Bo

leti

n D

icie

mb

re 2

01

0

WWW.KRESTON-KALSE.COM

Boletín 08 de Diciembre de 2010 WWW.KRESTON-KALSE.COM

2

Como un compromiso más con nuestros Clientes y

Usuarios, con el fin de mantenerlos informados

acerca de las últimas reformas legales, artículos de

importancia de aplicación y consulta para sus

empresas, KRESTON-KALSE pone a su disposición el

presente Boletín Informativo con contenidos

relevantes en materia de Auditoria, Impuestos,

Contabilidad, Legal, Comercio Exterior, Tecnología de

la Información y Factor Humano.

La actualización del presente Boletín es quincenal,

quedando a sus órdenes nuestros asesores en caso

de requerir información adicional, referente a algún

tema de su interés en particular.

Agradecemos nos hagan llegar sus comentarios y

dudas al correo electrónico, que se menciona al final

del presente documento.

Saludos Cordiales

Boletín 08 de Diciembre de 2010 WWW.KRESTON-KALSE.COM

3

Comercio Exterior

Corporativo

Defensa Fiscal

Tecnología de la

Información

4

8

12

16

Co

nte

nid

o

Boletín 08 de Diciembre de 2010 WWW.KRESTON-KALSE.COM

4

Boletín Informativo 20101207

ASUNTO: Días no laborables en Secretaría de Economía

Por este medio, les informamos que el próximo periodo vacacional oficial de la

Secretaria de Economía abarcará del 22 de Diciembre al 4 de Enero, por disposición

oficial, por lo que sus labores quedan suspendidas, para reanudarse el 05 de enero

del 2011, y se consideran como inhábiles para efectos legales.

De acuerdo con lo anterior, a fin de poder dictaminar dentro de este mismo año, les

pedimos que el ingreso de la documentación completa y correcta (previo visto bueno

de MOE) sea a más tardar el día Lunes 13 de diciembre, de lo contrario, se

entregará su resolución hasta el 2011. Les pedimos tomar precauciones y

programar sus trámites.

Boletín Informativo 20101203

ASUNTO: Primera Resolución de Modificaciones a las Reglas de Carácter General en

Materia de Comercio Exterior para 2010, así como sus anexos 3 y 14.

Por medio del presente, les informamos que el pasado 03 de diciembre del 2010, la

Secretaría de Hacienda publicó en el D.O.F. la Primera Resolución de Modificaciones a

las Reglas de Carácter General en Materia de Comercio Exterior para 2010, así como

sus anexos 3 y 14, la cual entrará en vigor al día siguiente de su publicación.

A continuación resumimos los cambios más relevantes:

Las siguientes reglas fueron reformadas:

1.6.35. fracción I, incisos b), c) y último párrafo.- Pago de contraprestación en Segundo Reconocimiento. Las modificaciones en esta regla son en su redacción a fin de brindar mayor claridad en su interpretación.

3.1.20.- Se establecen las aduanas en las que No se activara por segunda ocasión el mecanismo de selección automatizado. Con la anterior modificación, se reduce de 31 a 16 el número de aduanas con segundo reconocimiento.

4.2.1. fracción IV. Importación Temporal de remolques, semirremolques y portacontenedores.- Se dispone que en el caso de importación por aduana marítimas, los remolques, semirremolques y portacontenedores, se deberán presentar en los módulos de selección automatizada.

Se crearon nuevas reglas:

• 1.4.19.-Agentes Aduanales – En beneficio para los agentes aduanales para establecer los casos en los que no se considera que se encuentran bajo el supuesto de suspensión de patente.

Co

me

rcio

Ex

teri

or

Boletín 08 de Diciembre de 2010 WWW.KRESTON-KALSE.COM

5

• 3.5.9.- Importación de Vehículos. Se establecen los requisitos que deberán cumplir los proveedores en el extranjero interesados en obtener el registro para efectuar la transmisión electrónica de la información de vehículos usados, estableciéndose que el registro se obtendrá previa opinión de la Unidad de Política de Ingresos de la Subsecretaría de Ingresos y el registro se publicará en la página www.aduanas.gob.mx.

