Consejos para el blockchain en la auditoría


Blockchain no es solo una tecnología soporte para las criptomonedas, en general está revolucionando las transacciones al ofrecer garantía y seguridad. Gracias a su modo de funcionamiento no se presentan contradicciones en las operaciones y se mantienen encriptadas.

Sin embargo, en la labor de auditoría presenta ciertos desafíos y −en consecuencia− consejos a tener en cuenta, como:

Elaboración propia

Redacción INCP a partir de artículo publicado por iProUP

Para más información consulte el artículo titulado “Blockchain: ¿oportunidad, desafío o riesgo para la Auditoría Interna?” publicado por iProUP.

Blockchain: ¿oportunidad, desafío o riesgo para la Auditoría Interna?

Desde hace un par de años se empezó a hacer popular el término Blockchain. Pero aún no todos saben realmente que es, cómo se aplica y que riesgos y beneficios trae consigo.

Muchos a hoy consideran que esta tecnología se utiliza sólo como soporte de las criptomonedas (principalmente el Bitcoin).  Es cierto que nació para dar soporte y credibilidad a las operaciones con este tipo nuevo de inversión, pero la realidad es que el blockchain es una tecnología que está revolucionando completamente las transacciones, dando garantía y veracidad y sobre todo seguridad.

¿Qué es blockchain entonces?, Según un paper del Comité de Organizaciones de COSO, el blockchain puede definirse como «un libro de contabilidad digital seguro, transparente e irreversible compartido entre los participantes» ¿Cómo funciona la tecnología?, una transacción se registra en una base de datos, pero para asegurar su validez, se replica en «n» servidores simultáneamente.

Esto hace que no existan contradicciones o cuestionamientos sobre la transacción, ya que la misma se registró en múltiples bases de datos.  Esta red descentralizada de bases de datos se mantiene encriptada.

Un verdadero cambio de paradigma

¿Los auditores estamos preparados para este cambio revolucionario?, porque esto implica un cambio de paradigma.

Veamos, entonces, un doble enfoque, por un lado, qué implicancias tiene esta tecnología en nuestras revisiones (es decir como cubrimos los riesgos y cómo se transforman los procesos de revisión) y por el otro, cómo podemos utilizar esta tecnología en nuestra documentación de evidencias.

Auditoría de un proceso que incluye el blockchain como tecnología soporte de alguna parte o todo.

Existen dos tipos de blockchain, uno privado y otro público.  Sobre este último es muy complejo ejecutar un proceso de auditoría, principalmente por los componentes que juegan, por lo cual analizaremos la auditoría en las cadenas privadas ya que estas pueden considerarse dentro del entorno de control.

Lo primero a verificar es si el proceso tiene un modelo de GRC, ya que, pese a sus características, no escapa a la auditoría de un entorno informático descentralizado. En este sentido deberán analizarse los ámbitos transaccionales, su arquitectura, el marco de operación y la infraestructura soporte.

Fundamental, debemos entender exactamente que «cadena» se está usando, cómo se distribuye, que reglas dispone, que legislación sustenta los reservorios de datos.

El Smart Contract (que es el programa que contiene los algoritmos de la transacción) puede ser editable o no, esto ya cambia el enfoque según fuere, pero siempre deberá analizarse qué tipo de criptografía utiliza, y quienes son administradores del proceso, jugadores importantísimos ya que es crucial conocer quién o quiénes son los responsables, reto fundamental de seguridad.

Cobra vital importancia en un proceso de auditoría de blockchain, el poder revisar la calidad del código. Ya hay antecedentes que por debilidades en la construcción del código se sufrieron fraudes, en algún caso muy significativo.

Como último reto a la seguridad, es el cumplimiento de las legislaciones de protección de datos allí donde las leyes lo exigen.

¿Nos convendrá tomar muestras?, dependiendo del control y prueba aplicable, ya que si validamos el entorno tecnológico como no repudiable, todas las transacciones que pasen por ahí serán válidas. Un cambio sustancial en el trabajo del auditor.

Igualmente, considero que la auditoría sobre blockchain debería ser principalmente una auditoría preventiva y en su caso en tiempo real.

Cómo aprovechar la tecnología de blockchain para nuestras auditorías

Ahora veamos el segundo desafío, consiste en utilizar ésta tecnología para nuestro trabajo de auditores.

Siempre vemos que la tecnología es un habilitante en la actividad del auditor, blockchain no es la excepción y la podemos incorporar para múltiples propósitos, pero principalmente para a cadena de custodia de la evidencia.

En nuestra empresa estamos ya desarrollando un modelo que lo que hará es tomar la evidencia que necesitamos al momento que se produce un evento que yo necesito o quiero resguardar, éste se inserta dentro de una cadena privada, resguardándola con las reglas de inviolabilidad. Asimismo, genero un hash (es decir un algoritmo único) que replico en otra cadena (en este caso púbica) a efectos que el mismo le de validez, integridad y garantía a un tercero (ej. El auditor externo, un órgano fiscalizador, etc.) que la evidencia que yo traté y que conservo en mi cadena privada realmente se mantuvo inalterable y no puede ser repudiada ni cuestionada.

Por lo tanto, blockchain es una realidad, y lo será cada día más, por lo cual debemos, como auditores, involucrarnos ya con esta tecnología.

Por: Alejandro Rembado-Mendizábal – iProUP

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *