Auditoría de TI

La evaluación de controles en empresas de activos digitales

Detalles

Por: CP Iván Rodríguez. Colaborador de Auditool.

En el entorno empresarial actual que está marcado por el auge de activos digitales, hay una rápida evolución en los estándares de la industria, las expectativas de los clientes, las regulaciones y el panorama competitivo. De este modo, algunos temas que deben tenerse en cuenta al interactuar con estos activos son nuevos riesgos derivados de invertir o comerciar con ellos, aceptar pagos criptográficos, administrar la custodia o crear nuevos productos u ofertas de servicios. La custodia de activos digitales, la gestión de billeteras y claves privadas y la dependencia de sistemas centralizados y descentralizados son fuente de nuevos riesgos; hay, además, una nueva clase de intermediarios y proveedores de servicios, tecnologías complicadas y novedosas, volatilidad del mercado, complejidad regulatoria, amenazas cibernéticas y fraude.

Frente a este panorama, los auditores tienen la oportunidad de prestar sus servicios de asesoramiento a la alta dirección y al gobierno corporativo en las evaluaciones iniciales de riesgos, la identificación de brechas de control y el desarrollo de estrategias de mitigación de riesgos, así como los servicios de asesoramiento y aseguramiento, tales como aquellos relativos a Controles de Sistema y Organización (SOC) 1 y 2. Cabe recordar que “(…) un examen SOC 1 es una evaluación independiente de los controles y procesos implementados por una organización, y que pueden afectar los informes financieros de sus clientes. Un SOC 2 es un tipo de auditoría que evalúa la efectividad de los controles de una organización sobre la seguridad y disponibilidad de su plataforma. Tanto los exámenes SOC 1 como los SOC 2 suelen ser realizados por un auditor externo para brindar seguridad a los clientes (…)”[1].

En el caso de empresas de tecnología de activos digitales, la evaluación de controles e informes implica asegurarse de que los procesos y sistemas utilizados para administrar y proteger sus activos sean sólidos y confiables. Toda vez que las tecnologías de activos digitales, como las criptomonedas y las plataformas blockchain, están sujetas a riesgos específicos, la evaluación de controles es esencial para garantizar la seguridad y la integridad de estos activos.

Algunas de las preocupaciones de la alta dirección y de los auditores, frente al tema de los activos digitales son “(…)[2]:

  • ¿Cuáles son los mayores riesgos asociados con la participación en activos digitales?
  • ¿Qué evaluaciones de riesgos, controles o estructuras de gobierno se requieren para respaldar las estrategias de activos digitales?
  • ¿Qué partes del marco de riesgo y control tendrán que crearse o mejorarse para los activos digitales?”

Para abordar estas preocupaciones y novedosos riesgos, la metodología sobre cómo identificarlos, evaluarlos y gestionarlos no tiene grandes cambios. Algunos pasos que pueden tenerse en cuenta son los siguientes[3]:

Entendimiento del entorno:

El entorno de la tecnología de activos digitales es particular. Por ello, es necesario comprender las características y operaciones específicas de la tecnología de activos digitales que utiliza la empresa que se va a evaluar. Esto incluye cómo se almacenan, transfieren y administran los activos digitales, así como la plataforma en la que se basan.

Identificación de riesgos:

Es necesario, de la misma manera que en cualquier proceso de gestión de riesgos, identificar los riesgos asociados con la tecnología de activos digitales, tales como la seguridad cibernética, la protección contra el robo y el fraude, la integridad de los datos y la gestión adecuada de claves privadas.

Definición de controles clave:

Con el propósito de mitigar los riesgos identificados, es conveniente establecer controles internos apropiados. Esto puede incluir medidas de seguridad cibernética, procesos de autenticación y autorización, gestión de claves, monitoreo de transacciones y validación de datos.

Evaluación de controles técnicos:

Se considera necesario evaluar la seguridad de las plataformas y sistemas utilizados para almacenar y gestionar activos digitales. Esto puede incluir pruebas de vulnerabilidad, análisis de seguridad de software y aseguramiento de la integridad de la cadena de bloques.

Protección de claves privadas:

Una de las medidas comunes en ciberseguridad es la protección de claves. Hay que asegurarse de que las claves privadas que otorgan acceso y control sobre los activos digitales estén adecuadamente protegidas. Esto puede incluir prácticas de almacenamiento seguro y sistemas de autenticación de varios factores o niveles.

Validación de transacciones y registros:

Otra medida habitual de ciberseguridad es evaluar la integridad y precisión de las transacciones y registros en la cadena de bloques u otros sistemas utilizados. Esto es esencial para prevenir manipulaciones y garantizar la confiabilidad de los datos.

Cumplimiento normativo:

Dependiendo de cada jurisdicción, es necesario asegurarse de que la empresa cumpla con los requisitos reglamentarios y legales pertinentes para la gestión de activos digitales, como regulaciones contra el lavado de dinero (AML por sus siglas en inglés Anti Laundering Money) y contra el financiamiento del terrorismo (CFT).

Evaluación de terceros:

Si la empresa utiliza servicios o soluciones de terceros para gestionar activos digitales, es importante evaluar los controles de seguridad y cumplimiento de estos proveedores.

Toda vez que la evaluación de controles e informes en una empresa de tecnología de activos digitales es un proceso continuo y evolutivo, para los auditores es esencial mantenerse actualizados en las mejores prácticas y normativas que les permitan efectuar evaluaciones apropiadas a la protección y la integridad de los activos digitales.

 

[1] Fuente: Traducción propia, tomado de: https://accounting.nridigital.com/iab_supplement_jun23/controls_assessment_and_reporting_on_a_digital_asset_technology_firm

[2] Fuente: Traducción propia, tomado de: https://www.pwc.com/us/en/services/digital-assets/digital-assets-risk-management-services.html

[3] Basados en la experiencia del autor. Algunas ideas pueden verse en: https://www.financierworldwide.com/managing-digital-asset-and-cryptocurrency-risk

ivan

CP Iván Rodríguez - CIE AF

Auditor y consultor, diplomado en Alta Gerencia de Seguros y Derecho de Seguros. Especialista en Dirección Financiera y Desarrollo Organizacional, diplomado en Gerencia de la Calidad. Contador público (CP) de la Pontificia Universidad Javeriana con 20 años de experiencia en diversas empresas. Tiene amplia experiencia en la elaboración y ejecución de auditorías y revisorías fiscales. Dirección y ejecución de asesorías, consultorías y capacitaciones. Colaborador de Auditool.

Bogotá D.C., Colombia.

 

Aviso Cookies

Usamos cookies en nuestro sitio web. Algunas de ellas son esenciales para el funcionamiento del sitio, mientras que otras nos ayudan a mejorar el sitio web y también la experiencia del usuario (cookies de rastreo). Puedes decidir por ti mismo si quieres permitir el uso de las cookies. Ten en cuenta que si las rechazas, puede que no puedas usar todas las funcionalidades del sitio web.

De acuerdo Rechazar
× Progressive Web App | Add to Homescreen

Para instalar esta Web App en su iPhone/iPad presione el ícono. Progressive Web App | Share Button Y luego Agregar a la pantalla de inicio.

Desconectado