debe incluir: – Suficiente información sobre el material infringido para que el
online service provider pueda identificarlo y encontrarlo en la web;
– Información sobre la parte afectada para poder comunicarse con ésta ;
– Una declaración de la parte afectada que indique el uso del material que viola los derechos de autor que no fue autorizado por el dueño de los derechos de autor, su agente o la ley;
– Una declaración que indique que “the information in this notification is accurate, and under penalty of perjury, that the complaining party is authorized to act on behalf of the owner of an exclusive right that is allegedly infringed.”
DMCA Takedown
• El material que violenta los derechos de autor es removido del website por el online service provider.
• No tiene que haber derecho de autor para pedir que se elimine el material en cuestión.
• El hecho de que el material sea propio o que una foto o video sea de uno, es suficiente para solicitar que se remueva el contenido.
Conclusión
• Dueños de marcas tienen remedios administrativos (UDRP) y judiciales (ACPA) para remediar violaciones a derechos marcarios por nombre de dominio.
• Dueños de obras pueden exigir que se remueva una obra mediante “take down notice” a tenor con el DMCA.
• Medidas que son económicas en comparación con remedios judiciales.
Antonio Ayala I.
VP Ejecutivo, RISCCO
15 de agosto de 2014
Fraude en el ambiente cibernético
Entérate de: ¿Cómo? ¿Quién? ¿Dónde?
© 2009 – 2014 RISCCO.
El fraude cibernético a
consumidores alcanza los
US$113,000 millones.
Norton Report, Octubre 2013
Página 3
© 2009 – 2014 RISCCO.
Cybercrime is one of the greatest
threats facing our country, and
has enormous implications for
our national security, economic
prosperity, and public safety.
Eric H. Holder, Attorney General
USA Department of Justice,
Página 4
© 2009 – 2014 RISCCO.
85% de los Ejecutivos, indicó
que su organización es
susceptible a ser víctima del
Espionaje Digital Corporativo.
Sondeo Espionaje Digital Corporativo
RISCCO, Febrero 2013
Página 5
© 2009 – 2014 RISCCO.
Agenda
1. Realidad y no ficción. Mitos sobre seguridad de información.
2. Amenazas y riesgos. Delitos informáticos comunes y no tan comunes.
3. Controles y buenas prácticas
4. Reflexiones finales
© 2009 – 2014 RISCCO.
Realidad y no ficción
Diez mitos sobre la seguridad de información en
Panamá
Página 4
© 2009 – 2014 RISCCO.
Diez Mitos
10 El responsable de Tecnología es altamente calificado por
lo que también domina la seguridad de información.
9 El uso de redes sociales no me debe preocupar.
8 El es el Gerente General. No debemos ponerle tantas
restricciones ya que en su computador no hay nada
importante.
7 Mi información está segura, ya que tenemos que digitar
una contraseña para ingresar a la aplicación.
6 Para qué hacer un plan de continuidad de negocios si
aquí en Panamá no pasa nada porque estamos
bendecidos por Dios. Página 5
© 2009 – 2014 RISCCO.
Diez Mitos
5 La seguridad de información es una responsabilidad del
Departamento de Tecnología.
4 Mis colaboradores son muy leales a la organización, ellos
no me robarán datos confidenciales y sensitivos.
3 Nuestros sistemas y redes no han sido atacados, por lo
tanto, son seguros.
2 Los hackers atacan solo a las grandes corporaciones.
1 Dado que tengo un firewall (dispositivo de seguridad) y
programas antivirus, estoy protegido.
Página 6
© 2009 – 2014 RISCCO.
Amenazas y riesgos
Delitos informáticos comunes y no tan comunes
Página 7
© 2009 – 2014 RISCCO.
Delitos informáticos comunes
1. Fraude banca en línea
2. Fraude tarjeta de créditos
3. Robo de credenciales de acceso a
sistemas
4. Robo de información sensitiva en
computadores o servidores
5. Ataques denegación de servicio
6. Robo de identidad
7. Acoso (cyberbulling)
8. ATM skimming
Página 8
© 2009 – 2014 RISCCO.
Delitos informáticos no tan comunes
Cyber-Jacking
Human Malware
Cyber Assault
Cyber Extortion
Car Sploiting
Brick Attacks
Identity Theft Squared
Mini-Power Outages
Página 9
Fuente: Jason Glassberg, CASABA
http://www.foxbusiness.com/personal-finance/2014/05/14/future-crime-8-
cyber-crimes-to-expect-in-next-20-years/
© 2009 – 2014 RISCCO.
Consejos y buenas
prácticas
© 2009 – 2014 RISCCO.
Tipos de fraude digital (clasificación básica)
1. Fraudes digitales realizados
externamente a recursos TIC de la
organización.
2. Fraudes digitales realizados
internamente a recursos TIC de la
organización.
3. Fraudes digitales realizados
internamente a recursos TIC de la
organización debido a pobrísima
estructura de control interno.
© 2009 – 2014 RISCCO.