Se derogaron las siguientes reglas:

• 1.6.35. la fracción IV.- Pago de contraprestación en Segundo Reconocimiento. Se deroga la fracción IV referente al procedimiento para que el fideicomiso público constituido para ese efecto, realice el pago a las empresas que prestan los servicios de apoyo y control del despacho aduanero en el segundo reconocimiento. Lo anterior, en relación con la eliminación de la prestación de dicho servicio en varias aduanas.

• 4.2.1. octavo párrafo, pasando el actual noveno párrafo a ser octavo y así sucesivamente. Importación Temporal de remolques, semirremolques y portacontenedores.- se elimina el octavo párrafo de esta regla, el cual restringía este tipo de operaciones en aduanas marítimas

Se modificaron los siguientes ANEXOS

• Anexo 3 (artículo segundo).- Cantidades que se deberán considerar como pago por la prestación de los servicios de segundo reconocimiento aduanero y como IVA trasladado por la prestación de dichos servicios. Se modifica este Anexo, a efecto de eliminar las cantidades y aduanas que forman parte del Anexo 14, las cuales no se sujetan a segundo reconocimiento de conformidad con la modificación a la regla 3.1.20.

• Anexo 14 (Artículo tercero).- Aduanas y sus secciones aduaneras, en las que se activará una sola vez el mecanismo de selección automatizado.

Esperamos que la información sea de utilidad.

Boletín Informativo 20101204

ASUNTO: VENCIMIENTO DE REGISTROS DE EMPRESA CERTIFICADA

Por medio del presente, se les recomienda a todas las empresas con registro de

empresa Certificada por la Administración General de Aduanas, verificar la vigencia

de sus registros, ya que las empresa que obtuvieron sus registros a finales de 2005 y

2006 están próximos a vencer.

Considerando los términos de la regla 3.8.5, se les sugiere presentar sus solicitudes

de renovación con al menos 30 días hábiles previos al vencimiento de la vigencia de

su registro.

Actualmente los registros se otorgan por 1 año, ya que hasta antes de la

modificación a finales del 2008 era por 5 años.

Co

me

rcio

Ex

teri

or

Boletín 08 de Diciembre de 2010 WWW.KRESTON-KALSE.COM

6 Boletín Informativo 20101205

ASUNTO: AUDITORIAS EN COMERCIO EXTERIOR.

En fechas recientes, La S.H.C.P. en el marco de sus facultades, ha estado

practicando auditorias a empresas IMMEX, sobre todo a operaciones de exportación

e importación del 2009 hacia atrás.

En dichas auditorias la autoridad ha requerido pedimentos, para revisar el llenado

de los campos de valor agregado y de de la Tasa, Importe y Forma de pago de las

contribuciones, ya que en virtud de la omisión de esos datos, la autoridad busca

imponer multas por omisión de datos en el pedimento, es decir multas de forma.

Lo anterior ha causado controversia en la industria Maquiladora, causando dudas a la

empresa y al Agente Aduanal por el llenado o no de estos campos, por lo siguiente:

• En caso particular del Valor Agregado, se establece que se deberá de llenar

este campo únicamente cuando se trate de operaciones de maquila en los

términos del artículo 33 del Decreto IMMEX, que realicen empresas con

Programa IMMEX, en otras palabras se refiere a operaciones de “Maquila

Pura”, por lo que no aplica a Empresas IMMEX de servicios y a Empresas

IMMEX que compran la totalidad o parte de sus insumos y en su caso, tienen

maquinaria de su propiedad.

