CONOCE MÁS DE COMPLIANCE

BLOG AMEXICOM

EL OFICIAL DE CUMPLIMIENTO

El oficial de cumplimiento debe ser una persona certificada en la materia, que actúe con autonomía, pagada por el contribuyente que realice las actividades vulnerables establecidas en la ley en cita que le contrata, teniendo responsabilidades de naturaleza administrativa, civil y penal; parte de los contribuyentes en este aspecto de pago, llegan a confundir al oficial de cumplimiento como una persona que debe protegerle, de no proporcionar información a la autoridad administrativa, por el solo hecho de estar sus servicios supeditados a un pago particular y no del Estado Mexicano.

A partir del año 2014 los dictámenes para efectos fiscales dejaron de ser obligatorios en México, manteniéndose hasta la fecha la figura en un sentido voluntario para contribuyentes con ingresos superiores a los 100 millones de pesos en el ejercicio fiscal anterior, que el valor de sus activos sea superior a 79 millones de pesos o que contaran con más de 300 trabajadores como parte de su plantilla laboral; el dictamen fiscal había sido anteriormente obligatorio en ciertos casos y voluntario en otros; llegaba a ofrecerse de manera errónea el servicio como un “seguro” contra revisiones de la autoridad hacendaria, ante la falta de conocimiento del contribuyente.

La independencia del profesionista -Contador Público Registrado (CPR)- autorizado por la Secretaría de Hacienda y Crédito Público (SHCP) para desempeñarse como un auditor para tales efectos, sin pagarle al Estado Mexicano cantidad alguna por dicha autorización, se veía en gran medida opacada por el contribuyente que pagaba por el servicio, al considerar el empresario que debía velar el CPR por sus intereses y no por los del fisco federal, en virtud de ser el mismo contribuyente quién contrataba y pagaba al particular por el servicio, para “evitar” el inicio de una facultad de comprobación, situación totalmente equivocada.

El 17 de octubre de 2012 se publica en el Diario Oficial de la Federación la Ley Federal para la Prevención e Identificación de Operaciones con Recursos de Procedencia Ilícita, conocida más comúnmente como “Ley Antilavado”, iniciando su vigencia nueve meses siguientes al día de su publicación; en ella, se prevé la figura del oficial de cumplimiento o “compliance officer” en su artículo 20, quién tiene la responsabilidad de vigilar el programa de cumplimiento normativo o “compliance”, de las personas físicas o morales que realicen actividades vulnerables de acuerdo a dicho ordenamiento legal, para la prevención del “lavado” de activos.

El oficial de cumplimiento debe ser una persona certificada en la materia, que actúe con autonomía, pagada por el contribuyente que realice las actividades vulnerables establecidas en la ley en cita que le contrata, teniendo responsabilidades de naturaleza administrativa, civil y penal; parte de los contribuyentes en este aspecto de pago, llegan a confundir al oficial de cumplimiento como una persona que debe protegerle, de no proporcionar información a la autoridad administrativa, por el solo hecho de estar sus servicios supeditados a un pago particular y no del Estado Mexicano.

El viernes pasado en una edición vespertina, la SHCP publica una convocatoria para la certificación en la materia, dirigida a los responsables encargados del cumplimiento de las obligaciones establecidas en la “Ley Antilavado”, de donde se desprende que dicha evaluación tiene una “cuota de recuperación” no sujeta a devolución de 6 mil 500 pesos, pagaderos a la organización evaluadora; un servicio que bien podrían prestar en forma gratuita las diversas instituciones de educación pública de nivel superior del país y no entidades privadas, en aras de reconocer la calidad de éstas en este tipo de evaluaciones y evitar el enriquecimiento de alguna organización privada en clara discriminación hacia las ya mencionadas de naturaleza pública ¿Quién será el organismo evaluador? ¿de cuanto irá a ser el beneficio económico para este particular?