Tecnologías para la prevención y detección de fraudes
digitales (adicional a las tradicionales).
Problema
1. Fraudes digitales realizados
externamente a recursos TIC
de la organización.
(robo credenciales servicios en línea-
móviles, acceso/alteración
información/datos confidenciales)
Solución
Tecnológica
a) Herramientas para la prevención y
detección del fraude vía Web y
Móvil
Nice Actimize, RSA, Accertify, 41st Parameter,
Guardian Analytics, Trusteer, CA Arcot.
Lookout Mobile, BehavioMobile Security, entre
otros.
b) Herramientas para el monitoreo y
seguridad de la base de datos
Hedgehog Enterprise, Audit Vault,
SecureSphere Data Security Suite, InfoSphere
Guardium, FortiDB, DbProtect, entre otros.
© 2009 – 2014 RISCCO.
Tecnologías para la prevención y detección de fraudes
digitales (adicional a las tradicionales).
Problema
2. Fraudes digitales realizados
internamente a recursos TIC
de la organización.
(robo credenciales servicios en línea-
móviles, acceso/alteración
información/datos confidenciales)
Solución
Tecnológica
a) Herramientas para la prevención y detección
del fraude vía Web y Móvil
b) Herramientas para el monitoreo y seguridad
de la base de datos
c) Herramientas de DLP (Data Loss Prevention)
Mcafee, CA Technolgies. Symantec, RSA,
WebSense, entre otros
c) Herramientas para la seguridad de archivos
SecureSphere File Security
© 2009 – 2014 RISCCO.
Tecnologías para la prevención y detección de fraudes
digitales (adicional a las tradicionales).
Problema
3. Fraudes digitales realizados internamente a recursos TIC de la
organización debido a pobrísima estructura de control interno.
(accesos a datos y funciones inapropiados, poca o nula seguridad de
información, inadecuados derechos de acceso en ERP, procesos para
revocar/otorgar accesos poco efectivos, )
© 2009 – 2014 RISCCO.
Lo básico, no pasa de moda
1. Mantener siempre y oportunamente los últimos parches/actualizaciones de
seguridad en el software utilizado (Windows, adobe, etc.).
2. Adquiera/construya aplicaciones tipo “web” seguras. El 60% de todos los
ataques en la Internet se deben a aplicaciones web inseguras.
3. Establecer controles efectivos para derechos de accesos (ERP y tecnología).
4. Implante políticas y procedimientos modelo de seguridad.
© 2009 – 2014 RISCCO.
Reflexiones finales
© 2009 – 2014 RISCCO.
1. Nadie es inmune.
2. Existe el marco legal/regulatorio para realizar demandas.
3. Los mecanismos de defensa tradicionales no son suficientes a
la sofisticación de las amenazas tecnológicas actuales.
MITOS Y REALIDADES
del uso competitivo de las redes sociales
INTRODUCCIÓN
•Las redes sociales son un cambio más que generacional, uno cultural que no
conoce fronteras territoriales.
•Lo que empezó como una forma de conectar con amigos y familiares, es ahora eje de un EGOsistema.
•Compartimos status, fotos y videos de lo que hacemos, donde estamos, con quien. No con el mero fin de informar, sino de provocar una reacción de nuestros amigos o seguidores.
•Nuestra audiencia en la redes sociales esta apoderada con el entendimiento de que tienen igualmente una audiencia, et. seq.
•El verdadero valor de nuestra opinión, lo medimos en Likes, Views, Retweets.
•Las redes sociales no son una moda pasajera; son la más dramática evolución en la interacción humana en nuestros tiempos.
REDES SOCIALES Y AMÉRICA LATINA
La region en el mundo con mayor “engagement” es América Latina – State of Social Media 2014 - Comscore
REDES SOCIALES Y AMÉRICA LATINA
México es el país con mayor alcance en sitios en redes sociales – State of Social Media 2014 - Comscore
INTELIGENCIA SOCIAL PARA UNA ERA DIGITAL • Inteligencia social no es otra cosa que una combinación entre la recopilación de la data cuantitativa que proveen los usuarios en las redes sociales, puesta en contexto, luego de un cernimiento cualitativo, conducente a proveer información sobre la cual, puedan tomarse decisiones importantes.
•Las redes sociales son una cantera de valiosas opiniones inéditas que bien manejadas, bajo el amparo de los límites permitidos por ley, ofrecen nuevos horizontes para conocer y predecir audiencias y mercados.
•La inteligencia digital, le ofrece al publicista, relacionista, profesional del mercadeo, en fin, al empresario u organización en general, una herramienta única para poder planificar sus estrategias de comunicación y mercadeo.
• Jamás en la historia, habíamos tenido la oportunidad de conocer tanto sobre las personas, un status a la vez, un tweet a la vez, un like a la vez.
•Esto, es de vital importancia en este momento histórico en que es imperativo conocer cómo llegarle a las audiencias que ya están de por sí sobrecargadas de información e influencias.
