I Encuentro Virtual sobre TI para Contadores de las Américas

E-mail: cmconsultoressa@hotmail.com
www.facebook.com/cmyasociados
wwww.cmconsultoressa.es.tl
MATERIAL DEL
“I ENCUENTRO VIRTUAL SOBRE
TECNOLOGÍAS DE LA INFORMACIÓN PARA
CONTADORES DE LAS AMÉRICAS”

Manejo de
Resolución
de Querellas
en el Mundo
Cibernético
Jean G. Vidal Font, LL.M
Ferraiuoli LLC
221 Plaza Bldg. 5th Floor,
Pónce de León Ave.
San Juan, PR 00917

Corporación de Internet para la Asignación
de Nombres y Números (ICANN)
• Organización sin fines de lucro.
• Asigna direcciones de protocolo IP.
• Administra DNS.

Política de Resolución de Disputas de
Nombres de Dominio Uniformes (UDRP)
• Establecido por ICANN.
• Busca resolver disputas de nombres de dominios
basados en marcas registradas de una manera rápida
y barata.
• Se intenta solucionar la disputa mediante acuerdo,
acción judicial o arbitraje, antes de que el nombre de
dominio sea cancelado, removido o transferido.
• Todos los registradores están bajo esta política.

Elementos a establecer en la Demanda
(UDRP)
• El nombre de dominio es igual o causa confusión por
ser similar a una marca.
• El demandado no tiene derecho sobre o interés
legítimo en el nombre de dominio.
• El demandado registró el nombre de dominio y lo
está usando con mala fé.

Demanda - Elementos
• Puede ser pertinente a más de un nombre de
dominio.
• Es presentada a un Proveedor aprobado por ICANN.
• Debe ser radicada de forma electrónica.
• Redactada en el mismo lenguaje que el contrato de
registro.

Respuesta (UDRP)
• El Demandado tiene 20 días para presentarla al
Proveedor.
• Debe responder específicamente a las imputaciones
estipuladas en la demanda .

Panel Administrativo (UDRP)
• Es designado por el Proveedor.
• Está compuesto por 1 o 3 personas expertas en el
tema.
• Es independiente de todas las partes envueltas.
• Emite una decisión sobre la demanda.
• Le notifica a las partes.

Designación
Decisión &
Notificación

Decisiones (UDRP)
• El panel administrativo puede:
– Decidir a favor del demandante y ordenar que el nombre
de dominio en cuestión sea transferido a esa persona o
entidad.
– Decidir a favor del demandante y ordenar que el nombre
de dominio en cuestión sea cancelado; o
– Decidir a favor del demandado y denegar el remedio
solicitado en la demanda.

Decisión &
Notificación
Implementación

Ventajas
• Rápidez
• Barato
• Informal
• Internacional
• Personal experto

VIOLACIÓN AL DERECHO MARCARIO
CON NOMBRES DE DOMINIO
• Llamado cybersquatting en Inglés
• Ocurre cuando un tercero adquiere un nombre de
dominio que contenga su marca.
• Legislación federal (Lanham Act) provee un remedio
para el dueño de la marca.

VIOLACIÓN AL DERECHO MARCARIO
CON NOMBRES DE DOMINIO
• Uso de marca como nombre de dominio.
• Registración de marca en nombre de dominio se
hace de mala fé.
• Varios factores para considerar intención/mala fé de
registro.
• A.C.P.A. 11 U.S.C.A. 1125 (d).

DMCA Notice andTake Down
• El Digital Millenium Copyright Act (DMCA) es una ley
de EEUU que protege los derechos de autor.
• Proceso para bajar de la red material que viole
derechos de autor o que sea illegal.
• Se le notifica al online service provider.
• Luego de la notificación, el online service provider
deberá remover el contenido de la web.

Requisitos
• La notificación debe incluir:
– Suficiente información sobre el material infringido para que el
online service provider pueda identificarlo y encontrarlo en la
web;
– Información sobre la parte afectada para poder comunicarse
con ésta ;
– Una declaración de la parte afectada que indique el uso del
material que viola los derechos de autor que no fue autorizado
por el dueño de los derechos de autor, su agente o la ley;
– Una declaración que indique que “the information in this
notification is accurate, and under penalty of perjury, that the
complaining party is authorized to act on behalf of the owner of
an exclusive right that is allegedly infringed.”

DMCATakedown
• El material que violenta los derechos de autor es
removido del website por el online service provider.
• No tiene que haber derecho de autor para pedir que
se elimine el material en cuestión.
• El hecho de que el material sea propio o que una foto
o video sea de uno, es suficiente para solicitar que se
remueva el contenido.

Conclusión
• Dueños de marcas tienen remedios administrativos
(UDRP) y judiciales (ACPA) para remediar violaciones
a derechos marcarios por nombre de dominio.
• Dueños de obras pueden exigir que se remueva una
obra mediante “take down notice” a tenor con el
DMCA.
• Medidas que son económicas en comparación con
remedios judiciales.

Antonio Ayala I.
VP Ejecutivo, RISCCO
15 de agosto de 2014
Fraude en el ambiente cibernético
Entérate de: ¿Cómo? ¿Quién? ¿Dónde?

