El 15 de agosto 2014 se llevó a cabo el "I Encuentro Virtual sobre Tecnologías de la Información para Contadores de las Américas". El objetivo general era: "Allanar el camino para conocer y estar informados de las tendencias emergentes y mejores prácticas relacionadas a la TI que son relevantes a la profesión contable, que están reescribiendo las reglas que definen una profesión de contadores de clase mundial."
2. Manejo de
Resolución
de Querellas
en el Mundo
Cibernético
Jean G. Vidal Font, LL.M
Ferraiuoli LLC
221 Plaza Bldg. 5th Floor,
Pónce de León Ave.
San Juan, PR 00917
3. Corporación de Internet para la Asignación
de Nombres y Números (ICANN)
• Organización sin fines de lucro.
• Asigna direcciones de protocolo IP.
• Administra DNS.
4. Política de Resolución de Disputas de
Nombres de Dominio Uniformes (UDRP)
• Establecido por ICANN.
• Busca resolver disputas de nombres de dominios
basados en marcas registradas de una manera rápida
y barata.
• Se intenta solucionar la disputa mediante acuerdo,
acción judicial o arbitraje, antes de que el nombre de
dominio sea cancelado, removido o transferido.
• Todos los registradores están bajo esta política.
5. Elementos a establecer en la Demanda
(UDRP)
• El nombre de dominio es igual o causa confusión por
ser similar a una marca.
• El demandado no tiene derecho sobre o interés
legítimo en el nombre de dominio.
• El demandado registró el nombre de dominio y lo
está usando con mala fé.
6. Demanda - Elementos
• Puede ser pertinente a más de un nombre de
dominio.
• Es presentada a un Proveedor aprobado por ICANN.
• Debe ser radicada de forma electrónica.
• Redactada en el mismo lenguaje que el contrato de
registro.
8. Respuesta (UDRP)
• El Demandado tiene 20 días para presentarla al
Proveedor.
• Debe responder específicamente a las imputaciones
estipuladas en la demanda .
10. Panel Administrativo (UDRP)
• Es designado por el Proveedor.
• Está compuesto por 1 o 3 personas expertas en el
tema.
• Es independiente de todas las partes envueltas.
• Emite una decisión sobre la demanda.
• Le notifica a las partes.
12. Decisiones (UDRP)
• El panel administrativo puede:
– Decidir a favor del demandante y ordenar que el nombre
de dominio en cuestión sea transferido a esa persona o
entidad.
– Decidir a favor del demandante y ordenar que el nombre
de dominio en cuestión sea cancelado; o
– Decidir a favor del demandado y denegar el remedio
solicitado en la demanda.
15. VIOLACIÓN AL DERECHO MARCARIO
CON NOMBRES DE DOMINIO
• Llamado cybersquatting en Inglés
• Ocurre cuando un tercero adquiere un nombre de
dominio que contenga su marca.
• Legislación federal (Lanham Act) provee un remedio
para el dueño de la marca.
16. VIOLACIÓN AL DERECHO MARCARIO
CON NOMBRES DE DOMINIO
• Uso de marca como nombre de dominio.
• Registración de marca en nombre de dominio se
hace de mala fé.
• Varios factores para considerar intención/mala fé de
registro.
• A.C.P.A. 11 U.S.C.A. 1125 (d).
17. DMCA Notice andTake Down
• El Digital Millenium Copyright Act (DMCA) es una ley
de EEUU que protege los derechos de autor.
• Proceso para bajar de la red material que viole
derechos de autor o que sea illegal.
• Se le notifica al online service provider.
• Luego de la notificación, el online service provider
deberá remover el contenido de la web.
18. Requisitos
• La notificación debe incluir:
– Suficiente información sobre el material infringido para que el
online service provider pueda identificarlo y encontrarlo en la
web;
– Información sobre la parte afectada para poder comunicarse
con ésta ;
– Una declaración de la parte afectada que indique el uso del
material que viola los derechos de autor que no fue autorizado
por el dueño de los derechos de autor, su agente o la ley;
– Una declaración que indique que “the information in this
notification is accurate, and under penalty of perjury, that the
complaining party is authorized to act on behalf of the owner of
an exclusive right that is allegedly infringed.”
19. DMCATakedown
• El material que violenta los derechos de autor es
removido del website por el online service provider.
• No tiene que haber derecho de autor para pedir que
se elimine el material en cuestión.
• El hecho de que el material sea propio o que una foto
o video sea de uno, es suficiente para solicitar que se
remueva el contenido.
