Blockchain—es la tecnología de registro distribuida que sustenta al bitcoin y también está siendo probada por una variedad de compañías para rastrear la propiedad de activos sin una autoridad central—está en todas partes. Los partidarios afirman que es todo, desde una panacea por los altos costos generales asociados con las funciones de back-office de servicios financieros, hasta el futuro de cómo se procesarán el dinero y otras transacciones. Para describir blockchain es como una solución en busca de un problema, los críticos han citado la falta de despliegues de producción exitosos, los desafíos asociados con la auditoría, los impuestos, el cumplimiento, y un panorama de regulaciones incompleto. Como sucede a menudo, la verdad sobre la utilidad del Blockchain probablemente se encuentra en algún punto intermedio, pero lo que es indiscutible es que el problema de la auditoría está impidiendo implementaciones comerciales de mayor tamaño.
“Problema de auditoría” no es necesariamente un término reconocido por industria, pero es cómo este autor describe los problemas y desafíos asociados con el despliegue de instancias de blockchain. El uso de la terminología “problema de la auditoría” está basada en observar muchas pruebas de concepto (POCs) de lo que se podría imaginar que estas serán detenidas justo antes del despliegue porque una combinación de auditorías interna y externa, cumplimiento, riesgos, lo que amerita hacer la última pregunta. ¿Hay pruebas de que está funcionando de forma segura? Innumerables POCs están listos para entrar en funcionamiento en este momento, pero no se pondrán en funcionamiento porque las empresas están luchando con la forma de lidiar con las necesidades de aseguramiento de las organizaciones de control. No es una sorpresa que en la mayoría de los casos, la auditoría y el aseguramiento no fueron lo más importante durante el desarrollo, y cuando las empresas comienzan a considerarlas, se enfrentan al reto de cómo satisfacer las expectativas de esos grupos de control.
Ahora, para ser claros, no es que blockchain no puede ser auditado; Es que la forma de pensar acerca de la auditoría y el concepto general de aseguramiento de la transacción debe ser necesariamente diferente. Antes de profundizar en el aseguramiento, es importante revisar el blockchain a un alto nivel para comenzar a entender lo que está generando el desafío. La mayoría de las POC de blockchain están diseñadas para lograr beneficios que caen libremente en una de tres categorías: reducir costos y crear eficiencias de procesos, crear un ecosistema con niveles de confianza superiores a los estándares o facilitar el intercambio digital de monedas. Pueden existir otros esquemas de clasificación ligeramente diferentes, pero son irrelevantes para los propósitos de esta discusión.
Lo importante es que, independientemente de la clasificación, la confianza y la eficiencia son los principales impulsores de valor para cualquier caso de uso. En esencia, un cierto aspecto clave de la seguridad se deriva de la tecnología en sí, y ese aspecto es la confianza. Además, ese resultado logra un método que conduce a reducciones de procesos, intermediarios y similares. Por lo tanto, si la propia tecnología produce la esencia de la seguridad, ¿cómo puede maximizarse ese beneficio sin agregar de nuevo en muchas capas adicionales de administración en un esfuerzo por “probarla”?
Para llevar esa idea un paso más allá, la tecnología también crea un registro irrefutable de la transacción como también la integridad de la misma. Éstas son dos de las características adicionales del aseguramiento que tradicionalmente se producen por el proceso de auditoría—lo que significa que ante la ausencia del blockchain, la integridad del registro histórico de una transacción y la validez de la transacción provienen de controles procesos extensos. En los servicios financieros, esto podría ocurrir a través de actividades de administración—actividades relevantes como la confianza corporativa, el servicio de activos y la custodia global. Sin embargo en cualquier industria puede haber controles tales como conciliaciones, confirmaciones, identidad y gestión de acceso, la confianza corporativa, el servicio de activos y la custodia global. Es importante recordar que esto representa sólo el primer paso en el proceso de aseguramiento, porque esos procesos y controles tienen que ser “probados” por la auditoría, que tradicionalmente se lleva a cabo en forma de análisis forense, punto en el tiempo (por muestra) de la actividad histórica de la transacción. Una vez que se ha completado satisfactoriamente, se ha creado el concepto de aseguramiento, que permite el uso de los datos a efectos de presentación de informes fiscales, informes de cumplimiento, análisis de riesgos, etc.