UNA MIRADA GLOBAL A LA INTELIGENCIA
• Las redes sociales son ese grupo focal que ésta evaluando y comentado sobre todo tipo de asunto, producto o servicio 24/7.
•El valor de la información disponible en las redes ha motivado la creación del Oficial de Inteligencia Social.
•Corporaciones globales como Nielsen (Nielsen Incite), NBC (Senior Vice President, Digital Reaserch), CBS (Senior Director Personalization), Merryl Lynch (Director Channel Analytics), Amazon (Vice President Web Analytics) y Siemens (Head, Digital Marketing), han creado departamentos dedicados expresamente a proveer inteligencia social“in house.”
•Han destacado todo un ejército de monitoreo, análisis de los personajes que protagonizan e influencian a los usuarios de las redes y hasta la predicción de tendencias en comportamientos y preferencias a tenor con los límites legales que existen en el manejo de esta inteligencia.
• La inteligencia social es la piedra angular para el desarrollo de un "social business strategy".
LA IMPORTANCIA DE LA INTELIGENCIA SOCIAL
LA IMPORTANCIA DE LA INTELIGENCIA SOCIAL
•Una de las razones principales por las cuales no estamos completamente satisfechos con nuestras campañas en las redes sociales, es porque los resultados dejan mucho que desear.
•En la medida que nuestras páginas y perfiles siguen ganando fanáticos y seguidores, se nos hace más difícil detectar de que forma esto impacta nuestras estrategias existentes.
• Si tenemos un perfil completo y dinámico de los usuarios de nuestros páginas, estamos en mejor posición de hablarles a través de nuestros esfuerzos de mercadeo o publicidad.
• Los mismos cambios en los algoritmos de "discoverability" de las plataformas nos obligan a dirigir nuestros esfuerzos con precisión pues encontrarnos orgánicamente es cada vez más difícil.
MONITOREO VS MEDICIÓN
•Aunque son términos que se usan conjuntamente como si fuera un todo en el ámbito de las redes sociales, son claramente distinguibles.
•El monitoreo de redes sociales es la observación sistemática de las conversaciones e intercambios alrededor de un sujeto con el fin de comprender los motivadores alrededor de tal conversación. “Listening in”
•El monitoreo puede llevarse a cabo manualmente o mediante el uso de herramientas destinadas a recopilar las diferentes fuentes de tal conversación.
•Medición es el esquema de evaluación de resultados que se le aplicará al sujeto de tal medición.
•Los parámetros de la medición tienen que guardar estricta correlación con los objetivos trazados.
•El monitoreo nos provee información que nos llevara a la acción que una vez ejecutada será sujeto de nuestra medición.
PORQUE MINAR DATA DE LAS REDES SOCIALES
PORQUE MINAR DATOS DE LAS REDES SOCIALES
•Para que la empresa u organización comprenda la verdadera utilidad de sus perfiles en las redes sociales. No es un concurso de simpatía.
•Para que podamos según el entorno de nuestra empresa, crear un esquema de causa, efecto y resultados que validen el “ROI” de nuestros esfuerzos.
•En aras de comprender los motivadores de nuestra reputación (Brand Health).
•Para mejorar y sobretodo conocer cual es la experiencia del cliente con nuestro producto o servicio.
•Como nuestro “playground” para la innovación.
•Para que tengamos data histórica que nos pueda arrojar luz sobre el futuro.
EL SERVICIO AL CLIENTE PARA MINAR DATOS
•Nos guste o no, los usuarios en las redes sociales convierten nuestros perfiles en una ventana de quejas.
•Precisamente ese empoderamiento que tiene el usuario sobre el nivel de acceso que le proveen las redes sociales, lo va a llevar primero a recurrir a ellas para cualquier asunto.
• Sin duda, si vamos minando datos sobre al experiencia de nuestro cliente con nuestros productos o servicios, podemos identificar lo que no pueda estar funcionando adecuadamente dentro de nuestra empresa.
•No basta con identificar detractores o embajadores de nuestra marca.
CONT. SERVICIO AL CLIENTE PARA MINAR DATOS
•Con una base de datos, podemos trabajar y neutralizar las circunstancias en que el detractor construye para tratar de desestabilizar nuestras comunidades. E.g. experiencia en el hotel, atención en las facilidades
•Nos permite rastrear el impacto de atender bien a un individuo versus mercadear para todo un espectro de diverso de personas.
•Puede seccionarse dentro de los usuarios grupos que sirvan como panel de opinión sobre productos existentes o futuros.
• La empresa comprende mejor el proceso de compra y toma de decisiones del cliente para ubicarse mejor en ese embudo para el futuro.
DATOS CON LOS NO DEBERÍA CONFORMARSE CON RECOPILAR
DATOS QUE SI DEBE RECOPILAR
DATOS QUE SI DEBE RECOPILAR
•Todo tipo de datos demográficos. E.g. edad, género, estado civil, localización.
•El tipo y cantidad de interacciones que nuestras publicaciones generan. Esto nos ayudará a establecer las bases para calcular el retorno de nuestra inversión.