© 2009 – 2014 RISCCO.
El fraude cibernético a
consumidores alcanza los
US$113,000 millones.
Norton Report, Octubre 2013
Página 3

© 2009 – 2014 RISCCO.
Cybercrime is one of the greatest
threats facing our country, and
has enormous implications for
our national security, economic
prosperity, and public safety.
Eric H. Holder, Attorney General
USA Department of Justice,
Página 4

© 2009 – 2014 RISCCO.
85% de los Ejecutivos, indicó
que su organización es
susceptible a ser víctima del
Espionaje Digital Corporativo.
Sondeo Espionaje Digital Corporativo
RISCCO, Febrero 2013
Página 5

© 2009 – 2014 RISCCO.
Agenda
1. Realidad y no ficción. Mitos sobre seguridad de
información.
2. Amenazas y riesgos. Delitos informáticos comunes y
no tan comunes.
3. Controles y buenas prácticas
4. Reflexiones finales

© 2009 – 2014 RISCCO.
Realidad y no ficción
Diez mitos sobre la seguridad de información en
Panamá
Página 4

© 2009 – 2014 RISCCO.
Diez Mitos
10 El responsable de Tecnología es altamente calificado por
lo que también domina la seguridad de información.
9 El uso de redes sociales no me debe preocupar.
8 El es el Gerente General. No debemos ponerle tantas
restricciones ya que en su computador no hay nada
importante.
7 Mi información está segura, ya que tenemos que digitar
una contraseña para ingresar a la aplicación.
6 Para qué hacer un plan de continuidad de negocios si
aquí en Panamá no pasa nada porque estamos
bendecidos por Dios.
Página 5

© 2009 – 2014 RISCCO.
Diez Mitos
5 La seguridad de información es una responsabilidad del
Departamento de Tecnología.
4 Mis colaboradores son muy leales a la organización, ellos
no me robarán datos confidenciales y sensitivos.
3 Nuestros sistemas y redes no han sido atacados, por lo
tanto, son seguros.
2 Los hackers atacan solo a las grandes corporaciones.
1 Dado que tengo un firewall (dispositivo de seguridad) y
programas antivirus, estoy protegido.
Página 6

© 2009 – 2014 RISCCO.
Amenazas y riesgos
Delitos informáticos comunes y no tan comunes
Página 7

© 2009 – 2014 RISCCO.
Delitos informáticos comunes
1. Fraude banca en línea
2. Fraude tarjeta de créditos
3. Robo de credenciales de acceso a
sistemas
4. Robo de información sensitiva en
computadores o servidores
5. Ataques denegación de servicio
6. Robo de identidad
7. Acoso (cyberbulling)
8. ATM skimming
Página 8

© 2009 – 2014 RISCCO.
Delitos informáticos no tan comunes
Cyber-Jacking
Human Malware
Cyber Assault
Cyber Extortion
Car Sploiting
Brick Attacks
Identity Theft Squared
Mini-Power Outages
Página 9
Fuente: Jason Glassberg, CASABA
http://www.foxbusiness.com/personal-finance/2014/05/14/future-crime-8-
cyber-crimes-to-expect-in-next-20-years/

© 2009 – 2014 RISCCO.
Consejos y buenas
prácticas

© 2009 – 2014 RISCCO.
Tipos de fraude digital
(clasificación básica)
1. Fraudes digitales realizados
externamente a recursos TIC de la
organización.
internamente a recursos TIC de la
organización.
internamente a recursos TIC de la
organización debido a pobrísima
estructura de control interno.

© 2009 – 2014 RISCCO.
Tecnologías para la prevención y detección de fraudes
digitales (adicional a las tradicionales).
Problema
externamente a recursos TIC
de la organización.
(robo credenciales servicios en línea-
móviles, acceso/alteración
información/datos confidenciales)
Solución
Tecnológica
a) Herramientas para la prevención y
detección del fraude vía Web y
Móvil
Nice Actimize, RSA, Accertify, 41st Parameter,
Guardian Analytics, Trusteer, CA Arcot.
Lookout Mobile, BehavioMobile Security, entre
otros.
b) Herramientas para el monitoreo y
seguridad de la base de datos
Hedgehog Enterprise, Audit Vault,
SecureSphere Data Security Suite, InfoSphere
Guardium, FortiDB, DbProtect, entre otros.

© 2009 – 2014 RISCCO.
Problema
internamente a recursos TIC
de la organización.
(robo credenciales servicios en línea-
móviles, acceso/alteración
información/datos confidenciales)
Solución
Tecnológica
a) Herramientas para la prevención y detección
del fraude vía Web y Móvil
b) Herramientas para el monitoreo y seguridad
de la base de datos
c) Herramientas de DLP (Data Loss Prevention)
Mcafee, CA Technolgies. Symantec, RSA,
WebSense, entre otros
c) Herramientas para la seguridad de archivos
SecureSphere File Security

© 2009 – 2014 RISCCO.
Problema
3. Fraudes digitales realizados internamente a recursos TIC de la
organización debido a pobrísima estructura de control interno.
(accesos a datos y funciones inapropiados, poca o nula seguridad de
información, inadecuados derechos de acceso en ERP, procesos para
revocar/otorgar accesos poco efectivos, )

© 2009 – 2014 RISCCO.
Lo básico, no pasa de moda
1. Mantener siempre y oportunamente los últimos parches/actualizaciones de
seguridad en el software utilizado (Windows, adobe, etc.).
2. Adquiera/construya aplicaciones tipo “web” seguras. El 60% de todos los
ataques en la Internet se deben a aplicaciones web inseguras.
3. Establecer controles efectivos para derechos de accesos (ERP y tecnología).
4. Implante políticas y procedimientos modelo de seguridad.

© 2009 – 2014 RISCCO.
Reflexiones finales

© 2009 – 2014 RISCCO.
1. Nadie es inmune.
2. Existe el marco legal/regulatorio para realizar demandas.
3. Los mecanismos de defensa tradicionales no son suficientes a
la sofisticación de las amenazas tecnológicas actuales.