• En el caso del llenado en el pedimento de la Tasa, Importe y Forma de pago

tanto del IGI (Impuesto General de Importación), IGE (Impuesto General de

Exportación), IVA (Impuesto al Valor Agregado) así como otras

contribuciones, si la contribución aplicable a la fracción arancelaria de la

importación o exportación era exenta o cero, el sistema aduanero de

validación del pedimento no lo requería, según lo argumentan los Agentes

Aduanales, por lo que dicho campo quedaba en blanco. Cabe aclarar que

actualmente dichos campos ya no son mutables, esto aplica para años

anteriores.

Por lo anterior los invitamos a revisar si existen en sus operaciones alguna omisión

en el llenado en el pedimento de los campos comentados en el párrafo anterior.

Así mismo les damos a conocer los campos que actualmente (ya que estos sufrieron

modificaciones para este año) pueden causar de forma, ya sea por dato incorrecto u

omisión de datos:

1. Fecha de entrada de la mercancía a territorio nacional (importación).

2. Clave de pedimento.

3. Tipo de operación.

4. Número de pedimento.

5. Registro Federal de Contribuyentes Importador / Exportador.

6. Clave del país vendedor o comprador.

Co

me

rcio

Ex

teri

or

Boletín 08 de Diciembre de 2010 WWW.KRESTON-KALSE.COM

7

7. Clave de país de origen o de último destino.

8. Clave de medio de transporte de entrada a territorio nacional.

9. Fracción arancelaria.

10. Clave de la unidad de medida conforme a la TIGIE.

11. Cantidad de mercancía en unidad de la TIGIE

12. Valor en aduana de la mercancía

13. Importe de fletes.

14. Importe de seguros.

15. Importe de embalajes.

16. Importe de otros incrementables.

17. Fecha de pago de los impuestos.

18. Valor comercial de la mercancía.

19. Valor agregado en productos elaborados por Empresas con Programa

IMMEX.

20. Número de patente de agente aduanal o de almacenadora.

21. Permisos, autorización(es) e identificadores / claves.

22. Número o números de permisos, autorización(es) e identificadores.

23. Los números de parte, marca o modelo siempre que los declarados sean

distintos de los que ostenten las mercancías en uno, dos o tres de sus

caracteres alfanuméricos, o en su defecto las especificaciones técnicas o

comerciales necesarias para identificar las mercancías individualmente y

distinguirlas de otras similares (Anexo 18), cuando dichos datos existan y no

se consignen en el pedimento, en la factura, en el documento de embarque o

en relación que en su caso se haya anexado al pedimento.

24. Número de contenedor.

25. Clave de tipo de contenedor.

26. Certificado de pago electrónico centralizado.

La base legal para esta obligación es el ANEXO 19 de las Generales en Materia de

Comercio Exterior vigentes.

Esperamos que esta información sea de utilidad.

Co

me

rcio

Ex

teri

or

Boletín 08 de Diciembre de 2010 WWW.KRESTON-KALSE.COM

8

Marco regulatorio de las SOFOMES

Creadas para ejecutar operaciones en específico, pero con amplio margen, son

sociedades óptimas para realizar actividades financieras

Con el objetivo de reactivar los créditos, hacer más eficiente y productivo el beneficio

de los inversionistas e impulsar la economía del país, el 18 de julio de 2006 entró en

vigor una nueva legislación que ha permitido desde entonces a cualquier empresa

llevar a cabo operaciones de crédito, factoraje y arrendamiento financiero, creando

así a las Sociedades Financieras de Objeto Múltiple (SOFOMES), generando con ello

un impacto positivo en el crecimiento de la oferta de servicios financieros.

A continuación, se brinda un panorama de esta clase de sociedades, destacando sus

características básicas, particularidades y beneficios, así como las diferencias con la

figura jurídica que más se les asemeja.

¿Qué son las SOFOMES?

