Auditoría Interna

¿Tienes «crypto-competencia»? Auditoría de criptomonedas: algunas preguntas para el auditor interno

Detalles
Categoría de nivel principal o raíz: Blog
Auditoría Interna

Por: Hervé GLOAGUEN

Las criptomonedas y los activos digitales se han visto salpicados de escándalos, fraudes (incluyendo esquemas Ponzi) y controversias: FTX, Binance, Terra, Tether (USDT), etc. A pesar de todo, cada vez son más populares. Según USA Today, habría más de 60 millones de personas en EE.UU. que tienen criptomonedas. Ahora, el gobierno estadounidense está hablando de crear una reserva federal de criptomonedas.

Algunas empresas pueden plantearse aceptar o realizar pagos en monedas digitales, o invertir en cripto. ¿Qué preguntas debería hacer el auditor interno para asesorar adecuadamente a la dirección de la empresa?¿Está el equipo de auditoría capacitado en cripto?

P1: ¿Cuál es el propósito y la estrategia de poseer o comerciar con criptoactivos?

¿Se trata de un desarrollo y una estrategia sostenibles a largo plazo, por ejemplo, para llegar a un mercado de clientes dispuestos a utilizar o pagar en monedas digitales? ¿O se trata de una gestión jugando al casino?

P2: ¿Quién lo ha aprobado? Gobierno corporativo y políticas internas

¿Se comunica de forma transparente la criptoestrategia a las partes interesadas, incluidos los inversores centrados en ESG? Las partes interesadas de la empresa, incluyendo inversores, clientes y reguladores, pueden tener inquietudes sobre la exposición al cripto. ¿Está documentada la decisión de adquirir, almacenar, vender o realizar transacciones con criptoactivos? ¿A qué nivel se discutió y se aprobó formalmente? ¿En qué condiciones? ¿Existe una política formal para evitar la exposición especulativa? ¿Se discutió el riesgo para la reputación en caso de pérdida o fraude?

P3: ¿Las personas implicadas comprenden los objetivos?

¿Se comunican la estrategia y sus objetivos a los directivos y empleados implicados? ¿Hay suficiente información (por ejemplo, formación) para garantizar una concienciación razonable sobre los riesgos y los controles necesarios?

P4: ¿Es legal que mi empresa tenga criptodivisas?

En la UE, el Reglamento sobre Mercados de Criptoactivos (MiCA) se aplica principalmente a las empresas que ofrecen servicios relacionados con las criptomonedas (por ejemplo, bolsas, custodios y proveedores de monederos). Por lo tanto, una empresa tradicional no financiera puede mantener cripto en su balance: no requiere autorización especial en virtud de MiCA.

Por lo que yo sé, es legal en muchas otras jurisdicciones no pertenecientes a la UE mantener criptomonedas, y realizar o aceptar pagos. Pero hay excepciones, como el Estado de Nueva York en EE.UU. que exige una licencia para realizar actividades con monedas virtuales (BitLicense).

Además de las leyes y reglamentos aplicables, una rápida revisión de los estatutos de mi empresa, junto con la dirección juridica, podría ser una buena idea para comprobar que la actividad cripto está implícitamente permitida o en el ámbito del objeto social de la empresa.

P5: ¿Tiene mi empresa el tratamiento contable y fiscal adecuado?

Mi organización debe adherirse a las normas contables locales e internacionales para reconocer y declarar los criptoactivos (valoración, deterioro). ¿Existe alguna disposición específica en mi país o en los países en los que opera mi empresa? ¿Existen requisitos específicos de divulgación? Del mismo modo, ¿se ajusta el tratamiento fiscal de las ganancias y pérdidas de cripto a los requisitos locales?

P6: ¿Qué obligaciones AML-CFT se aplican?

Las criptomonedas son una de las herramientas favoritas de criminales y terroristas para mover fondos. Incluso si mi empresa no es un negocio de cripto, las grandes transacciones de cripto pueden estar sujetas al escrutinio de la lucha contra el blanqueo de capitales (AML): origen de los fondos, diligencia debida del cliente, etc.