MITOS Y
REALIDADES
del uso competitivo de las redes sociales

INTRODUCCIÓN
• Las redes sociales son un cambio más que generacional, uno cultural que no
conoce fronteras territoriales.
• Lo que empezó como una forma de conectar con amigos y familiares, es ahora eje
de un EGOsistema.
• Compartimos status, fotos y videos de lo que hacemos, donde estamos, con quien.
No con el mero fin de informar, sino de provocar una reacción de nuestros amigos o
seguidores.
• Nuestra audiencia en la redes sociales esta apoderada con el entendimiento de que
tienen igualmente una audiencia, et. seq.
• El verdadero valor de nuestra opinión, lo medimos en Likes, Views, Retweets.
• Las redes sociales no son una moda pasajera; son la más dramática evolución en la
interacción humana en nuestros tiempos.

REDES SOCIALES Y AMÉRICA LATINA
La region en el mundo con mayor “engagement” es América Latina – State of Social
Media 2014 - Comscore

REDES SOCIALES Y AMÉRICA LATINA
México es el país con mayor alcance en sitios en redes sociales – State of Social Media 2014 - C
omscore

INTELIGENCIA SOCIAL PARA UNA ERA
DIGITAL
• Inteligencia social no es otra cosa que una combinación entre la recopilación de
la data cuantitativa que proveen los usuarios en las redes sociales, puesta en
contexto, luego de un cernimiento cualitativo, conducente a proveer información
sobre la cual, puedan tomarse decisiones importantes.
• Las redes sociales son una cantera de valiosas opiniones inéditas que bien
manejadas, bajo el amparo de los límites permitidos por ley, ofrecen nuevos
horizontes para conocer y predecir audiencias y mercados.
• La inteligencia digital, le ofrece al publicista, relacionista, profesional del
mercadeo, en fin, al empresario u organización en general, una herramienta única
para poder planificar sus estrategias de comunicación y mercadeo.
• Jamás en la historia, habíamos tenido la oportunidad de conocer tanto sobre las
personas, un status a la vez, un tweet a la vez, un like a la vez.
• Esto, es de vital importancia en este momento histórico en que es imperativo
conocer cómo llegarle a las audiencias que ya están de por sí sobrecargadas de
información e influencias.

UNA MIRADA GLOBAL A LA INTELIGENCIA
• Las redes sociales son ese grupo focal que ésta evaluando y comentado sobre todo
tipo de asunto, producto o servicio 24/7.
• El valor de la información disponible en las redes ha motivado la creación del Oficial
de Inteligencia Social.
• Corporaciones globales como Nielsen (Nielsen Incite), NBC (Senior Vice President,
Digital Reaserch), CBS (Senior Director Personalization), Merryl Lynch (Director
Channel Analytics), Amazon (Vice President Web Analytics) y Siemens (Head, Digital
Marketing), han creado departamentos dedicados expresamente a proveer
inteligencia social“in house.”
• Han destacado todo un ejército de monitoreo, análisis de los personajes que
protagonizan e influencian a los usuarios de las redes y hasta la predicción de
tendencias en comportamientos y preferencias a tenor con los límites legales que
existen en el manejo de esta inteligencia.
• La inteligencia social es la piedra angular para el desarrollo de un "social business
strategy".

LA IMPORTANCIA DE LA INTELIGENCIA
SOCIAL

LA IMPORTANCIA DE LA INTELIGENCIA
SOCIAL
• Una de las razones principales por las cuales no estamos completamente
satisfechos con nuestras campañas en las redes sociales, es porque los
resultados dejan mucho que desear.
• En la medida que nuestras páginas y perfiles siguen ganando fanáticos y
seguidores, se nos hace más difícil detectar de que forma esto impacta
nuestras estrategias existentes.
• Si tenemos un perfil completo y dinámico de los usuarios de nuestros
páginas, estamos en mejor posición de hablarles a través de nuestros
esfuerzos de mercadeo o publicidad.
• Los mismos cambios en los algoritmos de "discoverability" de las
plataformas nos obligan a dirigir nuestros esfuerzos con precisión pues
encontrarnos orgánicamente es cada vez más difícil.

MONITOREO VS MEDICIÓN
• Aunque son términos que se usan conjuntamente como si fuera un todo en el
ámbito de las redes sociales, son claramente distinguibles.
• El monitoreo de redes sociales es la observación sistemática de las conversaciones
e intercambios alrededor de un sujeto con el fin de comprender los motivadores
alrededor de tal conversación. “Listening in”
• El monitoreo puede llevarse a cabo manualmente o mediante el uso de
herramientas destinadas a recopilar las diferentes fuentes de tal conversación.
• Medición es el esquema de evaluación de resultados que se le aplicará al sujeto de
tal medición.
• Los parámetros de la medición tienen que guardar estricta correlación con los
objetivos trazados.
• El monitoreo nos provee información que nos llevara a la acción que una vez
ejecutada será sujeto de nuestra medición.

PORQUE MINAR DATA DE LAS REDES
SOCIALES

PORQUE MINAR DATOS DE LAS REDES
SOCIALES
• Para que la empresa u organización comprenda la verdadera utilidad de sus
perfiles en las redes sociales. No es un concurso de simpatía.
• Para que podamos según el entorno de nuestra empresa, crear un esquema
de causa, efecto y resultados que validen el “ROI” de nuestros esfuerzos.
• En aras de comprender los motivadores de nuestra reputación (Brand
Health).
• Para mejorar y sobretodo conocer cual es la experiencia del cliente con
nuestro producto o servicio.
• Como nuestro “playground” para la innovación.
• Para que tengamos data histórica que nos pueda arrojar luz sobre el futuro.

EL SERVICIO AL CLIENTE PARA MINAR
DATOS
• Nos guste o no, los usuarios en las redes sociales convierten
nuestros perfiles en una ventana de quejas.
• Precisamente ese empoderamiento que tiene el usuario sobre el
nivel de acceso que le proveen las redes sociales, lo va a llevar
primero a recurrir a ellas para cualquier asunto.
• Sin duda, si vamos minando datos sobre al experiencia de nuestro
cliente con nuestros productos o servicios, podemos identificar lo
que no pueda estar funcionando adecuadamente dentro de nuestra
empresa.
• No basta con identificar detractores o embajadores de nuestra
marca.

CONT. SERVICIO AL CLIENTE PARA MINAR
DATOS
• Con una base de datos, podemos trabajar y neutralizar las
circunstancias en que el detractor construye para tratar de
desestabilizar nuestras comunidades. E.g. experiencia en el hotel,
atención en las facilidades
• Nos permite rastrear el impacto de atender bien a un individuo versus
mercadear para todo un espectro de diverso de personas.
• Puede seccionarse dentro de los usuarios grupos que sirvan como panel
de opinión sobre productos existentes o futuros.
• La empresa comprende mejor el proceso de compra y toma de
decisiones del cliente para ubicarse mejor en ese embudo para el
futuro.

DATOS CON LOS NO DEBERÍA
CONFORMARSE CON RECOPILAR

DATOS QUE SI DEBE RECOPILAR
• Todo tipo de datos demográficos. E.g. edad, género, estado civil,
localización.
• El tipo y cantidad de interacciones que nuestras publicaciones generan.
Esto nos ayudará a establecer las bases para calcular el retorno de nuestra
inversión.
• Días y horas más productivas para nuestras publicaciones.
• El tiempo aproximado de respuesta a los usuarios de nuestros perfiles.
• Desde que navegador, equipo (escritorio, móvil, tableta) acceden nuestros
perfiles.
• Si nuestros perfiles se acceden directamente o por conducto de una app.

DATOS QUE DEBERÍA RECOPILAR
• Los usuarios que más comparten nuestro contenido con el fin de crear
un perfil de estos.
• La efectividad de cada formato en el que compartimos nuestro
contenido.
• Usuarios nuevos versus los que regresan.
• Lo que ésta y no ésta haciendo nuestra competencia. Hay que
deconstruir esfuerzos que le puedan resultar exitosos y comprender los
motivadores.
• Los denominadores comunes entre los usuarios de sus perfiles. E.g. (son
fans de, amigos de...)
• Las palabras más utilizadas alrededor de su marca.

NO TODOS LOS SISTEMAS DE MEDICIÓN
SON IGUALES

NO TODOS LOS SISTEMAS DE MEDICIÓN
SON IGUALES
• La medición en las redes sociales no se trata de generar un reporte con X o Y
herramienta para meramente determinar, likes, retweets o clicks.
• Lo distinguible es lograr aislar y comprender los elementos que entran en
juego y que provocan la actuación ulterior que se pretende medir. Ese
análisis es lo que le da verdadero sentido a la medición.
• Las herramientas aun más sofisticadas de medición, son bastante
imperfectas, tienen serias limitaciones con el idioma y sus resultados
requieren ser calibrados en base a la experiencia y al conocimiento del
entorno que se pretende medir.
• Ninguna herramienta es un “one stop shop”.

LA VALIDACIÓN Y LA TRANSPARENCIA EN
LA MEDICIÓN
• Cuando se implementa la utilización de herramientas de medición, debe irse
informado sobre donde mora nuestro público meta. De nada vale que una
herramienta diga que es capaz de scan millones de fuentes, si no incluye la que le
sea útil.
• Una herramienta que no sea capaz de scan comentarios públicos en Facebook, no
vale la pena. Es prácticamente de la única fuente donde puede derivarse
información mas allá de la propia.
• Siempre debe preguntar el tamaño de la muestra que toma la herramienta, puesto
que son tantos billones de información disponible, que es una falacia que lo abarcan
todo.
• Conocer el peso en la distribución de fuentes que componen la muestra.
• Con relación a Twitter si no tiene acceso al "fire hose" los resultados son de poco
valor.

LA VALIDACIÓN Y LA TRANSPARENCIA EN
LA MEDICIÓN
• La traducción de “posts” en otros idiomas, a la hora de arrojar resultados, no
significa que el algoritmo de la herramienta entienda nuestro idioma para
efectos de la recopilación de datos.
• No hay tal cosa como una medición de sentimiento que sirva de base para la
toma de ninguna decisión. El sentimiento es un muestreo que tiene que
hacer un ser humano que distinga la ironía y las expresiones idiomáticas del
entorno geográfico analizado.
• Todo esfuerzo interno de medición requiere de una auditoria de un recurso
externo que este libre de todo interés en el éxito o el fracaso de las
iniciativas de la empresa. Este aportará ademas, una óptica sin perjuicios de
lo que funciona o no para la empresa.
• Ninguna herramienta de medición sola puede generar la toma de decisiones.
Es imperativo validar resultados con data del “field” y con la experiencia del
analista.