El hecho de que la tecnología blockchain crea este concepto de garantía por su naturaleza, reduce significativamente la necesidad de esos procesos y controles. Sin embargo, todavía es necesario demostrar que está creando la seguridad necesaria, y la óptica—o la transparencia en la tecnología- son necesarias para demostrarlo. Aquí es donde uno puede empezar a ver la necesidad de transformar la forma de pensar sobre la auditoría y la seguridad: En lugar de crear garantías a través de un proceso administrativo oneroso, es posible ahora demostrar seguridad y proporcionar transparencia para reflejarlo. Algunos podrían ver eso como un desafío, pero es más bien una oportunidad para integrar plenamente la auditoría y la seguridad en la tecnología y convertirlos en subproductos de la naturaleza inherente a cada transacción.
En otras palabras, para permitir la seguridad en una instancia de blockchain, uno debe comenzar con la propia tecnología. Una evaluación exhaustiva de la criptografía subyacente, la gestión de claves y la seguridad en torno al motor blockchain es el primer paso recomendado. La naturaleza real y el alcance de los procedimientos que se llevarán a cabo se determinarán por las características del caso de uso del negocio, las necesidades de las partes interesadas previstas en el aseguramiento (por ejemplo, auditoría interna, impuestos, cumplimiento).
Ese es un punto importante a realizar con respecto a lo que realmente es el blockchain. El término “blockchain” se refiere a una forma de criptografía aplicada que es de código abierto y disponible para cualquiera. Debido a loa anterior hay muchos vendedores de blockchain, cada uno de los cuales tiene características de rendimiento únicas y complementos (algunos incluso tienen capacidades de generación de informes), lo que enfatiza la importancia de entender que lo que se está resolviendo es un cambio de filosofía y no una solución específica. Una vez que se ha confirmado que la tecnología está funcionando como se pretende, entonces es simplemente una cuestión de crear la información necesaria para satisfacer las expectativas de las partes interesadas en materia de transparencia y óptica.
También será necesaria la revisión continua para asegurar la sostenibilidad de la solución, sin embargo el momento y el alcance de ese trabajo de la revisión serán determinados nuevamente por la tecnología utilizada, el uso comercial y el ecosistema en evolución en el que se implementa la instancia. También hay oportunidades fantásticas para que la auditoría proporcione valor agregado una vez que se haya confirmado e implementado el aseguramiento de nivel de transacción. La razón es que hacerlo correctamente requiere un entendimiento acabado del proceso del negocio, o procesos que afectan el caso de uso individual para la propia tecnología. Ahora que se han liberado de tener que realizar un análisis forense intensivo, los auditores pueden concentrarse en asuntos de procesos más amplios y problemas de eficiencia empresarial. También estarán más cerca de los cambios en el despliegue del blockchain ya que tanto su uso como el caso de negocios evolucionan a toda hora. Esa evolución facilitará un enfoque más ágil y estratégico de la auditoría, lo que a su vez, conducirá a un mayor valor para la organización.
Conclusión
Como se ha señalado anteriormente, desde una perspectiva de auditoría es una gran oportunidad para comenzar a abrazar el concepto en evolución de auditoría en tiempo real o continua. Muchos factores ya están dirigiendo a la profesión en esa dirección, y no menos importante es el volumen de transacciones y la mayor dependencia de la tecnología. Sin embargo en este caso la propia tecnología impone este enfoque. Cuanto más rápido se desarrolle la tecnología y se abrace el desarrollo más rápido y los niveles más altos de automatización (por ejemplo, la automatización robótica de procesos), más se incrementará la presión sobre la auditoría para evolucionar. Al adoptar la mentalidad y seguir los conceptos esbozados en este artículo, la función de auditoría estará bien preparada para comenzar su camino hacia el devenir verdaderamente estratégico y el mejor de su raza y más que listo para lidiar con el Blockchain cualquiera que sea su etapa de evolución.
A. Michael Smith
Tiene más de 25 años de experiencia en auditoría de TI, ciberseguridad, privacidad y requisitos regulatorios en el espacio de TI. Es responsable de la práctica de servicios de auditoría interna de TI de PricewaterhouseCooper (PwC) en los Estados Unidos para compañías de servicios financieros, y ha dirigido proyectos en todos los sectores de servicios financieros. Su principal área de enfoque es diseñar estrategias para desplegar auditoría tecnológica en grandes organizaciones de servicios financieros. Antes de unirse a PwC, Smith fue el director global de auditoría de tecnología para el Banco de Nueva York Mellon.