20. Conclusión
• Dueños de marcas tienen remedios administrativos
(UDRP) y judiciales (ACPA) para remediar violaciones
a derechos marcarios por nombre de dominio.
• Dueños de obras pueden exigir que se remueva una
obra mediante “take down notice” a tenor con el
DMCA.
• Medidas que son económicas en comparación con
remedios judiciales.
21. Antonio Ayala I.
VP Ejecutivo, RISCCO
15 de agosto de 2014
Fraude en el ambiente cibernético
Entérate de: ¿Cómo? ¿Quién? ¿Dónde?
41. INTRODUCCIÓN
• Las redes sociales son un cambio más que generacional, uno cultural que no
conoce fronteras territoriales.
• Lo que empezó como una forma de conectar con amigos y familiares, es ahora eje
de un EGOsistema.
• Compartimos status, fotos y videos de lo que hacemos, donde estamos, con quien.
No con el mero fin de informar, sino de provocar una reacción de nuestros amigos o
seguidores.
• Nuestra audiencia en la redes sociales esta apoderada con el entendimiento de que
tienen igualmente una audiencia, et. seq.
• El verdadero valor de nuestra opinión, lo medimos en Likes, Views, Retweets.
• Las redes sociales no son una moda pasajera; son la más dramática evolución en la
interacción humana en nuestros tiempos.
42. REDES SOCIALES Y AMÉRICA LATINA
La region en el mundo con mayor “engagement” es América Latina – State of Social
Media 2014 - Comscore
43. REDES SOCIALES Y AMÉRICA LATINA
México es el país con mayor alcance en sitios en redes sociales – State of Social Media 2014 - C
omscore
44. INTELIGENCIA SOCIAL PARA UNA ERA
DIGITAL
• Inteligencia social no es otra cosa que una combinación entre la recopilación de
la data cuantitativa que proveen los usuarios en las redes sociales, puesta en
contexto, luego de un cernimiento cualitativo, conducente a proveer información
sobre la cual, puedan tomarse decisiones importantes.
• Las redes sociales son una cantera de valiosas opiniones inéditas que bien
manejadas, bajo el amparo de los límites permitidos por ley, ofrecen nuevos
horizontes para conocer y predecir audiencias y mercados.
• La inteligencia digital, le ofrece al publicista, relacionista, profesional del
mercadeo, en fin, al empresario u organización en general, una herramienta única
para poder planificar sus estrategias de comunicación y mercadeo.
• Jamás en la historia, habíamos tenido la oportunidad de conocer tanto sobre las
personas, un status a la vez, un tweet a la vez, un like a la vez.
• Esto, es de vital importancia en este momento histórico en que es imperativo
conocer cómo llegarle a las audiencias que ya están de por sí sobrecargadas de
información e influencias.
45. UNA MIRADA GLOBAL A LA INTELIGENCIA
• Las redes sociales son ese grupo focal que ésta evaluando y comentado sobre todo
tipo de asunto, producto o servicio 24/7.
• El valor de la información disponible en las redes ha motivado la creación del Oficial
de Inteligencia Social.
• Corporaciones globales como Nielsen (Nielsen Incite), NBC (Senior Vice President,
Digital Reaserch), CBS (Senior Director Personalization), Merryl Lynch (Director
Channel Analytics), Amazon (Vice President Web Analytics) y Siemens (Head, Digital
Marketing), han creado departamentos dedicados expresamente a proveer
inteligencia social“in house.”
• Han destacado todo un ejército de monitoreo, análisis de los personajes que
protagonizan e influencian a los usuarios de las redes y hasta la predicción de
tendencias en comportamientos y preferencias a tenor con los límites legales que
existen en el manejo de esta inteligencia.
• La inteligencia social es la piedra angular para el desarrollo de un "social business
strategy".
47. LA IMPORTANCIA DE LA INTELIGENCIA
SOCIAL
• Una de las razones principales por las cuales no estamos completamente
satisfechos con nuestras campañas en las redes sociales, es porque los
resultados dejan mucho que desear.
• En la medida que nuestras páginas y perfiles siguen ganando fanáticos y
seguidores, se nos hace más difícil detectar de que forma esto impacta
nuestras estrategias existentes.
• Si tenemos un perfil completo y dinámico de los usuarios de nuestros
páginas, estamos en mejor posición de hablarles a través de nuestros
esfuerzos de mercadeo o publicidad.
• Los mismos cambios en los algoritmos de "discoverability" de las
plataformas nos obligan a dirigir nuestros esfuerzos con precisión pues
encontrarnos orgánicamente es cada vez más difícil.