•Días y horas más productivas para nuestras publicaciones.
•El tiempo aproximado de respuesta a los usuarios de nuestros perfiles.
•Desde que navegador, equipo (escritorio, móvil, tableta) acceden nuestros perfiles.
• Si nuestros perfiles se acceden directamente o por conducto de una app.
DATOS QUE DEBERÍA RECOPILAR
• Los usuarios que más comparten nuestro contenido con el fin de crear un perfil de estos.
• La efectividad de cada formato en el que compartimos nuestro contenido.
•Usuarios nuevos versus los que regresan.
• Lo que ésta y no ésta haciendo nuestra competencia. Hay que deconstruir esfuerzos que le puedan resultar exitosos y comprender los motivadores.
• Los denominadores comunes entre los usuarios de sus perfiles. E.g. (son fans de, amigos de...)
• Las palabras más utilizadas alrededor de su marca.
NO TODOS LOS SISTEMAS DE MEDICIÓN SON IGUALES
NO TODOS LOS SISTEMAS DE MEDICIÓN SON IGUALES
• La medición en las redes sociales no se trata de generar un reporte con X o Y herramienta para meramente determinar, likes, retweets o clicks.
• Lo distinguible es lograr aislar y comprender los elementos que entran en juego y que provocan la actuación ulterior que se pretende medir. Ese análisis es lo que le da verdadero sentido a la medición.
• Las herramientas aun más sofisticadas de medición, son bastante imperfectas, tienen serias limitaciones con el idioma y sus resultados requieren ser calibrados en base a la experiencia y al conocimiento del entorno que se pretende medir.
•Ninguna herramienta es un “one stop shop”.
LA VALIDACIÓN Y LA TRANSPARENCIA EN LA MEDICIÓN
•Cuando se implementa la utilización de herramientas de medición, debe irse informado sobre donde mora nuestro público meta. De nada vale que una herramienta diga que es capaz de scan millones de fuentes, si no incluye la que le sea útil.
•Una herramienta que no sea capaz de scan comentarios públicos en Facebook, no vale la pena. Es prácticamente de la única fuente donde puede derivarse información mas allá de la propia.
• Siempre debe preguntar el tamaño de la muestra que toma la herramienta, puesto que son tantos billones de información disponible, que es una falacia que lo abarcan todo.
•Conocer el peso en la distribución de fuentes que componen la muestra.
•Con relación a Twitter si no tiene acceso al "fire hose" los resultados son de poco valor.
LA VALIDACIÓN Y LA TRANSPARENCIA EN LA MEDICIÓN • La traducción de “posts” en otros idiomas, a la hora de arrojar resultados, no
significa que el algoritmo de la herramienta entienda nuestro idioma para efectos de la recopilación de datos.
•No hay tal cosa como una medición de sentimiento que sirva de base para la toma de ninguna decisión. El sentimiento es un muestreo que tiene que hacer un ser humano que distinga la ironía y las expresiones idiomáticas del entorno geográfico analizado.
•Todo esfuerzo interno de medición requiere de una auditoria de un recurso externo que este libre de todo interés en el éxito o el fracaso de las iniciativas de la empresa. Este aportará ademas, una óptica sin perjuicios de lo que funciona o no para la empresa.
•Ninguna herramienta de medición sola puede generar la toma de decisiones. Es imperativo validar resultados con data del “field” y con la experiencia del analista.
ESCOLLOS PARA IMPLEMENTAR UN PROGRAMA DE MEDICIÓN INTERNO
ESCOLLOS PARA IMPLEMENTAR UN PROGRAMA DE MEDICIÓN INTERNO
ESCOLLOS PARA IMPLEMENTAR DE UN PROGRAMA DE MEDICIÓN INTERNO
• Los costos de implementación de herramientas de medición son altos y en su mayoría requieren de un compromiso no menor de un año y del pago total de los servicios por tal año.
•No se tiene el personal capacitado para esto ni disponible para ser destacado solo en esto.
•No se ha educado al cliente o a la empresa para que espere más de sus esfuerzos en las redes sociales. Esa zona de comfort funcionara por un tiempo pero puede que sea un lugar del que no se puede regresar.
•Popularidad a base de interacciones ficticias o manipuladas que dan la impresión de que con lo que se tiene basta.
•No saber justificar la inversión y su potencial de retorno.
PENSANDO EN NUESTRA AUDIENCIA
•Todo esfuerzo dirigido a una empresa, organización y grupo profesional, tiene que ir dirigido a un individuo pues es este y no aquellos, quienes toman decisiones de compra.
•Antes de dirigir ningún esfuerzo, es necesario que se construya el perfil del usuario al que quiseramos apelar. En redes sociales es un ejercicio de descubrir a quien no conocemos.
•Al individuo se le apela con diversidad de mensajes para llevarlo al proceso de toma de decisiones. Debe ser un 80/20.
•La audiencia local a parte de ser un objetivo es un elemento indispensable que funge como promotor primario del mensaje .