Conforme a la Ley General de Organizaciones y Actividades Auxiliares del Crédito

(LGOAAC), aquellas sociedades anónimas que, en sus estatutos sociales, contemplen

expresamente como objeto social principal la realización habitual y profesional de

una o más de las actividades indicadas anteriormente (es decir, crédito, factoraje y

arrendamiento financiero), se considerarán SOFOMES. Esto parece indicar que con

el simple hecho de que una sociedad anónima se dedique a dichas actividades sería

una SOFOM, aun cuando no hubiese adoptado esa modalidad formalmente en sus

estatutos, y eso es así, ya que las SOFOMES son entidades financieras que no

requieren autorización de las autoridades competentes de la materia para operar.

¿Qué tipos de SOFOMES existen?

No obstante la libertad para constituirse y realizar las actividades relacionadas con su

objeto, existen dos tipos de SOFOMES, clasificadas en razón de si mantienen o no

relaciones patrimoniales con instituciones de crédito o sociedades controladoras de

grupos financieros de los que formen parte instituciones de crédito. A las que sí

están vinculadas se les conoce como entidades reguladas (SOFOMES ER), y a las

que no, como entidades no reguladas (SOFOMES ENR).

Co

rpo

rati

vo

Boletín 08 de Diciembre de 2010 WWW.KRESTON-KALSE.COM

9

¿Por qué existe esta clasificación?

La razón de ser de esta distinción es prevenir que las instituciones de crédito, es

decir, los bancos, no traten de evadir el cumplimiento de las disposiciones tendientes

a proteger los depósitos de sus cuentahabientes, que les son aplicables al

otorgamiento de financiamientos a través de una SOFOM, pero con recursos

captados por el banco provenientes de tales depósitos.

¿Cuál es la legislación que las regula?

Ambos tipos de SOFOMES están sujetas a las disposiciones de la LGOAAC, así como

a las que emitan, en los términos de esa ley, tanto la Comisión Nacional Bancaria y

de Valores (CNBV) y la Secretaría de Hacienda y Crédito Público (SHCP).

Sin embargo, mientras que las SOFOMES ER están sujetas por la razón arriba

mencionada a las disposiciones de la Ley de Instituciones de Crédito y a la

supervisión de la CNBV, las SOFOMES ENR no lo están.

¿A qué otras leyes deben sujetarse?

Tanto para las SOFOMES ER como las ENR, es menester acatar además lo

establecido en la Ley de Transparencia y Ordenamiento de los Servicios Financieros

(LTOSF) y la Ley de Protección y Defensa al Usuario de Servicios Financieros,

ordenamientos creados con la finalidad de proteger a los participantes y usuarios del

sistema financiero mexicano.

Adicionalmente, el Banco de México, en términos de la LTOSF, emite diversas

disposiciones aplicables a las SOFOMES. Por ejemplo, los contratos de adhesión que

utilicen las SOFOMES para documentar operaciones masivas deberán cumplir con los

requisitos que mediante disposiciones de carácter general dé a conocer la Comisión

Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros

(CONDUSEF).

Las entidades financieras remitirán a la CONDUSEF los modelos de contratos de

adhesión, principalmente a efecto de que:

se integre un Registro de Contratos de Adhesión para consulta del público en

general

Co

rpo

rati

vo

Boletín 08 de Diciembre de 2010 WWW.KRESTON-KALSE.COM

10

tal Comisión revise los modelos propuestos para verificar que se ajustan a lo

previsto en las disposiciones emitidas al respecto

¿Quién vigila a las SOFOMES?

La protección y defensa de los derechos e intereses del público usuario de los

servicios que, en el ejercicio de las actividades derivadas de su naturaleza prestan

esta clase de sociedades (tanto las reguladas como las no reguladas), está a cargo

de la CONDUSEF.

¿Qué otras operaciones realizan?

Además de otorgar créditos, arrendamientos financieros y participar en operaciones

de factoraje financiero, las SOFOMES pueden actuar como fiduciarias en fideicomisos

de garantía, actividad que anteriormente era exclusiva de los bancos.

¿Existen beneficios especiales para las SOFOMES?