48. MONITOREO VS MEDICIÓN
• Aunque son términos que se usan conjuntamente como si fuera un todo en el
ámbito de las redes sociales, son claramente distinguibles.
• El monitoreo de redes sociales es la observación sistemática de las conversaciones
e intercambios alrededor de un sujeto con el fin de comprender los motivadores
alrededor de tal conversación. “Listening in”
• El monitoreo puede llevarse a cabo manualmente o mediante el uso de
herramientas destinadas a recopilar las diferentes fuentes de tal conversación.
• Medición es el esquema de evaluación de resultados que se le aplicará al sujeto de
tal medición.
• Los parámetros de la medición tienen que guardar estricta correlación con los
objetivos trazados.
• El monitoreo nos provee información que nos llevara a la acción que una vez
ejecutada será sujeto de nuestra medición.
50. PORQUE MINAR DATOS DE LAS REDES
SOCIALES
• Para que la empresa u organización comprenda la verdadera utilidad de sus
perfiles en las redes sociales. No es un concurso de simpatía.
• Para que podamos según el entorno de nuestra empresa, crear un esquema
de causa, efecto y resultados que validen el “ROI” de nuestros esfuerzos.
• En aras de comprender los motivadores de nuestra reputación (Brand
Health).
• Para mejorar y sobretodo conocer cual es la experiencia del cliente con
nuestro producto o servicio.
• Como nuestro “playground” para la innovación.
• Para que tengamos data histórica que nos pueda arrojar luz sobre el futuro.
51. EL SERVICIO AL CLIENTE PARA MINAR
DATOS
• Nos guste o no, los usuarios en las redes sociales convierten
nuestros perfiles en una ventana de quejas.
• Precisamente ese empoderamiento que tiene el usuario sobre el
nivel de acceso que le proveen las redes sociales, lo va a llevar
primero a recurrir a ellas para cualquier asunto.
• Sin duda, si vamos minando datos sobre al experiencia de nuestro
cliente con nuestros productos o servicios, podemos identificar lo
que no pueda estar funcionando adecuadamente dentro de nuestra
empresa.
• No basta con identificar detractores o embajadores de nuestra
marca.
52. CONT. SERVICIO AL CLIENTE PARA MINAR
DATOS
• Con una base de datos, podemos trabajar y neutralizar las
circunstancias en que el detractor construye para tratar de
desestabilizar nuestras comunidades. E.g. experiencia en el hotel,
atención en las facilidades
• Nos permite rastrear el impacto de atender bien a un individuo versus
mercadear para todo un espectro de diverso de personas.
• Puede seccionarse dentro de los usuarios grupos que sirvan como panel
de opinión sobre productos existentes o futuros.
• La empresa comprende mejor el proceso de compra y toma de
decisiones del cliente para ubicarse mejor en ese embudo para el
futuro.
55. DATOS QUE SI DEBE RECOPILAR
• Todo tipo de datos demográficos. E.g. edad, género, estado civil,
localización.
• El tipo y cantidad de interacciones que nuestras publicaciones generan.
Esto nos ayudará a establecer las bases para calcular el retorno de nuestra
inversión.
• Días y horas más productivas para nuestras publicaciones.
• El tiempo aproximado de respuesta a los usuarios de nuestros perfiles.
• Desde que navegador, equipo (escritorio, móvil, tableta) acceden nuestros
perfiles.
• Si nuestros perfiles se acceden directamente o por conducto de una app.
56. DATOS QUE DEBERÍA RECOPILAR
• Los usuarios que más comparten nuestro contenido con el fin de crear
un perfil de estos.
• La efectividad de cada formato en el que compartimos nuestro
contenido.
• Usuarios nuevos versus los que regresan.
• Lo que ésta y no ésta haciendo nuestra competencia. Hay que
deconstruir esfuerzos que le puedan resultar exitosos y comprender los
motivadores.
• Los denominadores comunes entre los usuarios de sus perfiles. E.g. (son
fans de, amigos de...)
• Las palabras más utilizadas alrededor de su marca.
58. NO TODOS LOS SISTEMAS DE MEDICIÓN
SON IGUALES
• La medición en las redes sociales no se trata de generar un reporte con X o Y
herramienta para meramente determinar, likes, retweets o clicks.
• Lo distinguible es lograr aislar y comprender los elementos que entran en
juego y que provocan la actuación ulterior que se pretende medir. Ese
análisis es lo que le da verdadero sentido a la medición.
• Las herramientas aun más sofisticadas de medición, son bastante
imperfectas, tienen serias limitaciones con el idioma y sus resultados
requieren ser calibrados en base a la experiencia y al conocimiento del
entorno que se pretende medir.
• Ninguna herramienta es un “one stop shop”.
59. LA VALIDACIÓN Y LA TRANSPARENCIA EN
LA MEDICIÓN
• Cuando se implementa la utilización de herramientas de medición, debe irse
informado sobre donde mora nuestro público meta. De nada vale que una
herramienta diga que es capaz de scan millones de fuentes, si no incluye la que le
sea útil.
• Una herramienta que no sea capaz de scan comentarios públicos en Facebook, no
vale la pena. Es prácticamente de la única fuente donde puede derivarse
información mas allá de la propia.
• Siempre debe preguntar el tamaño de la muestra que toma la herramienta, puesto
que son tantos billones de información disponible, que es una falacia que lo abarcan
todo.
• Conocer el peso en la distribución de fuentes que componen la muestra.
• Con relación a Twitter si no tiene acceso al "fire hose" los resultados son de poco
valor.
60. LA VALIDACIÓN Y LA TRANSPARENCIA EN
LA MEDICIÓN
• La traducción de “posts” en otros idiomas, a la hora de arrojar resultados, no
significa que el algoritmo de la herramienta entienda nuestro idioma para
efectos de la recopilación de datos.
• No hay tal cosa como una medición de sentimiento que sirva de base para la
toma de ninguna decisión. El sentimiento es un muestreo que tiene que
hacer un ser humano que distinga la ironía y las expresiones idiomáticas del
entorno geográfico analizado.
• Todo esfuerzo interno de medición requiere de una auditoria de un recurso
externo que este libre de todo interés en el éxito o el fracaso de las
iniciativas de la empresa. Este aportará ademas, una óptica sin perjuicios de
lo que funciona o no para la empresa.
• Ninguna herramienta de medición sola puede generar la toma de decisiones.
Es imperativo validar resultados con data del “field” y con la experiencia del
analista.
63. ESCOLLOS PARA IMPLEMENTAR DE UN
PROGRAMA DE MEDICIÓN INTERNO
• Los costos de implementación de herramientas de medición son altos y en
su mayoría requieren de un compromiso no menor de un año y del pago
total de los servicios por tal año.
• No se tiene el personal capacitado para esto ni disponible para ser destacado
solo en esto.
• No se ha educado al cliente o a la empresa para que espere más de sus
esfuerzos en las redes sociales. Esa zona de comfort funcionara por un
tiempo pero puede que sea un lugar del que no se puede regresar.
• Popularidad a base de interacciones ficticias o manipuladas que dan la
impresión de que con lo que se tiene basta.
• No saber justificar la inversión y su potencial de retorno.
64. PENSANDO EN NUESTRA AUDIENCIA
•Todo esfuerzo dirigido a una empresa, organización y grupo profesional, tiene
que ir dirigido a un individuo pues es este y no aquellos, quienes toman
decisiones de compra.
•Antes de dirigir ningún esfuerzo, es necesario que se construya el perfil del
usuario al que quiseramos apelar. En redes sociales es un ejercicio de descubrir
a quien no conocemos.
•Al individuo se le apela con diversidad de mensajes para llevarlo al proceso de
toma de decisiones. Debe ser un 80/20.
•La audiencia local a parte de ser un objetivo es un elemento indispensable que
funge como promotor primario del mensaje .
•Nunca olvidarnos que nuestra audiencia tiene una audiencia y que el ciclo no
termina.
•Revisada la teoría de los 6 grados de separación de Milgram, gracias a Facebook
hoy existen 3.74 grados de separación entre una persona y otra en el mundo.
65. Lcdo. Juan Lorenzo Martínez
J.D., LLM, C.I.S.A., C.P.A., C.I.A., C.F.E., C.G.A.P.,
C.R.I.S.C., C.G.M.A., C.R.M.A., C.D.P., C.C.P., C.B.M.
1
67. El fraude consiste de adquirir dinero, bienes o
beneficios de otra personas a través del
engaño.
Fraude Ocupacional: El uso de una ocupación
para enriquecerse personalmente a través del
mal uso, deliberado, de los recursos o activos
de la entidad en la que uno labora.
3
68. 10% - 80% - 10%
En EU se pierden mas de 600 billones al año
por causa del Fraude
78% de los fraudes lo hacen gente de adentro
4
71. La falta de “audit trail” – la huella que dejan
las transacciones.
