Madrid.
El capĂtulo de Madrid de la AsociaciĂłn de AuditorĂa y Control de Sistemas de InformaciĂłn (ISACA) analizará el martes los desafĂos que plantea blockchain a los profesionales de la auditorĂa de sistemas, con el objetivo de ofrecer entornos de seguridad a las empresas que utilizan esta tecnologĂa. Esta organizaciĂłn, presidida por Ricardo Barrasa, abordará este asunto en el marco del “I Congreso AuditorĂa & GRC” que tendrá lugar en la sede central de la entidad financiera Bankia en Madrid. El debate, titulado “AuditorĂa en Blockchain”, cuenta con la participaciĂłn de Pablo Fernández BurgĂĽeño, socio fundador de Escila; Julián Inza, senior tĂ©cnico experto en Trust Conformity Assessment Body; Luis Pastor, miembro de la junta directiva de Alastria; Alberto GĂłmez Toribio, responsable de innovaciĂłn y blockchain en Bankia y Antonio Requena, director en PwC.
Como sucede en casi todos los sectores econĂłmicos, el de la auditorĂa tambiĂ©n está siendo interrumpido por blockchain. En un libro publicado recientemente por Michael J.Casey y Paul Vigna, titulado “La máquina de la verdad: Blockchain y el futuro de todas las cosas”, los autores dibujan un panorama apocalĂptico para el futuro de contables y auditores. Ambos afirman en sus páginas que, si los libros contables distribuidos e inmutables se hacen realidad, las divisiones de auditorĂa y contabilidad de Deloitte, Price Waterhouse, Ernst Young y KPMG se volverán obsoletas. A lo que añaden que no son solo los grandes auditores los que están en riesgo; “es cada auditor, incluidos los internos de las empresas”.
“De hecho, una vez que el mantenimiento de cuentas se automatiza por completo y las funciones de reconciliaciĂłn se vuelven superfluas, tanto aquellos que conservan los libros como aquellos que los auditan se quedarán sin trabajo. Las máquinas ingresarán, analizarán y auditarán los datos financieros en minutos o segundos”, afirman Casey y Vigna, quienes tambiĂ©n apuntan que, a mediados de 2017, ya habĂa 250 personas trabajando en Deloitte en el área de blockhain, unas cifras que se repiten en las otras tres compañĂas.
Sin entrar a valorar si el escenario que describen ambos escritores puede llegar a suceder en los tĂ©rminos narrados, la pregunta que se hacen auditores y consultores es ÂżquiĂ©n audita la cadena de blockchain? Un informe de Deloitte que lleva por tĂtulo “Blockchain: un cambio de juego para los procesos de auditoria”, afirma que, aunque la cadena de bloques promete transacciones altamente seguras, las instancias de fraude no se pueden erradicar por completo.
Abundando en la literatura que detalla el estudio de Deloitte, Elena GarcĂa GĂłmez explica  en un artĂculo recogido por BDO que, pese a todas las ventajas de un sistema blockchain, existen riesgos que precisan la figura de un auditor para generar confianza en el entorno. GarcĂa precisa que tal y como indica ISACA, “la plataforma software sobre la que se ejecuta blockchain afecta a la integridad de los datos; es decir, si la plataforma no es fiable, este hecho afecta directamente a blockchain”.
Elena relata que ningún software está exento de ataques y que, por tanto, la infraestructura que permite blockchain está sujeta a todas las amenazas y vulnerabilidades habituales. De los 41 casos de ataques registrados en blockchain durante 2017, 14 se debieron a vulnerabilidades en los servidores, bien por falta de configuración o por fallos en su diseño.
Como en cualquier infraestructura, Elena indica que es necesario verificar el procedimiento de cambios y la segregaciĂłn de funciĂłn y privilegios en el acceso a los datos, ya que son controles que afectan directamente en la integridad de cualquier sistema. TambiĂ©n añade que se deberĂa incluir una auditorĂa para verificar los riesgos que conlleva cualquier tipo de operaciĂłn no regulada. Por Ăşltimo, propone la creaciĂłn de estándares de seguridad o la adopciĂłn de algunos ya existentes, dentro del área financiera tradicional y que un auditor revise el sistema, para ofrecer confianza en entornos de este tipo.
En la lĂnea con lo expresado por Elena se sitĂşa el informe de Deloitte citado más arriba. La consultora ilustra con ejemplos la labor imprescindible de los auditores en los ámbitos empresariales de blockchain. En el primero recuerda un caso que se produjo en julio de 2017, cuando un pirata informático desconocido robĂł casi 32 millones de dĂłlares en Ethereum. La causa principal del fraude fue una vulnerabilidad en el software que se utilizaba para administrar las billeteras de Ethereum y no una deficiencia en la tecnologĂa de blockchain.
Además del caso de robo de Ethereum, la consultora alude al supuesto de que un empleado envĂe de manera accidental o deliberadamente bitcoin a una direcciĂłn incorrecta o no autorizada. Como en la actualidad no hay manera de revertir dicha transacciĂłn, Deloitte apunta que el papel de los auditores en este caso serĂa evaluar si existen controles automáticos efectivos para validar las transacciones antes de que se ejecuten. El estudio tambiĂ©n hace referencia a un supuesto ataque de phishing y al hecho de que no haya un departamento de fraude donde denunciar los hechos, ya que en blockchain no hay administraciĂłn central. SegĂşn la consultora, en situaciones semejantes los auditores deberán determinar si los controles internos para prevenir y detectar ataques de phishing funcionan de manera efectiva.
La pĂ©rdida de una clave privada para acceder a cualquier moneda virtual, como bitcoin, por culpa de un mal funcionamiento de software o hardware es otro de los ejemplos. En este supuesto, el informe precisa que los procedimientos de respaldo y restauraciĂłn ayudarán a prevenir tales situaciones. La consultora concluye que, aunque blockchain ofrece propiedades intrĂnsecamente seguras, los humanos son los que codifican el software para integrar e interactuar con la cadena de bloques y que “los humanos son falibles y corruptibles”.
Aprovechando el vacĂo existente en el mercado, PricewaterhouseCoopers anunciĂł el viernes de la semana pasada un nuevo servicio para que sus clientes lo implementen y utilicen adecuadamente. La noticia la recogiĂł Wall Street Journal con un titular que decĂa lo siguiente: si blockchain puede validar las transacciones de la forma tradicional en que lo hace un auditor, quĂ© le queda al auditor: validar a los validadores. SegĂşn PwC, entre los clientes iniciales que usan su nuevo producto se encuentra una de las principales bolsas de valores que, segĂşn apunta, lo necesita para verificar que su proceso de pago basado en blockchain funcione como se esperaba. Aunque no quiso dar nombres, la consultora tambiĂ©n explicĂł que otro de sus clientes es un proveedor de monedero digital, que está utilizando su producto para verificar el procesamiento de sus transacciones.
El Congreso de Isaca, donde se enmarca la mesa de blockchain, responde a la creciente sensibilidad de las compañĂas en materia de Gobierno, Riesgo y Cumplimiento. Por ello, los temas que se abordarán están enfocados a generar una visiĂłn global de los procesos, gestiĂłn de riesgos, fraude, control interno y cumplimiento normativo y legislativo, sin dejar de lado la metodologĂa y ejecuciĂłn de revisiones y auditorĂas de los mismos.
5
4.5