Sí, éstas, al ser integrantes del sistema financiero mexicano, gozan de ciertos

beneficios de carácter fiscal, tal como el que los intereses que paguen a sus fuentes

de financiamiento no causen el impuesto al valor agregado (IVA). Esto es benéfico y

simplifica las gestiones fiscales, sobre todo, tratándose de fuentes de financiamiento

distintas a instituciones financieras.

¿Son las SOFOMES lo mismo que las SOFOLES?

No, cabe recordar que con anterioridad sólo existían las Sociedades Financieras de

Objeto Limitado (SOFOLES), las cuales surgieron en México en diciembre de 1993,

como resultado, en parte, de la entrada en vigor del Tratado de Libre Comercio con

Estados Unidos y Canadá.

Las SOFOLES son sociedades anónimas autorizadas por la SHCP para realizar

actividades consistentes en la captación directa e indirecta de recursos en territorio

nacional y, con dichos recursos, otorgar créditos para actividades o sectores

determinados de la economía nacional. Las SOFOLES son reguladas y supervisadas

por la CNBV.

¿Cuáles son las principales diferencias entre SOFOMES y SOFOLES?

Éstas se pueden apreciar de manera sencilla en el siguiente cuadro:

Co

rpo

rati

vo

Boletín 08 de Diciembre de 2010 WWW.KRESTON-KALSE.COM

11

Característica SOFOMES SOFOLES

Autorización de la SHCP para operar

No requerida Requerida

Son entidades reguladas Pueden serlo, en el caso de las SOFOMES ER, o no (SOFOMES ENR)

Sí

Objeto para el cual están autorizadas

Pueden otorgar créditos para diversas actividades o sectores de la economía (de ahí el término objeto múltiple), y además pueden otorgar arrendamientos y factorajes financieros

Únicamente están autorizadas para otorgar créditos para actividades o sectores determinados de la economía nacional (de ahí el término objeto limitado)

Conclusión

La conceptualización y regulación de las SOFOMES, asentadas en la posibilidad de no

estar reguladas y contar con un marco jurídico flexible para el desarrollo de sus

actividades, aunado con los beneficios de carácter fiscal aquí referidos, ha

contribuido a su proliferación, sobretodo, en relación con los otorgamientos de

créditos, actividad en las que esta clase de sociedades han destacado.

Dado lo anterior, el boom de SOFOMES es una consecuencia natural, pues, siendo

los créditos un negocio tan redituable, al existir la posibilidad de ser una actividad

con el hecho de no verse regulada y supervisada por el gobierno (en el caso de las

entidades no vinculadas con un banco) las empresas crediticias han preferido

apegarse a esta opción operativa para así simplificar gestiones y requisitos.

Co

rpo

rati

vo

Boletín 08 de Diciembre de 2010 WWW.KRESTON-KALSE.COM

12

DEFRAUDACIÓN FISCAL

En lo que toca a la materia penal fiscal, el Código Fiscal de la Federación es el

ordenamiento jurídico donde se señala lo que se debe entender por un acto de

defraudación fiscal, y a su vez el fraude se tipifica en el Código Penal Federal bajo

diferentes supuestos, provocando a su vez una diferencia de conceptualización entre

ambas materias.

Una de las diferencia a subrayar entre la materia fiscal como tal y la penal tributaria,

es que esta última persigue la conducta ilícita del contribuyente sin preocupación de

la recaudación y la primera, al contrario, lo que pretende es la recaudación.

El tema de la penalidad que se imponga al procesado dependerá de la cuantificación

monetaria de lo defraudado.

Concepto

El delito de defraudación fiscal se encuentra tipificado en el artículo 108 del Código

Fiscal de la Federación el cual establece: “…Comete el delito de defraudación fiscal,

quién con uso de engaños o aprovechamiento de errores, omita total o parcialmente

el pago de alguna contribución u obtenga un beneficio indebido con perjuicio del

fisco federal...”