El procesamiento uniforme de transacciones
◦ Un pequeño cambio en la programación puede
causar un fraude muy grande
La segregación de labores
◦ La autorización
◦ Anotación
◦ Custodia física
7
72. Nadie puede tener el control total del
procesamiento
Lo que se ha llamado “el control por
ignorancia”
◦ Los programadores
◦ Los Analistas
◦ Los Operadores
◦ El Bibliotecario
◦ El Administrador de la base de datos
◦ Los Usuarios
8
73. La importancia de la
documentación
La concentración de riesgo en el
centro de cómputos
◦El impacto de un desastre
natural
Plan de manejo de desastres
Continuidad de negocios
9
74. El internet
La abundancia de personas con
computadoras (el usuario)
Virus
La privacidad – acceso a información
confidencial
El comercio electrónico
◦ Con suplidores
◦ Con consumidores
◦ Transferencia electrónica de fondos
10
75. Alteración a los programas y los sistemas para
robar inventario o efectivo.
Manipular estados financieros
11
76. Estados de cuenta mensuales falsificados
Ej. Cambiaba la dirección de los clientes en el
sistema. El recibía los estados y enviaba a
esos clientes estados falsificados.
12
77. Descuentos y/o “write-offs” fraudulentos
Pagos de facturas falsificadas
El suplidor no existe realmente.
El crear una compañía ficticia es sumamente fácil
13
78. Empleados que renuncian, se jubilan o se
mueren y siguen cobrando
Falsificación de horas trabajadas
Pago por vacaciones y enfermedad (a
pesar de que falto)
14
79. Que podemos hacer para controlar este
problema de Fraudes en el área de IT?
15
80. Definición de Control Interno
Lista de normas y procedimientos
establecido por la gerencia
En el Triangulo del Fraude va al elemento de
oportunidad
Niño con el biscocho
16
81. Objetivo Financiero – Garantizar la exactitud
de los records de contabilidad y los informes
financieros.
Objetivo Operacional – Mejorar la eficiencia y
efectividad de las operaciones.
Objetivo de Cumplimiento – Cumplimiento
con leyes, reglamentos y políticas de la
organización.
17
82. Responsabilidad de gerencia – Diseño e
implementación defectuosas
Problema de Costo y Beneficio
Evadir controles por colusión de
empleados
Fraudes Gerenciales
Errores por fatiga, falta de conocimiento y
error humano
18
83. Ambiente de Control
◦ Valores éticos e integridad
◦ Filosofía gerencia y estilo operacional
◦ Compromiso con la competencia técnica
◦ Participación y envolvimiento de la Junta de Directores y
la existencia de un comité de auditoria
◦ Estructura organizacional definida
Buen Organigrama
Definición clara de metas, objetivos y responsabilidades
Medidas de efectividad
Asignación clara de autoridad y responsabilidad
Políticas y practicas claras de manejo de recursos humanos
19
84. Estar pendiente de eventos que aumentan los
riesgos en la entidad
o Nuevo Personal
o Nuevos sistemas de información
o Cambios o crecimientos rápidos
o Reestructuraciones
o Cambios en pronunciamientos de contabilidad
“Río revuelto, ganancia de pescadores”
20
85. Actual vs. Presupuesto, Actual vs. Proyección
Control Físico
Asignación de Personal Competente
Segregación de Funciones en el centro
Segregación de labores en la operación
Autorización, Custodia, Anotación
Reconciliaciones periódicas
Pre numeración de todos los documentos
Documentación adecuada de todas las entradas de
jornal
21
88. Auditoria Interna es una actividad
independiente y objetiva de auditoría y
consultoría diseñada para añadir valor y
mejorar la operación de una entidad.
Ayuda a la organización a cumplir sus
metas y objetivos aportando una
metodología sistemática para la
evaluación y mejoramiento del manejo
de riesgo, control y al proceso gerencial.
24
89. Para poder modificar y mejorar los procedimientos
hay que obtener un entendimiento de la estructura
de control interno actual
Determinar el nivel de riesgo de control –
Probabilidad de que los procedimientos de control
interno establecidos no detecten errores e
irregularidades a medida que estos ocurran.
Estar siempre consciente de la probabilidad de que
ocurra un error, una irregularidad o un acto ilegal
25
90. AULAS VIRTUALES Y SALAS DE
VIDEOCONFERENCIAS
(COMO RECURSOS DE APOYO A LA
EDUCACIÓN CONTINUA DEL CONTADOR
PÚBLICO O CONTADOR PROFESIONAL)
DR. JUAN MELÉNDEZ
UNIVERSIDAD DE PUERTO RICO
91.