P7: ¿Cuánto cripto debería tener mi empresa?

En 2021, Tesla compró 1.500 millones de dólares en BTC e introdujo Bitcoin como opción de pago. ¿Está definida la tolerancia al riesgo y la estrategia financiera de mi empresa? Por ejemplo, siendo las criptodivisas un activo de alto riesgo, ¿cómo se define el límite de diversificación (entre el 1% y el 5% de tope sobre el total de activos, por ejemplo?)

¿Existe un umbral máximo en relación con los fondos propios o los activos netos de la empresa? Por ejemplo: las criptomonedas no deberían superar el 10-20% del flujo de caja libre o de los activos líquidos. ¿Aplica mi empresa un modelo de valor en riesgo (VaR) que garantice que la exposición al cripto no supere un umbral de pérdidas predeterminado?

Los criptoactivos suelen desglosarse en tokens respaldados por activos (ABT), tokens no fungibles (NFT), tokens de seguridad, tokens de utilidad, criptomonedas (incluidas las stablecoins) y monedas digitales de bancos centrales (CBDC). ¿Qué activos digitales gestionamos? ¿Los «clásicos» (por ejemplo, Bitcoin) o más bien tokens especulativos?

¿Cómo se gestiona la liquidez? Los criptoactivos son muy volátiles, o pueden tener bajos volúmenes de negociación, por lo que probablemente mi empresa no debería depender de ellos para necesidades de liquidez a corto plazo.

P8: ¿Tenemos un proceso corporativo claro para mantener y gestionar criptomonedas?

- ¿Cuál es nuestra política de inversión? Por ejemplo: límites de asignación, criptomonedas aceptables, etc.

- ¿Tenemos una estrategia de tenencia o de negociación (especulación a largo plazo frente a especulación a corto plazo)?

- ¿Hemos elegido soluciones de custodia seguras: custodios regulados, monederos multi-firma o soluciones de almacenamiento en frío de grado institucional? ¿Se evalúa el riesgo de contraparte en caso de quiebra del custodio?

- Si mantenemos criptomonedas directamente («autocustodia»), ¿asegura nuestra empresa las claves privadas y las protege frente a pirateos, pérdidas o robos?

- ¿Cómo reequilibramos periódicamente nuestra cartera? ¿Supervisamos el impacto de las fluctuaciones de precios y ajustamos periódicamente la exposición?

- ¿Ejecutamos un escenario de prueba de resistencia para analizar el impacto de las caídas del mercado de criptomonedas en el balance de la empresa?

- ¿Cuál es nuestro riesgo de fraude? ¿Disponemos de controles internos sólidos con separación de funciones y restricciones de acceso? ¿Se realizan auditorías de seguridad periódicas para evaluar las vulnerabilidades?

 Si su empresa posee criptoactivos como parte de sus activos, su papel como Director Ejecutivo de Auditoría (CAE) es crucial a la hora de plantearse todas las preguntas clave que conducen a identificar, evaluar y mitigar los riesgos asociados a estas participaciones. ¿Tiene su equipo «crypto-competencia»?

PD: para una orientación muy detallada, recomiendo el excelente documento del Institute of Chartered Accountants in England and Wales (ICAEW), publicado en septiembre de 2024: «consideraciones para auditar criptodivisas»

Considerations for auditing cryptocurrencies

Lea también el documento de posición «Positionspapier der Fachgruppe Digital Trust 02/2024» del grupo de trabajo Digital Trust de ISACA (en alemán)

Positionspapier der Fachgruppe Digital Trust 02/2024

Hervé Gloaguen
Founder and CEO
Paracas - Advisors GmbH
https://www.paracasadvisors.com/ 

 Hervé Gloaguen

Escribir un comentario

Enviar
× Progressive Web App | Add to Homescreen

Para instalar esta Web App en su iPhone/iPad presione el ícono. Progressive Web App | Share Button Y luego Agregar a la pantalla de inicio.

Desconectado