•Nunca olvidarnos que nuestra audiencia tiene una audiencia y que el ciclo no termina.
•Revisada la teoría de los 6 grados de separación de Milgram, gracias a Facebook hoy existen 3.74 grados de separación entre una persona y otra en el mundo.
Lcdo. Juan Lorenzo Martínez J.D., LLM, C.I.S.A., C.P.A., C.I.A., C.F.E., C.G.A.P.,
C.R.I.S.C., C.G.M.A., C.R.M.A., C.D.P., C.C.P., C.B.M.
1
2
El fraude consiste de adquirir dinero, bienes o beneficios de otra personas a través del engaño.
Fraude Ocupacional: El uso de una ocupación para enriquecerse personalmente a través del mal uso, deliberado, de los recursos o activos de la entidad en la que uno labora.
3
10% - 80% - 10%
En EU se pierden mas de 600 billones al año por causa del Fraude
78% de los fraudes lo hacen gente de adentro
4
5
Oportunidad
Presión Incentivo
Racionalización
6
26.3%
0.9%
6.2%
7.8%
18.4%
21.3%
23.8%
8.6%
11.5%
15.4%
18.8%
18.6%
6.2%
5.1%
1.7%
10.9%
5.1%
23.6%
0% 5% 10% 15% 20% 25% 30%
Notified by Police
Anonymous Tip
Tip from Vendor
Tip from Customer
External Audit
Internal Controls
By Accident
Tip From Employee
Internal Audit
2001 2004
La falta de “audit trail” – la huella que dejan las transacciones.
El procesamiento uniforme de transacciones ◦ Un pequeño cambio en la programación puede
causar un fraude muy grande
La segregación de labores ◦ La autorización
◦ Anotación
◦ Custodia física
7
Nadie puede tener el control total del procesamiento
Lo que se ha llamado “el control por ignorancia” ◦ Los programadores
◦ Los Analistas
◦ Los Operadores
◦ El Bibliotecario
◦ El Administrador de la base de datos
◦ Los Usuarios
8
La importancia de la documentación
La concentración de riesgo en el centro de cómputos
◦El impacto de un desastre natural
Plan de manejo de desastres
Continuidad de negocios
9
El internet
La abundancia de personas con computadoras (el usuario)
Virus
La privacidad – acceso a información confidencial
El comercio electrónico ◦ Con suplidores
◦ Con consumidores
◦ Transferencia electrónica de fondos
10
Alteración a los programas y los sistemas para robar inventario o efectivo.
Manipular estados financieros
11
Estados de cuenta mensuales falsificados Ej. Cambiaba la dirección de los clientes en el
sistema. El recibía los estados y enviaba a esos clientes estados falsificados.
12
Descuentos y/o “write-offs” fraudulentos Pagos de facturas falsificadas
El suplidor no existe realmente.
El crear una compañía ficticia es sumamente fácil
13
Empleados que renuncian, se jubilan o se mueren y siguen cobrando
Falsificación de horas trabajadas
Pago por vacaciones y enfermedad (a pesar de que falto)
14
Que podemos hacer para controlar este problema de Fraudes en el área de IT?
15
Definición de Control Interno
Lista de normas y procedimientos establecido por la gerencia
En el Triangulo del Fraude va al elemento de oportunidad
Niño con el biscocho
16
Objetivo Financiero – Garantizar la exactitud de los records de contabilidad y los informes financieros. Objetivo Operacional – Mejorar la eficiencia y
efectividad de las operaciones. Objetivo de Cumplimiento – Cumplimiento
con leyes, reglamentos y políticas de la organización.
17
Responsabilidad de gerencia – Diseño e implementación defectuosas
Problema de Costo y Beneficio
Evadir controles por colusión de empleados
Fraudes Gerenciales
Errores por fatiga, falta de conocimiento y error humano
18
Ambiente de Control ◦ Valores éticos e integridad
◦ Filosofía gerencia y estilo operacional
◦ Compromiso con la competencia técnica
◦ Participación y envolvimiento de la Junta de Directores y la existencia de un comité de auditoria
◦ Estructura organizacional definida
Buen Organigrama
Definición clara de metas, objetivos y responsabilidades
Medidas de efectividad
Asignación clara de autoridad y responsabilidad
Políticas y practicas claras de manejo de recursos humanos
19
Estar pendiente de eventos que aumentan los riesgos en la entidad o Nuevo Personal
o Nuevos sistemas de información
o Cambios o crecimientos rápidos
o Reestructuraciones
o Cambios en pronunciamientos de contabilidad
“Río revuelto, ganancia de pescadores”
20
Actual vs. Presupuesto, Actual vs. Proyección
Control Físico
Asignación de Personal Competente
Segregación de Funciones en el centro
Segregación de labores en la operación
Autorización, Custodia, Anotación
Reconciliaciones periódicas
Pre numeración de todos los documentos
Documentación adecuada de todas las entradas de jornal
21
Manual de contabilidad (procedimientos)
Lista de cuentas (Chart of Accounts)
22
Auditores Internos
23
Auditoria Interna es una actividad independiente y objetiva de auditoría y consultoría diseñada para añadir valor y mejorar la operación de una entidad. Ayuda a la organización a cumplir sus metas y objetivos aportando una metodología sistemática para la evaluación y mejoramiento del manejo de riesgo, control y al proceso gerencial.