Ahora bien, el artículo 386 del Código Penal, establece: “…Comete el delito de

fraude, el que engañando a una o aprovechándose del error en que éste se halla, se

hace ilícitamente de alguna cosa o alcanza un lucro indebido...”

En el momento de la revisión fiscal es cuando se puede descubrir la comisión del

delito, por lo tanto, una fiscalización abierta puede revelar una conducta

defraudatoria.

El bien jurídico tutelado en el delito en análisis, es el patrimonio de la Nación:

conjunto de bienes, derechos y obligaciones, que posee la Nación, representada por

la Federación.

Una vez estipulado el concepto de la defraudación fiscal, resulta procedente efectuar

el análisis del artículo 109 del CFF, el cual regula diversas conductas al delito de

defraudación fiscal genérico contenido en el numeral 108 del CFF.

De

fen

sa

Fis

ca

l

Boletín 08 de Diciembre de 2010 WWW.KRESTON-KALSE.COM

13

Las conductas equiparables a la defraudación fiscal (artículo 109 del CFF), son:

Consignar en las declaraciones que se presenten para efectos fiscales,

deducciones falsas o ingresos menores a los realmente obtenidos conforme a

las leyes, así como efectuar erogaciones superiores a los ingresos declarados

en un ejercicio fiscal

Omitir enterar a las autoridades fiscales, dentro del plazo que la ley

establezca, las cantidades que por concepto de contribución se hubiere

retenido o recaudado

Beneficiarse sin derecho de un subsidio o estímulo fiscal

Simular actos o contratos obteniendo un beneficio indebido en perjuicio del

fisco

Ser responsable de omitir presentar por más de 12 meses la declaración del

ejercicio, dejando de pagar la contribución correspondiente

Ahora bien, a partir del 1o de enero de 2011 entrarán en vigor las reformas al uso

generalizado de la facturación electrónica, mismas que se encuentran contenidas,

entre otros, en los artículos 29 y 29-A del CFF, así como en diversas disposiciones

aplicables en la materia.

Factura digital ilícita=defraudación

De igual forma, con la incorporación a nuestro sistema jurídico tributario del

mecanismo de factura digital, el legislador introdujo nuevos tipos penales

equiparables al delito de defraudación fiscal que serán sancionados con las mismas

penas de ese delito, por ello resulta conveniente conocer las nuevas conductas

previstas en el CFF.

En consecuencia, a partir de 2011, se equipararán al delito de defraudación las

siguientes conductas:

Comercializar los dispositivos de seguridad (los comprobantes en papel

tendrán impreso un código de barras bidimensional que cumpla con los

requisitos del SAT).

Dar efectos fiscales a los comprobantes cuyos dispositivos de seguridad no

reúnan los requisitos de los artículos 29 y 29 -A del CFF, ni cumplan con las

características que al efecto establezca el SAT y que no sean adquiridos con

los proveedores que autorice la autoridad0020

De

fen

sa

Fis

ca

l

Boletín 08 de Diciembre de 2010 WWW.KRESTON-KALSE.COM

14

Darle efectos fiscales a los comprobantes digitales cuando no reúnan los

requisitos de los artículos 29 y 29-A del CFF

Por lo que respecta a los últimos puntos, el legislador, al crear esos tipos penales,

lejos de contribuir a incrementar la recaudación de las contribuciones por parte del

fisco federal y de brindar una mayor certeza jurídica en los gobernados a fin de

cumplir con sus obligaciones fiscales, deja un amplio margen de arbitrariedad por

parte de la autoridad fiscal al no delimitarlos.

Lo anterior, ya que los mencionados tipos penales dejan en estado de incertidumbre

al gobernado al no saber con precisión que acto u omisión puede generar que se

encuadre dentro del tipo penal respectivo y que se equipara al delito de

defraudación fiscal.