FUENTE: https://www.mimorelia.com/el-oficial-de-cumplimiento-2021-08-09t09-39

10 AMENAZAS DE CIBERSEGURIDAD A INTEGRAR EN LOS SISTEMAS DE COMPLIANCE

Los ciberataques no sólo han crecido en número, sino también en variedad y calidad. Las brechas de seguridad se han ampliado por la falta de madurez del trabajo en remoto, que precisa de una mayor información sobre cómo seguir pautas de uso seguras tanto con los equipos informáticos corporativos como privados. Desde Bonatti Compliance, su socio director, Francisco Bonatti, recopila las 5 amenazas y las 5 debilidades a combatir desde los sistemas de compliance:

Amenazas

  1. Ramsomware: el secuestro de información mediante malware que encripta el contenido de unidades, discos duros y servidores se ha convertido en uno de los riesgos estrella. La mejora de los algoritmos de encriptación y el recurso a los criptoactivos como medio de pago que evita el rastreo posterior son alicientes adicionales para los cibercriminales.
  2. Estafas del CEO: la suplantación de la identidad de los directivos para engañar a los empleados que tienen las claves y códigos para realizar transferencias bancarias se ha incrementado exponencialmente con la pandemia.
  3. Ataques a servidores y bases de datos: los delincuentes explotan brechas de seguridad para acceder a los servidores y sustraer los datos que contienen. Los datos son el petróleo del siglo XXI y es uno de los grandes tesoros que poseen las empresas.
  4. Ataques Botnet: los equipos y servidores de empresa son convertidos en zombies a través de Botnets, que gestionan los cibercriminales para evitar ser rastreados, eludir las listas de SPAM o para realizar transferencias económicas ilícitas, envíos masivos de correos o ataques DDoS.
  5. Sustracción de las credenciales: el acceso a las credenciales y contraseñas de los empleados y directivos facilita a los cibercriminales un amplio abanico de delitos a costa de la empresa: desde el acceso a los fondos depositados en las cuentas bancarias hasta el robo de secretos de empresa, el acceso a la intimidad de los empleados y directivos, a las cámaras de seguridad o la sustracción de bases de datos.

Debilidades

  1. Ingeniería social: todavía hoy un número ingente de ataques informáticos se producen porque las empresas, empleados o directivos se dejan engañar y voluntariamente envían los datos, abren enlaces o ejecutan las acciones pretendidas por los cibercriminales. La ingeniería social es una actividad delictiva muy depurada, imprescindible, por ejemplo, para ejecutar la estafa del CEO y se debe combatir desde Compliance con sólidas acciones de formación y concienciación del personal, ayudándoles a que nunca ‘bajen la guardia’.
  2. Debilidades internas: los delincuentes aprovechan en muchas ocasiones las propias debilidades, derivadas de usos inadecuados de los equipos por los empleados, que acaban infectados por error, negligencia o ignorancia; o bien, por comportamientos maliciosos de empleados desleales o insatisfechos. El análisis de riesgos y la implantación de protocolos y procedimientos de usos tecnológicos consistentes debe reforzarse con medidas para asegurar su eficaz aplicación por todos los empleados.
  3. Uso de equipos personales y teletrabajo desde el hogar: una de las debilidades estrella de la pandemia procede del uso de equipos personales compartidos con el resto de la familia, que pueden desvirtuar todas las medidas de protección empresarial si los padres, hijos o pareja hacen un uso inadecuado del mismo equipo. El propio espacio familiar, como entorno de trabajo, puede ofrecer mucha información a ciberdelincuentes para diseñar ataques de ingeniería social, al igual que ocurre con la información que pueden obtener de las redes sociales (RRSS), una vez han identificado el hogar del empleado o directivo y al resto de su familia.
  4. Phishing: en 2020 se ha multiplicado el volumen y la complejidad de los ataques de phishing para distribuir botnets y malware de todo tipo, robar credenciales o acceder a las cámaras y micrófonos de los equipos. Las técnicas se han sofisticado, aprovechando fenómenos coyunturales como el incremento del uso de los correos electrónicos durante la pandemia o saltándose los mecanismos de protección a través de nuevos canales de phishing como son el SMS (smishing) o el uso de PDF infectados que, inconscientemente, relacionamos con una actividad empresarial. Junto con las medidas de ciberseguridad más adecuadas, nuevamente Compliance debe aportar procesos y procedimientos de conducta adecuados y acciones de formación y concienciación dinámicas, que se adapten a un entorno de riesgo que cambia a gran velocidad.
  5. Deepfakes: no puede faltar una de las grandes novedades que comienza a ofrecer usos ilícitos. Se trata de técnicas de edición de vídeo que sustituyen a una persona por otra mediante la inteligencia artificial alcanzando resultados altamente realistas, que ofrecen a los cibercriminales nuevos recursos para sofisticar sus procesos de hackeo social o quebrantar contraseñas biométricas.

FUENTE: https://www.observatoriorh.com/orh-posts/10-amenazas-de-ciberseguridad-a-integrar-en-los-sistemas-de-compliance.html