ESCOLLOS PARA IMPLEMENTAR UN
PROGRAMA DE MEDICIÓN INTERNO

ESCOLLOS PARA IMPLEMENTAR DE UN
PROGRAMA DE MEDICIÓN INTERNO
• Los costos de implementación de herramientas de medición son altos y en
su mayoría requieren de un compromiso no menor de un año y del pago
total de los servicios por tal año.
• No se tiene el personal capacitado para esto ni disponible para ser destacado
solo en esto.
• No se ha educado al cliente o a la empresa para que espere más de sus
esfuerzos en las redes sociales. Esa zona de comfort funcionara por un
tiempo pero puede que sea un lugar del que no se puede regresar.
• Popularidad a base de interacciones ficticias o manipuladas que dan la
impresión de que con lo que se tiene basta.
• No saber justificar la inversión y su potencial de retorno.

PENSANDO EN NUESTRA AUDIENCIA
•Todo esfuerzo dirigido a una empresa, organización y grupo profesional, tiene
que ir dirigido a un individuo pues es este y no aquellos, quienes toman
decisiones de compra.
•Antes de dirigir ningún esfuerzo, es necesario que se construya el perfil del
usuario al que quiseramos apelar. En redes sociales es un ejercicio de descubrir
a quien no conocemos.
•Al individuo se le apela con diversidad de mensajes para llevarlo al proceso de
toma de decisiones. Debe ser un 80/20.
•La audiencia local a parte de ser un objetivo es un elemento indispensable que
funge como promotor primario del mensaje .
•Nunca olvidarnos que nuestra audiencia tiene una audiencia y que el ciclo no
termina.
•Revisada la teoría de los 6 grados de separación de Milgram, gracias a Facebook
hoy existen 3.74 grados de separación entre una persona y otra en el mundo.

Lcdo. Juan Lorenzo Martínez
J.D., LLM, C.I.S.A., C.P.A., C.I.A., C.F.E., C.G.A.P.,
C.R.I.S.C., C.G.M.A., C.R.M.A., C.D.P., C.C.P., C.B.M.
1

El fraude consiste de adquirir dinero, bienes o
beneficios de otra personas a través del
engaño.
Fraude Ocupacional: El uso de una ocupación
para enriquecerse personalmente a través del
mal uso, deliberado, de los recursos o activos
de la entidad en la que uno labora.
3

10% - 80% - 10%
En EU se pierden mas de 600 billones al año
por causa del Fraude
78% de los fraudes lo hacen gente de adentro
4

5
Oportunidad
Presión
Incentivo
Racionalización

6
26.3%
0.9%
6.2%
7.8%
18.4%
21.3%
23.8%
8.6%
11.5%
15.4%
18.8%
18.6%
6.2%
5.1%
1.7%
10.9%
5.1%
23.6%
0% 5% 10% 15% 20% 25% 30%
Notified by Police
Anonymous Tip
Tip from Vendor
Tip from Customer
External Audit
Internal Controls
By Accident
Tip From Employee
Internal Audit
2001 2004

 La falta de “audit trail” – la huella que dejan
las transacciones.
 El procesamiento uniforme de transacciones
◦ Un pequeño cambio en la programación puede
causar un fraude muy grande
 La segregación de labores
◦ La autorización
◦ Anotación
◦ Custodia física
7

 Nadie puede tener el control total del
procesamiento
 Lo que se ha llamado “el control por
ignorancia”
◦ Los programadores
◦ Los Analistas
◦ Los Operadores
◦ El Bibliotecario
◦ El Administrador de la base de datos
◦ Los Usuarios
8

 La importancia de la
documentación
 La concentración de riesgo en el
centro de cómputos
◦El impacto de un desastre
natural
Plan de manejo de desastres
Continuidad de negocios
9

 El internet
 La abundancia de personas con
computadoras (el usuario)
 Virus
 La privacidad – acceso a información
confidencial
 El comercio electrónico
◦ Con suplidores
◦ Con consumidores
◦ Transferencia electrónica de fondos
10

Alteración a los programas y los sistemas para
robar inventario o efectivo.
Manipular estados financieros
11

 Estados de cuenta mensuales falsificados
Ej. Cambiaba la dirección de los clientes en el
sistema. El recibía los estados y enviaba a
esos clientes estados falsificados.
12

Descuentos y/o “write-offs” fraudulentos
Pagos de facturas falsificadas
El suplidor no existe realmente.
El crear una compañía ficticia es sumamente fácil
13

 Empleados que renuncian, se jubilan o se
mueren y siguen cobrando
 Falsificación de horas trabajadas
 Pago por vacaciones y enfermedad (a
pesar de que falto)
14

 Que podemos hacer para controlar este
problema de Fraudes en el área de IT?
15

 Definición de Control Interno
Lista de normas y procedimientos
establecido por la gerencia
En el Triangulo del Fraude va al elemento de
oportunidad
Niño con el biscocho
16

Objetivo Financiero – Garantizar la exactitud
de los records de contabilidad y los informes
financieros.
Objetivo Operacional – Mejorar la eficiencia y
efectividad de las operaciones.
Objetivo de Cumplimiento – Cumplimiento
con leyes, reglamentos y políticas de la
organización.
17

 Responsabilidad de gerencia – Diseño e
implementación defectuosas
 Problema de Costo y Beneficio
 Evadir controles por colusión de
empleados
 Fraudes Gerenciales
 Errores por fatiga, falta de conocimiento y
error humano
18

 Ambiente de Control
◦ Valores éticos e integridad
◦ Filosofía gerencia y estilo operacional
◦ Compromiso con la competencia técnica
◦ Participación y envolvimiento de la Junta de Directores y
la existencia de un comité de auditoria
◦ Estructura organizacional definida
 Buen Organigrama
 Definición clara de metas, objetivos y responsabilidades
 Medidas de efectividad
 Asignación clara de autoridad y responsabilidad
 Políticas y practicas claras de manejo de recursos humanos
19

 Estar pendiente de eventos que aumentan los
riesgos en la entidad
o Nuevo Personal
o Nuevos sistemas de información
o Cambios o crecimientos rápidos
o Reestructuraciones
o Cambios en pronunciamientos de contabilidad
 “Río revuelto, ganancia de pescadores”
20

Actual vs. Presupuesto, Actual vs. Proyección
Control Físico
Asignación de Personal Competente
Segregación de Funciones en el centro
Segregación de labores en la operación
Autorización, Custodia, Anotación
Reconciliaciones periódicas
Pre numeración de todos los documentos
Documentación adecuada de todas las entradas de
jornal
21

Manual de contabilidad (procedimientos)
Lista de cuentas (Chart of Accounts)
22

 Auditoria Interna es una actividad
independiente y objetiva de auditoría y
consultoría diseñada para añadir valor y
mejorar la operación de una entidad.
Ayuda a la organización a cumplir sus
metas y objetivos aportando una
metodología sistemática para la
evaluación y mejoramiento del manejo
de riesgo, control y al proceso gerencial.
24

 Para poder modificar y mejorar los procedimientos
hay que obtener un entendimiento de la estructura
de control interno actual
 Determinar el nivel de riesgo de control –
Probabilidad de que los procedimientos de control
interno establecidos no detecten errores e
irregularidades a medida que estos ocurran.
 Estar siempre consciente de la probabilidad de que
ocurra un error, una irregularidad o un acto ilegal
25

AULAS VIRTUALES Y SALAS DE
VIDEOCONFERENCIAS
(COMO RECURSOS DE APOYO A LA
EDUCACIÓN CONTINUA DEL CONTADOR
PÚBLICO O CONTADOR PROFESIONAL)
DR. JUAN MELÉNDEZ
UNIVERSIDAD DE PUERTO RICO

ACTIVIDADES - 1
•Supervisar proyectos
•Dar instrucciones
•Proveer recursos especializados
•Ayudar en el progreso de los trabajos de
los estudiantes
•Recibir trabajos

ACTIVIDADES - 2
•Comunicar con estudiantes
•Personal
•Grupal
•Reportar notas

PLATAFORMAS
• Manejador
• Moodle http://www.freemoodle.org
• Edu 2.0 https://www.edu20.org
• Classroom http://classroom.google.com
• Redes Sociales
• Facebook
• Twitter
• Videoconferencia
• WizIQ
• BigMarker

El ISAE 3402 y su
impactoen los
requerimientos
para la
presentaciónde
reportes de
aseguramiento
sobrecontroles en
las organizaciones
de servicios
Presentado por:
Lolita E. Vargas De León CPA, CISA, CIA,
MIBA
Universidad de Puerto Rico en Cayey

NormasparalaPresentaciónde Reportesde
AseguramientosobreControlesenuna
Organización deServicios
SAS 70 (Statement on
Auditing Standards 70),
•Norma (EU) para presentación de
reportes sobre controles de las
organizaciones de servicios.
•AICPA (abril 1992)
SSAE 16 (Statement on
Standards for
Attestation
Engagements 16)
•Sigue al ISAE 3402 y completa
el marco de referencia para el
auditor de servicio.
•AICPA (abril 2010)
ISAE 3402 (International
Standards for
Attestation
Engagements 3402)
•Norma de alcance global post
Ley Sarbanes-Oxley.
•IFAC (diciembre 2009)

Organizaciónde Servicios
Organización o división de
una organización que presta
servicios a entidades
usuarias que pudieran ser
relevantes para los
controles internos sobre la
información financiera de
la entidad usuaria.

El SAS70 – Organizacionesde Servicios
Regula la revisión del control interno en las
organizaciones de servicios.
Considera riesgos que pudieran impactar la
integridad, exactitud y/o validez de la
información financiera de la organización.
El reporte se da como “opinión independiente”.
Se recomienda para organizaciones que deben
cumplir con la Ley Sarbanes-Oxley.
Aplica a información financiera para años
terminados antes del 15 de junio de 2011.

Reportesbajoel SAS70
Sección Descripción Responsable
I Informe del auditor
independiente de la
organización de
servicios
Opinión del auditor Auditor
II Información provista
por la organización de
servicios
Ambiente de control,
procedimientos, objetivos de
control, controles, etc.
Organización de
servicios
III Información provista
por el auditor de
servicios
Objetivos de control,
controles, pruebas de
auditoría, resultados, etc.
Auditor
IV Otra información
provista por la
organización de
servicios (opcional)
Planes de acción correctiva,
planes de continuidad de
negocio, proyectos, etc.
Organización de
servicios

ISAE3402 –ReportesdeAseguramientosobre
ControlesenunaOrganizacióndeServicios(SOC)
Organización de
Servicios –
Servicios
Prestados
Alcance
del Reporte
SOC
Organización
Usuaria –
Servicios
Externalizados

TiposdeReportedeAseguramientosobre
SOC 1
SOC 2
SOC 3
• Reporte de Controles en una
Organización de Servicios que son
Relevantes para el Control Interno
de las Entidades Usuarias sobre los
Informes Financieros (ISAE
3402/SSAE 16)
• Reporte de Controles en una
Organización de Servicios que son
Relevantes para la Seguridad,
Continuidad, Integridad del
Procesamiento, Confidencialidad
y/o Privacidad (AT 101, ISAE 3000)
• Reporte de Servicios de Confianza
para Empresas de Servicios