24
Para poder modificar y mejorar los procedimientos hay que obtener un entendimiento de la estructura de control interno actual
Determinar el nivel de riesgo de control – Probabilidad de que los procedimientos de control interno establecidos no detecten errores e irregularidades a medida que estos ocurran.
Estar siempre consciente de la probabilidad de que ocurra un error, una irregularidad o un acto ilegal
25
AULAS VIRTUALES Y SALAS DE VIDEOCONFERENCIAS (COMO RECURSOS DE APOYO A LA
EDUCACIÓN CONTINUA DEL CONTADOR PÚBLICO O CONTADOR PROFESIONAL)
DR. JUAN MELÉNDEZ
UNIVERSIDAD DE PUERTO RICO
ACTIVIDADES - 1
•Supervisar proyectos
•Dar instrucciones
•Proveer recursos especializados
•Ayudar en el progreso de los trabajos de
los estudiantes
•Recibir trabajos
ACTIVIDADES - 2
•Comunicar con estudiantes
•Personal
•Grupal
•Reportar notas
PLATAFORMAS
• Manejador
• Moodle http://www.freemoodle.org
• Edu 2.0 https://www.edu20.org
• Classroom http://classroom.google.com
• Redes Sociales
• Videoconferencia
• WizIQ
• BigMarker
El ISAE 3402 y su impacto en los requerimientos para la presentación de reportes de aseguramiento sobre controles en las organizaciones de servicios
Presentado por:
Lolita E. Vargas De León CPA, CISA, CIA, MIBA
Universidad de Puerto Rico en Cayey
Normas para la Presentación de Reportes de Aseguramiento sobre Controles en una Organización de Servicios
SAS 70 (Statement on Auditing Standards 70),
•Norma (EU) para presentación de reportes sobre controles de las organizaciones de servicios.
•AICPA (abril 1992)
SSAE 16 (Statement on Standards for Attestation Engagements 16)
•Sigue al ISAE 3402 y completa el marco de referencia para el auditor de servicio.
•AICPA (abril 2010)
ISAE 3402 (International Standards for Attestation Engagements 3402)
•Norma de alcance global post Ley Sarbanes-Oxley.
•IFAC (diciembre 2009)
Organización de Servicios
Organización o división de una organización que presta
servicios a entidades usuarias que pudieran ser
relevantes para los controles internos sobre la información financiera de
la entidad usuaria.
El SAS70 – Organizaciones de Servicios
Regula la revisión del control interno en las organizaciones de servicios.
Considera riesgos que pudieran impactar la integridad, exactitud y/o validez de la
información financiera de la organización.
El reporte se da como “opinión independiente”.
Se recomienda para organizaciones que deben cumplir con la Ley Sarbanes-Oxley.
Aplica a información financiera para años terminados antes del 15 de junio de 2011.
Reportes bajo el SAS 70
Sección Descripción Responsable
I Informe del auditor independiente de la organización de servicios
Opinión del auditor Auditor
II Información provista por la organización de servicios
Ambiente de control, procedimientos, objetivos de control, controles, etc.
Organización de servicios
III Información provista por el auditor de servicios
Objetivos de control, controles, pruebas de auditoría, resultados, etc.
Auditor
IV Otra información provista por la organización de servicios (opcional)
Planes de acción correctiva, planes de continuidad de negocio, proyectos, etc.
Organización de servicios
ISAE 3402 – Reportes de Aseguramiento sobre Controles en una Organización de Servicios (SOC)
Organización de Servicios – Servicios Prestados
Alcance
del Reporte
SOC
Organización Usuaria – Servicios
Externalizados
Tipos de Reporte de Aseguramiento sobre Controles en una Organización de Servicios (SOC)
SOC 1
SOC 2
SOC 3
• Reporte de Controles en una Organización de Servicios que son Relevantes para el Control Interno de las Entidades Usuarias sobre los Informes Financieros (ISAE 3402/SSAE 16)
• Reporte de Controles en una Organización de Servicios que son Relevantes para la Seguridad, Continuidad, Integridad del Procesamiento, Confidencialidad y/o Privacidad (AT 101, ISAE 3000)
• Reporte de Servicios de Confianza para Empresas de Servicios
Tipos de Reportes de Aseguramiento sobre Controles en una Organización de Servicios (SOC)
SOC 1 SOC 2 SOC 3
Enfoque Controles relevantes para los informes financieros de la organización usuaria
Seguridad, continuidad, integridad del procesamiento, confidencialidad y/o privacidad
Seguridad, continuidad, integridad del procesamiento, confidencialidad y/o privacidad
Procesos y sistemas Procesos y sistemas relevantes para los informes financieros
Cualquier proceso o sistema
Cualquier proceso o sistema
Criterios Diseñados para atender las necesidades de auditoría de estados financieros
Diseñados para proporcionar aseguramiento a los clientes, socios comerciales y otras partes interesadas
Diseñados para proporcionar aseguramiento a los clientes, socios comerciales y otras partes interesadas
Público Empresa del usuario y sus auditores
Clientes y socios comerciales
Clientes, socios comerciales y otras partes interesadas
Uso/distribución Restringido Puede ser restringido Generalmente no restringido
Reportes SOC 1
• El auditor de servicios opina sobre:
• La legitimidad de la presentación de la descripción que provee la gerencia sobre el sistema de la organización de servicios a una fecha determinada.