92.
93.
94.
95. ACTIVIDADES - 1
•Supervisar proyectos
•Dar instrucciones
•Proveer recursos especializados
•Ayudar en el progreso de los trabajos de
los estudiantes
•Recibir trabajos
106. El ISAE 3402 y su
impactoen los
requerimientos
para la
presentaciónde
reportes de
aseguramiento
sobrecontroles en
las organizaciones
de servicios
Presentado por:
Lolita E. Vargas De León CPA, CISA, CIA,
MIBA
Universidad de Puerto Rico en Cayey
107. NormasparalaPresentaciónde Reportesde
AseguramientosobreControlesenuna
Organización deServicios
SAS 70 (Statement on
Auditing Standards 70),
•Norma (EU) para presentación de
reportes sobre controles de las
organizaciones de servicios.
•AICPA (abril 1992)
SSAE 16 (Statement on
Standards for
Attestation
Engagements 16)
•Sigue al ISAE 3402 y completa
el marco de referencia para el
auditor de servicio.
•AICPA (abril 2010)
ISAE 3402 (International
Standards for
Attestation
Engagements 3402)
•Norma de alcance global post
Ley Sarbanes-Oxley.
•IFAC (diciembre 2009)
108. Organizaciónde Servicios
Organización o división de
una organización que presta
servicios a entidades
usuarias que pudieran ser
relevantes para los
controles internos sobre la
información financiera de
la entidad usuaria.
109. El SAS70 – Organizacionesde Servicios
Regula la revisión del control interno en las
organizaciones de servicios.
Considera riesgos que pudieran impactar la
integridad, exactitud y/o validez de la
información financiera de la organización.
El reporte se da como “opinión independiente”.
Se recomienda para organizaciones que deben
cumplir con la Ley Sarbanes-Oxley.
Aplica a información financiera para años
terminados antes del 15 de junio de 2011.
110. Reportesbajoel SAS70
Sección Descripción Responsable
I Informe del auditor
independiente de la
organización de
servicios
Opinión del auditor Auditor
II Información provista
por la organización de
servicios
Ambiente de control,
procedimientos, objetivos de
control, controles, etc.
Organización de
servicios
III Información provista
por el auditor de
servicios
Objetivos de control,
controles, pruebas de
auditoría, resultados, etc.
Auditor
IV Otra información
provista por la
organización de
servicios (opcional)
Planes de acción correctiva,
planes de continuidad de
negocio, proyectos, etc.
Organización de
servicios
112. TiposdeReportedeAseguramientosobre
ControlesenunaOrganizacióndeServicios(SOC)
SOC 1
SOC 2
SOC 3
• Reporte de Controles en una
Organización de Servicios que son
Relevantes para el Control Interno
de las Entidades Usuarias sobre los
Informes Financieros (ISAE
3402/SSAE 16)
• Reporte de Controles en una
Organización de Servicios que son
Relevantes para la Seguridad,
Continuidad, Integridad del
Procesamiento, Confidencialidad
y/o Privacidad (AT 101, ISAE 3000)
• Reporte de Servicios de Confianza
para Empresas de Servicios
113. Tiposde ReportesdeAseguramientosobre
ControlesenunaOrganizacióndeServicios(SOC)
SOC 1 SOC 2 SOC 3
Enfoque Controles relevantes
para los informes
financieros de la
organización usuaria
Seguridad, continuidad,
integridad del
procesamiento,
confidencialidad y/o
privacidad
Seguridad, continuidad,
integridad del
procesamiento,
confidencialidad y/o
privacidad
Procesos y sistemas Procesos y sistemas
relevantes para los
informes financieros
Cualquier proceso o
sistema
Cualquier proceso o
sistema
Criterios Diseñados para atender
las necesidades de
auditoría de estados
financieros
Diseñados para
proporcionar
aseguramiento a los
clientes, socios
comerciales y otras
partes interesadas
Diseñados para
proporcionar
aseguramiento a los
clientes, socios
comerciales y otras
partes interesadas
Público Empresa del usuario y
sus auditores
Clientes y socios
comerciales
Clientes, socios
comerciales y otras
partes interesadas
Uso/distribución Restringido Puede ser restringido Generalmente no
restringido
114. ReportesSOC1
• El auditor de servicios opina sobre:
• La legitimidad de la presentación de la descripción que provee la
gerencia sobre el sistema de la organización de servicios a una
fecha determinada.
