Nuevos Desafíos, Evidencias Digitales en Ambiente de Blockchain

Por Carlos Alberto Rumitti (Argentina)

El objetivo de este artículo es analizar algunas consideraciones particulares de las evidencias digitales cuando estas se originan y soportan en cadenas de bloques (Blockchain). No es el objetivo agotar el tema dado su extensión, simplemente resaltar las características relevantes de este tipo de evidencias y despertar inquietudes y alertas con respecto a su utilización.

Las evidencias digitales de auditoría no difieren conceptualmente de las “físicas”, sino que la información que proporcionan se genera, procesa, almacena y transmite por medios digitales.

Sus características principales se podrían sintetizar en la siguiente enumeración, asociada a los desafíos y riesgos primarios que implican para el auditor:

  1. Son modificables[1], y esto impacta en la legitimación posterior de la evidencia en poder del auditor.
  2. Actualmente, la altísima disponibilidad de datos puede dificultar el accionar del auditado y requerir que el auditor[2] realice un triaje identificando la información relevante.
  3. La fiabilidad depende del ambiente de TI (seguridad) en el que se genera, procesa y resguarda.
  4. El acceso y su manipulación requiere medios y técnicas adecuadas, exigen cierta experticia.
  5. Son de naturaleza intangible, pero su perdurabilidad dependen de su soporte físico, dado que sin este no existen.
  6. Su oponibilidad depende de su legitimación al momento de su obtención.
  7. Tienen tres puntos de enfoque: técnico de TI, técnico normativo de auditoría y jurídico. Los tres están en permanente evolución, pero con distintos tiempos y esto implica componentes adicionales de riesgo.

Tratándose de evidencias provenientes de cadenas de bloques se exacerban tanto sus debilidades como fortalezas.

 

Blockchain consiste en sistemas de libros de contabilidad[3] digital inmutables que se implementan en forma distribuida y normalmente sin una autoridad central[4]. su implementación en una organización es probable que facilite un entorno y actividades de control eficaces, promueva la visibilidad y disponibilidad de los datos, incluyendo mayor frecuencia en la supervisión[5], pero no es “mágico” y si bien mitiga riesgos existentes, también incorpora los propios.

Sin pretender agotar ni extender en su desarrollo, dado que excederían el marco de este trabajo, las siguientes cuestiones deberían ser consideradas por el auditor al evaluar evidencias provenientes de una blockchain:

  1. Los registros almacenados en la blockchain son inmutables e irreversibles una vez “minados”. La criptografía asimétrica, la robustez de los protocolos de consenso y “el almacenamiento distribuido” sobre una topología de red peer to peer, otorgan garantía de inalterabilidad del registro en la cadena. Sin embargo:
  2. La certeza con respecto a la existencia, integridad e inmutabilidad del registro, no necesariamente es extensiva al valor del activo[6] que representa, su existencia, legitimidad o autorización. El auditor determinará la necesidad de aplicar procedimientos adicionales[7] para verificar la fiabilidad de los datos o transacciones.
  3. Blockchain garantiza registros y no conductas. Es útil para mitigar el fraude, pero también incorpora nuevos riesgos propios. La fiabilidad de los registros dependerá de la seguridad de TI subyacente y de la posibilidad de manipular los mecanismos de consenso. El anonimato, facilita operaciones de lavado de activos y posibles colusiones, que significan nuevos desafíos para los auditores.
  4. Con respecto a los “activos digitales” sus características peculiares, la falta de normativas específicas y su volatilidad, requieren un esfuerzo adicional en la aplicación del escepcticismo y el juicio profesional del auditor.
  5. Una organización puede implementar blockchain para el registro de determinadas transacciones y asientos contables entre los integrantes del grupo e incluyendo a posibles terceros. Esta plataforma permitiría automatizar y facilitar el control de las transacciones y por su descentralización, brindar a todos los usuarios un “único dato o registro”, posibilitando disminuir o eliminar las conciliaciones, además de disponer información integrada para gestión en tiempo real. También facilitaría la tarea de auditoria.
  6. Un componente o el grupo, pueden implementar blockchain basado en desarrollo propio (red privada o consorcio), o adhiriendo a una red pública. El auditor puede encontrar limitaciones al alcance si la red se extiende más allá del ente auditado, aun siendo desarrollo propio, debido a que los nodos operan en distintos ambientes de TI, fuera del ámbito de su evaluación, distintos entornos de seguridad de TI y probablemente con distinto nivel de tolerancia al riesgo. Facilita su tarea si es auditor del grupo. En caso de adhesión a una red pública, sus posibilidades de obtener evidencias de control se alejan. Un informe SOC de la entidad prestadora podría mitigar este riesgo.
  7. La descentralización de los nodos y la falta de una autoridad central (en su concepción pura), pueden generar problemas de gobernanza y de definición de responsabilidades sobre control interno. En el caso de tratarse de una blockchain privada –o de un grupo-, la definición de roles previos favorecería el ambiente y las actividades de control.
  8. Si la organización implementa sus propias blockchain, el auditor deberá prestar atención a los resguardos de TI y la utilización y definiciones de protocolos de consenso distintos a los basados en pruebas de fuerza, dado que su posible manipulación podría afectar la validación de transacciones, así como una utilización indebida de cambios y reversiones.
  9. Los procesos sustentados en cadenas de bloques pueden generar, requerir[8] o proporcionar información o interactuar con otros subsistemas incluidos los que proporcionan información financiera. Los protocolos de desarrollo, participación de los interesados, personal especializado de TI[9] e interfaces de actuación, deben ser objetivos de evaluación al momento de considerar la fiabilidad de la información por parte del auditor. La complejidad que representa lo expuesto, requiere evaluar en forma previa si la solución blockchain es realmente la adecuada.