Esto es así, pues es claro que los mismos tipos penales simplemente señalan que se

incurre en ese ilícito, cuando tanto los dispositivos de seguridad como los

comprobantes digitales, no cumplan los requisitos señalados en los artículos 29 y 29-

A del CFF, sin hacer mención expresa de qué obligaciones en concreto deben de

cumplir los contribuyentes.

Prescripción del delito

La prescripción en materia penal es la pérdida de la acción de un acusador, en este

caso del fisco. Permite adquirir derechos o liberar de obligaciones mediante el

transcurso del tiempo, si se satisfacen los demás requisitos establecidos en la ley.

Dicha figura en materia tributaria se prevé en el artículo 100 del CFF donde se

indica:

Artículo 100.-“…La acción penal en los delitos fiscales perseguibles por

querella, por declaratoria y por declaratoria de perjuicio de la Secretaría

de Hacienda y Crédito Público, prescribirá en tres años contados a partir

del día en que dicha Secretaría tenga conocimiento del delito y del

delincuente; y si no tiene conocimiento, en cinco años que se

computarán a partir de la fecha de la comisión del delito. En los demás

casos, se estará a las reglas del Código Penal aplicable en materia

federal…”

De

fen

sa

Fis

ca

l

Boletín 08 de Diciembre de 2010 WWW.KRESTON-KALSE.COM

15

La prescripción aludida en el precepto transcrito no es propiamente adquisitiva ni

liberatoria, sino extintiva, es decir, afecta al derecho del fisco para buscar la

persecución y el castigo del delito de que se trate, provocando su desaparición.

Así pues, la prescripción de la acción penal procede a los tres años, contados a partir

de que la autoridad tuvo conocimiento del delito y del delincuente, o bien en cinco

años computados a partir de la realización del ilícito. Estas reglas sólo se refieren a

los delitos perseguibles por querella porque en los demás casos se aplica el CPF.

Si bien la factura electrónica es un avance para hacer más eficiente la fiscalización

del contribuyente fortaleciendo el sistema de recaudación, no menos cierto es que

resulta compleja su aplicación, por ello, es indispensable conocer los preceptos que

la regulan para no caer en conductas delictivas y cumplir puntualmente con los

deberes fiscales

De

fen

sa

Fis

ca

l

Boletín 08 de Diciembre de 2010 WWW.KRESTON-KALSE.COM

16

Política de Seguridad de la Información: ¿qué nivel de

detalle debería tener?

Muy a menudo observo políticas de seguridad de la información redactadas en forma

muy detallada y que intentan abarcar absolutamente todo, desde los objetivos

estratégicos hasta cuántos dígitos numéricos debería contener una contraseña. El

único problema con este tipo de políticas es que cuentan con 50 o más páginas y, en

realidad, nadie las toma seriamente. Generalmente terminan siendo documentos

artificiales cuyo único objetivo es satisfacer al auditor.

Pero, ¿por qué son tan difíciles de implementar ese tipo de políticas? Porque son

demasiado ambiciosas; tratan de cubrir demasiados temas y están dirigidas a un

amplio círculo de gente.

Por eso mismo es que la ISO 27001, la norma líder en seguridad de la información,

define diferentes niveles de políticas de seguridad de la información:

Políticas de alto nivel (como la Política del sistema de gestión de seguridad de la

información): estas políticas generalmente definen la intención, los objetivos y

demás aspectos estratégicos.

Políticas detalladas: este tipo de políticas generalmente describe detalladamente un

área específica de la seguridad de la información, con responsabilidades definidas,

etc.

La norma ISO 27001 requiere que la Política de gestión de la seguridad de la

información (SGSI), al ser el documento más importante, contenga lo siguiente: el

marco para establecer objetivos, tomando en cuenta los diferentes requisitos y

obligaciones, la alineación con la realidad de la organización respecto de la gestión

estratégica del riesgo y el establecimiento de criterios de evaluación. Una política de

estas características, en realidad, debería ser muy corta (tal vez una o dos páginas)

porque tiene como objetivo principal que la alta gerencia puede controlar su SGSI.