• La adecuacidad del diseño de los controles en un punto
determinado en el tiempo.
Tipo
1
• El auditor de servicios opina sobre:
• La legitimidad de la presentación de la descripción que provee la
gerencia sobre el sistema de la organización de servicios durante
el período bajo evaluación.
• La adecuacidad del diseño de los controles durante el período
bajo evaluación.
• La efectividad operacional de los controles durante el período bajo
evaluación.
Tipo
2
115. ReporteSOC2
Añade valor al
considerar
controles
relacionados con
la continuidad,
seguridad,
integridad,
confidencialidad y
privacidad de los
sistemas de
información
utilizados por la
organización de
servicios.
Unifica los
procesos y genera
indicadores
comunes de
cumplimiento.
Tiene la opción de
utilizar reportes
Tipo 1 (diseño) y
Tipo 2
(efectividad).
Su uso y
distribución es
más amplio que
en SOC 1, pero
sigue siendo
restringido.
Se ejecutan
utilizando
matrices formales
de “Principios y
Criterios de los
Servicios de
Confianza”
(AICPA/CICA) que
incluyen
elementos de
dominio,
principios,
criterios,
controles, pruebas
y resultados.
116. ReportesSOC3
Son reportes de uso
general.
Su distribución no está
restringida.
•Se pueden distribuir
libremente y/o publicar en
la web como sello de
Sys Trust o Web Trust para la
organización de servicios.
Se ejecutan utilizando
matrices formales de
“Principios y Criterios
de los Servicios de
Confianza”
(AICPA/CICA) que
incluyen elementos de
dominio, principios,
criterios, controles,
pruebas y resultados.
117. “PrincipiosdelosServiciosdeConfianza”
(AICPA/CICA)
Dominio Principio
Continuidad El sistema está disponible para su uso y operación
según lo acordado o comprometido.
Seguridad El sistema está protegido contra accesos físicos y/o
lógicos no autorizados.
Integridad El procesamiento del sistema es preciso , oportuno
y está completo y autorizado.
Confidencialidad La información definida como confidencial está
protegida según lo acordado o comprometido.
Privacidad La información personal es recopilada, utilizada,
retenida y revelada de acuerdo con los contratos
estipulados en la notificación de privacidad de la
entidad y con los criterios establecidos en los
Principios de Privacidad Generalmente Aceptados
emitidos por la AICPA/CICA.
119. DiferenciaRelevante1 –FechadeEfectividad
SAS 70
• Aceptable para uso
en auditorías con
fechas de reporte /
períodos bajo
revisión terminados
antes del 15 de junio
de 2011.
ISAE 3402 /SSAE 16
• Efectivos para
reportes con fecha
de reporte (Tipo 1)
y períodos de
revisión (Tipo 2)
terminados en o
después del 15 de
junio de 2011.
120. DiferenciaRelevante2 –Forma
SAS 70
• Estándar de auditoría que
regula el desempeño de una
auditoría de SAS 70 y el uso
del reporte correspondiente
por la organización usuaria y
sus auditores.
ISAE 3402 /SSAE 16
• Estándares de
aseguramiento dirigidos
al reporte sobre los
controles en
organizaciones de
servicios. Las auditorías
de servicios llevadas
acabo en los EU deberán
realizarse en
cumplimiento con
ambos estándares (ej.
emitir informes
combinados).
121. DiferenciaRelevante3 –Representacióndela
Gerencia
SAS 70
• Se requiere que la gerencia de la
organización de servicios provea
una representación escrita en la
forma de una carta de
representación que es obtenida
por el auditor de servicios antes de
que se emita el reporte de la
auditoría SAS 70. Esta carta de
representación no se incluye en el
reporte de auditoría SAS 70.
ISAE 3402 /SSAE 16
• Se requiere que la gerencia de la
organización de servicios provea
una aseveración por escrito en el
cuerpo del reporte sobre la justa
presentación de la descripción del
sistema de la organización, la
adecuacidad del diseño de sus
controles y la efectividad
operacional de sus controles (Tipo
2), entre otros. La aseveración
acompaña a la descripción del
sistema de la organización de
servicios y es de naturaleza
similar a aquellas que se incluían
previamente como parte de las
cartas de representación de la
gerencia en auditorías SAS 70.
122. DiferenciaRelevante4 –Criterios
SAS 70
• No aplica. Una auditoría SAS
70 es un encargo de “reporte
directo” , por lo cual la materia
objeto del encargo se incluye
como parte del reporte del
auditor de servicios . Las
representaciones de la
gerencia, así como los criterios
utilizados por esta, no forman
parte del reporte de auditoría
SAS 70.