Tiposde ReportesdeAseguramientosobre
SOC 1 SOC 2 SOC 3
Enfoque Controles relevantes
para los informes
financieros de la
organización usuaria
Seguridad, continuidad,
integridad del
procesamiento,
confidencialidad y/o
privacidad
Seguridad, continuidad,
integridad del
procesamiento,
confidencialidad y/o
privacidad
Procesos y sistemas Procesos y sistemas
relevantes para los
informes financieros
Cualquier proceso o
sistema
Cualquier proceso o
sistema
Criterios Diseñados para atender
las necesidades de
auditoría de estados
financieros
Diseñados para
proporcionar
aseguramiento a los
clientes, socios
comerciales y otras
partes interesadas
Diseñados para
proporcionar
aseguramiento a los
clientes, socios
comerciales y otras
partes interesadas
Público Empresa del usuario y
sus auditores
Clientes y socios
comerciales
Clientes, socios
comerciales y otras
partes interesadas
Uso/distribución Restringido Puede ser restringido Generalmente no
restringido

ReportesSOC1
• El auditor de servicios opina sobre:
• La legitimidad de la presentación de la descripción que provee la
gerencia sobre el sistema de la organización de servicios a una
fecha determinada.
• La adecuacidad del diseño de los controles en un punto
determinado en el tiempo.
Tipo
1
• El auditor de servicios opina sobre:
• La legitimidad de la presentación de la descripción que provee la
gerencia sobre el sistema de la organización de servicios durante
el período bajo evaluación.
• La adecuacidad del diseño de los controles durante el período
bajo evaluación.
• La efectividad operacional de los controles durante el período bajo
evaluación.
Tipo
2

ReporteSOC2
Añade valor al
considerar
controles
relacionados con
la continuidad,
seguridad,
integridad,
confidencialidad y
privacidad de los
sistemas de
información
utilizados por la
organización de
servicios.
Unifica los
procesos y genera
indicadores
comunes de
cumplimiento.
Tiene la opción de
utilizar reportes
Tipo 1 (diseño) y
Tipo 2
(efectividad).
Su uso y
distribución es
más amplio que
en SOC 1, pero
sigue siendo
restringido.
Se ejecutan
utilizando
matrices formales
de “Principios y
Criterios de los
Servicios de
Confianza”
(AICPA/CICA) que
incluyen
elementos de
dominio,
principios,
criterios,
controles, pruebas
y resultados.

ReportesSOC3
Son reportes de uso
general.
Su distribución no está
restringida.
•Se pueden distribuir
libremente y/o publicar en
la web como sello de
Sys Trust o Web Trust para la
organización de servicios.
Se ejecutan utilizando
matrices formales de
“Principios y Criterios
de los Servicios de
Confianza”
(AICPA/CICA) que
incluyen elementos de
dominio, principios,
criterios, controles,
pruebas y resultados.

“PrincipiosdelosServiciosdeConfianza”
(AICPA/CICA)
Dominio Principio
Continuidad El sistema está disponible para su uso y operación
según lo acordado o comprometido.
Seguridad El sistema está protegido contra accesos físicos y/o
lógicos no autorizados.
Integridad El procesamiento del sistema es preciso , oportuno
y está completo y autorizado.
Confidencialidad La información definida como confidencial está
protegida según lo acordado o comprometido.
Privacidad La información personal es recopilada, utilizada,
retenida y revelada de acuerdo con los contratos
estipulados en la notificación de privacidad de la
entidad y con los criterios establecidos en los
Principios de Privacidad Generalmente Aceptados
emitidos por la AICPA/CICA.

DiferenciasRelevantesentreelSAS70yelISAE
3402/SSAE16
Fecha de
efectividad
Forma
Representación
de la gerencia
Criterios
Adecuacidad del
diseño de los
controles
Evidencia
obtenida en
encargos
anteriores
Uso del trabajo
del auditor
interno
Restricciones
al uso y
distribución de
los reportes
Método
inclusivo de
reporte

DiferenciaRelevante1 –FechadeEfectividad
SAS 70
• Aceptable para uso
en auditorías con
fechas de reporte /
períodos bajo
revisión terminados
antes del 15 de junio
de 2011.
ISAE 3402 /SSAE 16
• Efectivos para
reportes con fecha
de reporte (Tipo 1)
y períodos de
revisión (Tipo 2)
terminados en o
después del 15 de
junio de 2011.

DiferenciaRelevante2 –Forma
SAS 70
• Estándar de auditoría que
regula el desempeño de una
auditoría de SAS 70 y el uso
del reporte correspondiente
por la organización usuaria y
sus auditores.
ISAE 3402 /SSAE 16
• Estándares de
aseguramiento dirigidos
al reporte sobre los
controles en
organizaciones de
servicios. Las auditorías
de servicios llevadas
acabo en los EU deberán
realizarse en
cumplimiento con
ambos estándares (ej.
emitir informes
combinados).

DiferenciaRelevante3 –Representacióndela
Gerencia
SAS 70
• Se requiere que la gerencia de la
organización de servicios provea
una representación escrita en la
forma de una carta de
representación que es obtenida
por el auditor de servicios antes de
que se emita el reporte de la
auditoría SAS 70. Esta carta de
representación no se incluye en el
reporte de auditoría SAS 70.
ISAE 3402 /SSAE 16
• Se requiere que la gerencia de la
organización de servicios provea
una aseveración por escrito en el
cuerpo del reporte sobre la justa
presentación de la descripción del
sistema de la organización, la
adecuacidad del diseño de sus
controles y la efectividad
operacional de sus controles (Tipo
2), entre otros. La aseveración
acompaña a la descripción del
sistema de la organización de
servicios y es de naturaleza
similar a aquellas que se incluían
previamente como parte de las
cartas de representación de la
gerencia en auditorías SAS 70.

