• ¿AUDITORÍA VS BLOCKCHAIN? O ¿AUDITORÍA + BLOCKCHAIN?

¿AUDITORÍA VS BLOCKCHAIN? O ¿AUDITORÍA + BLOCKCHAIN?

Carlos Rozen , Socio de Consultoría |

21 octubre 2019

Una de las aplicaciones que blockchain tiene el poder de ofrecerle a la comunidad de negocios, son los libros o registros. Teniendo en cuenta que esta tecnología ofrece características de transparencia, seguridad y auditabilidad, y si los citados libros pudieran estar alojados en una red pública y descentralizada de blockchain, y accesibles por los auditores, y además con la confianza que estos registros no pueden ser técnicamente alterados, podrían realizar una serie de comprobaciones de manera automatizada / robotizada, y con un alcance del 100%. Además, si existiera el acceso a registros de terceras partes, el procedimiento de circularización y confirmación que el equipo de auditoría práctica, quedaría obsoleto, reemplazándose por un simple pedido en línea.

Tomando en consideración lo antedicho, un trabajo de auditoría anual concentrado en algunas semanas de trabajo, iría perdiendo el sentido también y permitiría una auditoría más automatizada y distribuida en el tiempo, ya que la actualización de esta información y comprobaciones de auditoría podrían ser realizadas a períodos más reducidos. Ej. de manera diaria, y por qué no online. A esto último podríamos llamar “auditoría externa continua”. ¿es esto posible?

Claro está que esta forma de trabajar merece bastante más que blockchain. Tal vez una combinación con analytics y RPA (automatización robótica de procesos).

¿Y que hay de las certificaciones que expiden los colegios profesionales? Todo pareciera indicar que la intermediación de la “fe pública” va en el camino de extinguirse y que es solo cuestión de tiempo, en todo caso, hoy la tecnología de “computer visión” que por medio de lo que llamamos “deep learning” tiene la capacidad de comparar firmas de manera más exacta que el ojo humano, adicionando que las firmas electrónicas y digitales tienen un grado razonable de madurez en el mundo y por qué no los controles biométricos. Sin embargo, lo que pareciera que tendrá una vida más extendida es el juicio profesional del auditor, lo que la inteligencia artificial aún no alcanzaría en el corto plazo. Veamos cómo es esto.

¿Logrará blockchain adoptarse en forma amplia? ¿Estarán los registros contables tan accesibles públicamente como para automatizar la labor de auditoría? ¿Qué significará este concepto de integridad de las registraciones en un entorno donde siga existiendo el dinero en efectivo y la informalidad en operaciones comerciales? (léase operaciones sin registrar, o “en negro”).

¿Y quién validará la propia blockchain?

Cuando hablamos que muchas organizaciones van a desaparecer y que el futuro del trabajo y en particular de las profesiones tendrá profundos cambios, no es ya ciencia ficción. Es una sencilla proyección que perfilará lo que ya está aconteciendo. Entonces podemos ver con mayor claridad hacia dónde podría ir el futuro de la auditoría.

Si consideramos entonces que blockchain es un tipo de libro en donde se registran transacciones (movimientos de dinero entre otras), pero con la particularidad que una vez introducidos los movimientos, esta información no podrá ser borrada jamás; y que si tenemos un libro contable que se genera automáticamente, que es inmutable, perpetuo y además global (porque las computadoras que soportan esta red están distribuidas por el mundo), ¿será necesaria la presencia de un auditor para dar confianza al entorno blockchain?

La respuesta es afirmativa. Será un auditor experto en tecnología de información basada en blockchain. Nuestra certeza se apoya en que, a pesar de todas las ventajas de un sistema basado en blockchain, y tal y como las organizaciones más especializadas en ciberseguridad lo dicen, existen un cúmulo de riesgos que requieren de un experto que de fiabilidad al entorno. Veamos solo algunos de los motivos: a) El software transaccional que brinda la información para ser cristalizada en blockchain podría no ser confiable, lo que podría derivar en que blockchain quede con información afectada; b) Posibles ataques informáticos. A medida que se crean nuevos “escudos” que mitigan riesgos de vulnerabilidades, aparecen nuevas formas de vulnerarlos. No por casualidad las inversiones en ciberseguridad se han multiplicado durante los últimos años y seguirán creciendo. La infraestructura que soporta blockchain también está sujeta a las amenazas y vulnerabilidades conocidas, y a las desconocidas hoy que se conocerán mañana. El mundo financiero de las llamadas “Fintech” está preocupado y ocupado por este complejo tema. De hecho, hay decenas de casos conocidos de ataques en blockchain, que han merecido remediaciones por parte de los grandes “vendors”; c) Un tema que nos apasiona por haber creado www.grclinks.com es lo que llamamos SoD o Segregación de Funciones. Nos referimos a la gestión de roles y permisos para una mejor seguridad en los accesos y privilegios. Existen además cambios en la infraestructura y permisos para gestionarlos. Estas situaciones merecen controles muy relevantes en toda estrategia de seguridad, dado que podrían afectar en forma directa y significativa la integridad de blockchain. e) Controles de compliance “por actividades reguladas” y otros no regulados. Sabemos que en el mundo la actividad financiera es crecientemente regulada y la normativa va convergiendo a un entorno más globalizado y estandarizado. Las auditorías de cumplimiento serán esenciales para evitar sanciones y daños reputacionales que resten confianza en el público usuario (nos referimos a uno de los daños más complejos de revertir). Por otro lado, un sinnúmero de actividades menos reguladas (o no reguladas), utilizarán blockchain como medio de dotar de mayor seguridad y confiabilidad a su operación. Estas operaciones comenzarán a exigir certificaciones por parte de expertos independientes, dado que el público consumidor cada vez conocerá más y exigirá algún mecanismo de “transparencia e integridad comprobada” o como se llame en este futuro cercano que podremos palpar más temprano que tarde.

A esta altura de las circunstancias me vinieron a la memoria la lista de “tildes” que manualmente ponía en los papeles de trabajo en mis épocas de auditor. Había varios y significaban cosas diferentes. Sin ir más lejos, hoy la tecnología analítica que hemos desarrollado a nivel internacional permite que esas tildes o “tickmarks” sean virtuales y que las anomalías sean identificadas. Y no solo de una muestra, sino del total de la información.

Click aquí para ver la nota original