• La adecuacidad del diseño de los controles en un punto determinado en el tiempo.
Tipo 1
• El auditor de servicios opina sobre:
• La legitimidad de la presentación de la descripción que provee la gerencia sobre el sistema de la organización de servicios durante el período bajo evaluación.
• La adecuacidad del diseño de los controles durante el período bajo evaluación.
• La efectividad operacional de los controles durante el período bajo evaluación.
Tipo 2
Reporte SOC 2
Añade valor al considerar controles
relacionados con la continuidad,
seguridad, integridad,
confidencialidad y privacidad de los
sistemas de información
utilizados por la organización de
servicios.
Unifica los procesos y genera
indicadores comunes de
cumplimiento.
Tiene la opción de utilizar reportes Tipo 1 (diseño) y
Tipo 2 (efectividad).
Su uso y distribución es
más amplio que en SOC 1, pero
sigue siendo restringido.
Se ejecutan utilizando
matrices formales de “Principios y Criterios de los
Servicios de Confianza”
(AICPA/CICA) que incluyen
elementos de dominio,
principios, criterios,
controles, pruebas y resultados.
Reportes SOC 3
Son reportes de uso general.
Su distribución no está restringida.
• Se pueden distribuir libremente y/o publicar en la web como sello de Sys Trust o Web Trust para la organización de servicios.
Se ejecutan utilizando matrices formales de “Principios y Criterios
de los Servicios de Confianza”
(AICPA/CICA) que incluyen elementos de
dominio, principios, criterios, controles,
pruebas y resultados.
“Principios de los Servicios de Confianza” (AICPA/CICA)
Dominio Principio
Continuidad El sistema está disponible para su uso y operación según lo acordado o comprometido.
Seguridad El sistema está protegido contra accesos físicos y/o lógicos no autorizados.
Integridad El procesamiento del sistema es preciso , oportuno y está completo y autorizado.
Confidencialidad La información definida como confidencial está protegida según lo acordado o comprometido.
Privacidad La información personal es recopilada, utilizada, retenida y revelada de acuerdo con los contratos estipulados en la notificación de privacidad de la entidad y con los criterios establecidos en los Principios de Privacidad Generalmente Aceptados emitidos por la AICPA/CICA.
Diferencias Relevantes entre el SAS 70 y el ISAE 3402/SSAE 16
Fecha de efectividad
Forma
Representación de la gerencia
Criterios
Adecuacidad del diseño de los
controles
Evidencia obtenida en
encargos anteriores
Uso del trabajo del auditor
interno
Restricciones al uso y
distribución de los reportes
Método inclusivo de
reporte
Diferencia Relevante 1 – Fecha de Efectividad
SAS 70
• Aceptable para uso en auditorías con fechas de reporte / períodos bajo revisión terminados antes del 15 de junio de 2011.
ISAE 3402 /SSAE 16
• Efectivos para reportes con fecha de reporte (Tipo 1) y períodos de revisión (Tipo 2) terminados en o después del 15 de junio de 2011.
Diferencia Relevante 2 – Forma
SAS 70
• Estándar de auditoría que regula el desempeño de una auditoría de SAS 70 y el uso del reporte correspondiente por la organización usuaria y sus auditores.
ISAE 3402 /SSAE 16
• Estándares de aseguramiento dirigidos al reporte sobre los controles en organizaciones de servicios. Las auditorías de servicios llevadas acabo en los EU deberán realizarse en cumplimiento con ambos estándares (ej. emitir informes combinados).
Diferencia Relevante 3 – Representación de la Gerencia
SAS 70
• Se requiere que la gerencia de la organización de servicios provea una representación escrita en la forma de una carta de representación que es obtenida por el auditor de servicios antes de que se emita el reporte de la auditoría SAS 70. Esta carta de representación no se incluye en el reporte de auditoría SAS 70.
ISAE 3402 /SSAE 16
• Se requiere que la gerencia de la organización de servicios provea una aseveración por escrito en el cuerpo del reporte sobre la justa presentación de la descripción del sistema de la organización, la adecuacidad del diseño de sus controles y la efectividad operacional de sus controles (Tipo 2), entre otros. La aseveración acompaña a la descripción del sistema de la organización de servicios y es de naturaleza similar a aquellas que se incluían previamente como parte de las cartas de representación de la gerencia en auditorías SAS 70.