DiferenciaRelevante4 –Criterios
SAS 70
• No aplica. Una auditoría SAS
70 es un encargo de “reporte
directo” , por lo cual la materia
objeto del encargo se incluye
como parte del reporte del
auditor de servicios . Las
representaciones de la
gerencia, así como los criterios
utilizados por esta, no forman
parte del reporte de auditoría
SAS 70.
ISAE 3412 /SSAE 16
• La gerencia de la organización de
servicios es responsable de
especificar los criterios que utilizó
a la hora de preparar la
descripción de su sistema. Los
criterios se incluyen en el reporte
en la sección de aseveraciones de
la gerencia y se utilizan por el
auditor de servicios con el
propósito de llevar a cabo la
auditoría. Los criterios mínimos a
utilizar aparecen descritos en los
estándares y son un factor
determinante al momento de
establecer si la evaluación es una
auditoría Tipo 1 o Tipo 2.

DiferenciaRelevante5 –AdecuacidaddelDiseño
de losControles
SAS 70
• En el reporte de auditoría
SAS 70, Tipo 1 y Tipo 2, se
opina sobre la adecuacidad
del diseño de los controles
a una fecha específica en el
tiempo.
ISAE 3412 /SSAE 16
•Similar al reporte de
auditoría SAS 70, en la
opinión Tipo 1 se opina
sobre la adecuacidad del
diseño de los controles a una
fecha específica en el
tiempo. No así en la Tipo 2,
en la cual se requiere opinar
sobre la adecuacidad del
diseño de los controles
durante el periodo completo
bajo evaluación (por lo
menos 6 meses
consecutivos).

DiferenciaRelevante6 –EvidenciaObtenidaen
EncargosAnteriores
SAS 70
• El auditor de servicios puede
utilizar evidencia obtenida
durante encargos anteriores
para reducir la naturaleza,
tiempo y extensión de las
pruebas de auditoría.
ISAE 3412 /SSAE 16
•El auditor de servicios no
debe utilizar evidencia
obtenida durante encargos
anteriores con el
propósito de reducir la
naturaleza, tiempo y
extensión de las pruebas
de auditoría. Esto es así
inclusive cuando se pueda
suplementar con evidencia
obtenida durante el
período corriente.

DiferenciaRelevante7 –UsodelTrabajodel
AuditorInterno
SAS 70
• El auditor de servicios no está
obligado a divulgar el uso del
producto del trabajo del
auditor interno.
ISAE 3412 /SSAE 16
•El auditor de servicios está
obligado a divulgar como
parte de su descripción de
pruebas de control la
naturaleza y extensión del
uso que hace del producto
del trabajo del auditor
interno. El auditor de
servicios también está
obligado a divulgar
cualquier procedimiento
relacionado adicional
realizado por él .

DiferenciaRelevante8 –RestriccionesalUsoy
Distribuciónde losReportes
SAS 70
• El uso y distribución de los
reportes está restringido a la
gerencia de la organización de
servicios, sus clientes y los
auditores financieros de los
clientes.
ISAE 3412 /SSAE 16
•Los usuarios autorizados
de los reportes típicamente
incluyen a los clientes de la
organización de servicios y
a los auditores financieros
de los clientes. Además, el
auditor de servicios puede
incluir lenguaje que
restrinja específicamente
la distribución de los
reportes y sus usos.

DiferenciaRelevante9 –Método Inclusivode
Reporte
SAS 70
• No es requisito obtener
representación de
organizaciones de sub-
servicios antes de incluir sus
controles en los reportes de
auditoría SAS 70.
ISAE 3412 /SSAE 16
•Es requisito obtener
representación de
servicios antes de incluir sus
controles en los reportes de
aseguramiento. El método
inclusivo de reporte no
pudiera utilizarse si la
gerencia de una de las
servicios se negara a proveer
aseveraciones relevantes al
encargo.

ReportesSOC1 –Mitos Comunes
El reporte SOC 1 equivale a
una certificación.
Estos reportes pueden ser
distribuidos a clientes
potenciales y utilizados como
material promocional.
Todas las áreas
operacionales pueden ser
incluidas en el reporte
SOC 1.
Una vez obtenido el reporte,
la organización usuaria no
tiene necesidad de verificar
ningún control
Es posible desarrollar
aplicaciones que cumplan
con los requerimientos del
SSAE 16.
El SSAE 16 no permite el uso
del producto del trabajo del
auditor interno.
El auditor de servicios
deberá verificar la precisión
del contenido de la sección
de “otra información provista
por la organización de
servicios”.
El auditor de servicios no
hace pruebas sobre la
efectividad de los controles a
nivel de la entidad.
El período bajo evaluación
de los controles debe ser de
6 meses.

Referencias
• http://isae3402.com
• http://www.ssae-16.com
• http://www.ifac.org
• http://www.kpmg.com/NL/en/Issues-And-
Insights/ArticlesPublications/Documents/PDF/Risk-
Consulting/Practice-guide-4.pdf
• http://www.isaca.org/Groups/Professional-English/isae-
3402/GroupDocuments/13v2-Common-Myths-of-
Service.pdf

I Encuentro Virtual sobre TI para Contadores de las Américas

I Encuentro Virtual sobre TI para Contadores de las Américas

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (19)

Destacado

Destacado (20)

Similar a I Encuentro Virtual sobre TI para Contadores de las Américas

Similar a I Encuentro Virtual sobre TI para Contadores de las Américas (20)

Más de Castañeda Mejía & Asociados

Más de Castañeda Mejía & Asociados (20)

Último

Último (20)

I Encuentro Virtual sobre TI para Contadores de las Américas