Por otro lado, las políticas detalladas deben estar orientadas al uso operativo y

enfocado en un campo más acotado de actividades de seguridad. Algunos ejemplos

de este tipo de políticas son: Política de clasificación, Política sobre el uso aceptado

de los activos de información, Política de creación de copias de seguridad,

Te

cn

olo

gía

de

la

In

form

ació

n

Boletín 08 de Diciembre de 2010 WWW.KRESTON-KALSE.COM

17

Política de contraseñas, Política de escritorio y pantalla despejados, Política de uso

de redes, Política sobre equipos móviles, Política sobre el uso de controles

criptográficos, etc. Nota: la norma ISO 27001 no requiere la implementación ni la

documentación de todas estas políticas porque la decisión de si corresponden dichos

controles, y con qué alcance, depende de los resultados de la evaluación de riesgos.

Como estas políticas deben incluir más detalles, generalmente son más largas; de

hasta 10 páginas. Si fueran mucho más largas, sería muy difícil implementarlas y

mantenerlas.

En otras palabras, la seguridad de la información es un tema muy complejo para

poder definirlo en una única política: debería haber diferentes políticas sobre los

diferentes aspectos del SGSI y para los diferentes “destinatarios”. Las organizaciones

medianas, normalmente elaboran hasta quince políticas para su SGSI.

Se podría discutir que esta cantidad de políticas no significa más que gastos

operativos para una empresa. Seguramente estaría de acuerdo si tales políticas son

redactadas sólo pensando en la auditoría de certificación; de esta forma sólo

producirían más burocracia. Sin embargo, si una política es redactada con la

intención de disminuir los riesgos, seguramente demostrará su valor, tal vez no de

inmediato sino probablemente en dos o tres años, disminuyendo la cantidad de

incidentes.

Te

cn

olo

gía

de

la

In

form

ació

n

Boletín 08 de Diciembre de 2010 WWW.KRESTON-KALSE.COM

18

Co

ntá

cte

no

s

Lizeth Legaspi Guillén | Marketing legaspi@kreston-kalse.com

Kaudit and Legal Service, S.C. | Member Firm Efraín Gonzalez Luna 2523| Colonia Arcos Vallarta CP 44130| Guadalajara, Jal.| México +52 (33) 3647-1298 +52 (33) 3825-0900 Nextel: +52 (33) 1566-7563 | ID: 72*595863*5 |

www.kreston-kalse.com

“People do business with people they know, like and trust"

Estructura Legal y Cláusula Exonerativa de Responsabilidades

Kreston – Kalse y/o Kaudit and Legal Service, refiere a Global Review Consulting, S.C., GMO

Consulting, S.C. y Asesoría y Consultoría Legal y de Comercio Exterior, S.C. firmas miembro de

Kreston International, una red mundial de firmas contables. Cada una como una identidad única e

independiente por lo que no son responsables por los actos u omisiones cometidos por alguna otra

firma miembro.

Kreston International es una compañía registrada en Inglaterra (No: 3453194) y de responsabilidad

limitada. Kreston International Ltd. no brinda servicios a clientes y no tiene responsabilidad por los

actos u omisiones de ninguno de sus miembros.

Legal Structure and Disclaimer

Kreston – Kalse y/o Kudit and Legal Service,refers to Global Review Consulting, S.C., GMO

Consulting, S.C. and Asesoría y Consultoría Legal y de Comercio Exterior, S.C., member firms of

Kreston International, a global network of accounting firms. Each one of them is a separate

independent legal entity and therefore they are not liable for the acts or omissions of any other

member firm.

Kreston International is a company registered in England (No: 3453194) and of limited liability.

Kreston International Ltd., does not provide services to clients and has no liability for the acts or

omissions of any member firm.

©Kaudit and Legal Service 2010 Todos los derechos reservados