Diferencia Relevante 4 – Criterios
SAS 70
• No aplica. Una auditoría SAS 70 es un encargo de “reporte directo” , por lo cual la materia objeto del encargo se incluye como parte del reporte del auditor de servicios . Las representaciones de la gerencia, así como los criterios utilizados por esta, no forman parte del reporte de auditoría SAS 70.
ISAE 3412 /SSAE 16
• La gerencia de la organización de servicios es responsable de especificar los criterios que utilizó a la hora de preparar la descripción de su sistema. Los criterios se incluyen en el reporte en la sección de aseveraciones de la gerencia y se utilizan por el auditor de servicios con el propósito de llevar a cabo la auditoría. Los criterios mínimos a utilizar aparecen descritos en los estándares y son un factor determinante al momento de establecer si la evaluación es una auditoría Tipo 1 o Tipo 2.
Diferencia Relevante 5 – Adecuacidad del Diseño de los Controles
SAS 70
• En el reporte de auditoría SAS 70, Tipo 1 y Tipo 2, se opina sobre la adecuacidad del diseño de los controles a una fecha específica en el tiempo.
ISAE 3412 /SSAE 16
• Similar al reporte de auditoría SAS 70, en la opinión Tipo 1 se opina sobre la adecuacidad del diseño de los controles a una fecha específica en el tiempo. No así en la Tipo 2, en la cual se requiere opinar sobre la adecuacidad del diseño de los controles durante el periodo completo bajo evaluación (por lo menos 6 meses consecutivos).
Diferencia Relevante 6 – Evidencia Obtenida en Encargos Anteriores
SAS 70
• El auditor de servicios puede utilizar evidencia obtenida durante encargos anteriores para reducir la naturaleza, tiempo y extensión de las pruebas de auditoría.
ISAE 3412 /SSAE 16
•El auditor de servicios no debe utilizar evidencia obtenida durante encargos anteriores con el propósito de reducir la naturaleza, tiempo y extensión de las pruebas de auditoría. Esto es así inclusive cuando se pueda suplementar con evidencia obtenida durante el período corriente.
Diferencia Relevante 7 – Uso del Trabajo del Auditor Interno
SAS 70
• El auditor de servicios no está obligado a divulgar el uso del producto del trabajo del auditor interno.
ISAE 3412 /SSAE 16
•El auditor de servicios está obligado a divulgar como parte de su descripción de pruebas de control la naturaleza y extensión del uso que hace del producto del trabajo del auditor interno. El auditor de servicios también está obligado a divulgar cualquier procedimiento relacionado adicional realizado por él .
Diferencia Relevante 8 – Restricciones al Uso y Distribución de los Reportes
SAS 70
• El uso y distribución de los reportes está restringido a la gerencia de la organización de servicios, sus clientes y los auditores financieros de los clientes.
ISAE 3412 /SSAE 16
•Los usuarios autorizados de los reportes típicamente incluyen a los clientes de la organización de servicios y a los auditores financieros de los clientes. Además, el auditor de servicios puede incluir lenguaje que restrinja específicamente la distribución de los reportes y sus usos.
Diferencia Relevante 9 – Método Inclusivo de Reporte
SAS 70
• No es requisito obtener representación de organizaciones de sub-servicios antes de incluir sus controles en los reportes de auditoría SAS 70.
ISAE 3412 /SSAE 16
• Es requisito obtener representación de organizaciones de sub-servicios antes de incluir sus controles en los reportes de aseguramiento. El método inclusivo de reporte no pudiera utilizarse si la gerencia de una de las organizaciones de sub-servicios se negara a proveer aseveraciones relevantes al encargo.
Reportes SOC 1 – Mitos Comunes
El reporte SOC 1 equivale a una certificación.
Estos reportes pueden ser distribuidos a clientes
potenciales y utilizados como material promocional.
Todas las áreas operacionales pueden ser
incluidas en el reporte SOC 1.
Una vez obtenido el reporte, la organización usuaria no
tiene necesidad de verificar ningún control
Es posible desarrollar aplicaciones que cumplan
con los requerimientos del SSAE 16.
El SSAE 16 no permite el uso del producto del trabajo del
auditor interno.
El auditor de servicios deberá verificar la precisión del contenido de la sección
de “otra información provista por la organización de
servicios”.
El auditor de servicios no hace pruebas sobre la
efectividad de los controles a nivel de la entidad.
El período bajo evaluación de los controles debe ser de
6 meses.
Referencias
• http://isae3402.com
• http://www.ssae-16.com
• http://www.ifac.org
• http://www.kpmg.com/NL/en/Issues-And-Insights/ArticlesPublications/Documents/PDF/Risk-Consulting/Practice-guide-4.pdf
• http://www.isaca.org/Groups/Professional-English/isae-3402/GroupDocuments/13v2-Common-Myths-of-Service.pdf