ISAE 3412 /SSAE 16
• La gerencia de la organización de
servicios es responsable de
especificar los criterios que utilizó
a la hora de preparar la
descripción de su sistema. Los
criterios se incluyen en el reporte
en la sección de aseveraciones de
la gerencia y se utilizan por el
auditor de servicios con el
propósito de llevar a cabo la
auditoría. Los criterios mínimos a
utilizar aparecen descritos en los
estándares y son un factor
determinante al momento de
establecer si la evaluación es una
auditoría Tipo 1 o Tipo 2.
123. DiferenciaRelevante5 –AdecuacidaddelDiseño
de losControles
SAS 70
• En el reporte de auditoría
SAS 70, Tipo 1 y Tipo 2, se
opina sobre la adecuacidad
del diseño de los controles
a una fecha específica en el
tiempo.
ISAE 3412 /SSAE 16
•Similar al reporte de
auditoría SAS 70, en la
opinión Tipo 1 se opina
sobre la adecuacidad del
diseño de los controles a una
fecha específica en el
tiempo. No así en la Tipo 2,
en la cual se requiere opinar
sobre la adecuacidad del
diseño de los controles
durante el periodo completo
bajo evaluación (por lo
menos 6 meses
consecutivos).
124. DiferenciaRelevante6 –EvidenciaObtenidaen
EncargosAnteriores
SAS 70
• El auditor de servicios puede
utilizar evidencia obtenida
durante encargos anteriores
para reducir la naturaleza,
tiempo y extensión de las
pruebas de auditoría.
ISAE 3412 /SSAE 16
•El auditor de servicios no
debe utilizar evidencia
obtenida durante encargos
anteriores con el
propósito de reducir la
naturaleza, tiempo y
extensión de las pruebas
de auditoría. Esto es así
inclusive cuando se pueda
suplementar con evidencia
obtenida durante el
período corriente.
125. DiferenciaRelevante7 –UsodelTrabajodel
AuditorInterno
SAS 70
• El auditor de servicios no está
obligado a divulgar el uso del
producto del trabajo del
auditor interno.
ISAE 3412 /SSAE 16
•El auditor de servicios está
obligado a divulgar como
parte de su descripción de
pruebas de control la
naturaleza y extensión del
uso que hace del producto
del trabajo del auditor
interno. El auditor de
servicios también está
obligado a divulgar
cualquier procedimiento
relacionado adicional
realizado por él .
126. DiferenciaRelevante8 –RestriccionesalUsoy
Distribuciónde losReportes
SAS 70
• El uso y distribución de los
reportes está restringido a la
gerencia de la organización de
servicios, sus clientes y los
auditores financieros de los
clientes.
ISAE 3412 /SSAE 16
•Los usuarios autorizados
de los reportes típicamente
incluyen a los clientes de la
organización de servicios y
a los auditores financieros
de los clientes. Además, el
auditor de servicios puede
incluir lenguaje que
restrinja específicamente
la distribución de los
reportes y sus usos.
127. DiferenciaRelevante9 –Método Inclusivode
Reporte
SAS 70
• No es requisito obtener
representación de
organizaciones de sub-
servicios antes de incluir sus
controles en los reportes de
auditoría SAS 70.
ISAE 3412 /SSAE 16
•Es requisito obtener
representación de
organizaciones de sub-
servicios antes de incluir sus
controles en los reportes de
aseguramiento. El método
inclusivo de reporte no
pudiera utilizarse si la
gerencia de una de las
organizaciones de sub-
servicios se negara a proveer
aseveraciones relevantes al
encargo.
128. ReportesSOC1 –Mitos Comunes
El reporte SOC 1 equivale a
una certificación.
Estos reportes pueden ser
distribuidos a clientes
potenciales y utilizados como
material promocional.
Todas las áreas
operacionales pueden ser
incluidas en el reporte
SOC 1.
Una vez obtenido el reporte,
la organización usuaria no
tiene necesidad de verificar
ningún control
Es posible desarrollar
aplicaciones que cumplan
con los requerimientos del
SSAE 16.
El SSAE 16 no permite el uso
del producto del trabajo del
auditor interno.
El auditor de servicios
deberá verificar la precisión
del contenido de la sección
de “otra información provista
por la organización de
servicios”.
El auditor de servicios no
hace pruebas sobre la
efectividad de los controles a
nivel de la entidad.
El período bajo evaluación
de los controles debe ser de
6 meses.