Un análisis en particular merecen los contratos inteligentes[10]. Son programas informáticos cuyas sentencias se almacenan en cadenas de bloques así como los resultados que su ejecución genere, es decir, su escritura[11] consiste en líneas de código.

Su origen se remonta a principios de la década de 1990 para fines de comercio electrónico y su utilización no necesariamente es equivalente a un contrato en términos jurídicos, aunque sí, puede tener efectos legales y/o financieros, por ejemplo a través del intercambio de activos digitales o ejecución de transacciones. Es decir, podrían constituir un objeto de evaluación tanto en una auditoría de estados financieros como en otros encargos de aseguramiento. Las cuestiones a tener en cuenta por el auditor con respecto a los contratos y la fiabilidad de las evidencias que proporcionan, además y en concordancia con las ya expuestas, serían:

  1. El diseño del Smart Contracts. Sigue el concepto If then[12], cumplida la condición la sentencia se ejecutará en forma automática, sin intervención humana y en forma inexorable. Si bien asegura su cumplimiento, un diseño inadecuado o erróneo llevaría a la ejecución de transacciones, efectos y registros erróneos o no válidos, no anulables y cuya reversión a veces no resulta posible.
  2. Su adecuada funcionalidad. Dependerá de la correspondencia de su diseño e implementación con los procesos que soportan y cuan fiable resulte el ambiente de TI donde se almacenan y ejecutan, considerando:
  3. Los oráculos. Proporcionan información de origen externo a la blockchain que activa la ejecución del contrato. Por ejemplo, una señal de seguimiento por gps de un contenedor podría emitir señales en cuanto a su despacho, configurarse la entrega y disparar acciones que liberen fondos, de modo que la fiabilidad de la información suministrada por el oráculo requerirá la implementación de controles, más aun si son de terceros, y en todos los casos salvaguardas dada la irreversibilidad de las acciones que pueden impulsar.
  4. Su lectura. Requiere comprender líneas de código de programación, no existen en texto plano sino por medio de una conversión.
  5. Aspectos legales controvertidos o no resueltos. La automaticidad, inexistencia de límite jurisdiccional, falta de intervención humana y legislación específica, pueden tener efecto en la legislación aplicable, legitimidad de la transacción y posibles contingencias con efectos patrimoniales a evaluar por el auditor (nulidad, imposibilidad de rescindir, cuestiones sobrevinientes, limitaciones a facultades de disposición entre otras).

Las descripciones que anteceden, manifiestan el impacto de las nuevas tecnologías en el ejercicio profesional y la necesidad de ampliar el campo del conocimiento hacia nuevos horizontes, teniendo en cuenta los tres puntos de enfoque: técnico de TI, normativo y técnico de auditoría y jurídico. La utilización del trabajo de expertos seguramente constituirá un requisito esencial a la hora de ejecutar un encargo de aseguramiento. Ejemplos de esto podría ser la necesidad de un experto en seguridad de TI (redes, resguardo de claves, robustez de los protocolos de consenso, control de cambios, interpretación de códigos, por mencionar algunos) y un especialista en derecho informático, por la cuestiones jurídicas aún no resueltas derivadas del uso de  esta tecnología, como ya se ha explicado brevemente.

Otro aspecto jurídico es el valor probatorio de las evidencias digitales. El hecho que cumplan con el requisito “persuasivo” o “eventualmente conclusivo” para el auditor, en el campo digital no les otorga automáticamente un estatus probatorio, dado que se requieren recaudos específicos para cumplir con condiciones de legitimidad en la obtención y resguardo de la cadena de custodia[13].

Desde el punto de vista de las normas de auditoría, la ASB del AICPA emitió la SAS 142 que moderniza los estándares, particularmente la AU C 500 contiene referencias a evidencias digitales, regirá a partir del 15 de diciembre de 2022, en tanto que la NIA 500 del IAASB se encuentra en proceso de actualización, con cronograma de aprobación a diciembre de 2023. En ambos casos, las definiciones de las normas son conceptuales o genéricas y no específicas.

El desafío para la profesión del futuro es altamente motivante!

[1] Excepto los registros en cadenas de bloques que analizamos en el presente artículo

[2] El término “auditor” se utiliza en forma genérica. Las consideraciones de este trabajo son aplicables a todo tipo de encargos.

[3] También denominados “libros mayores”. Son bases de datos distribuidas que no permiten la modificación de los registros una vez publicados.

[4] NIST: Visión general de la tecnología blockchain

[5] Blockchain and COSO

[6] No solo criptomonedas, pueden existir otros activos representados por token.

[7] SAS 142 – AU C 500: A28 y A29

[8] Oráculos.

[9] Actualmente es escaso el personal altamente capacitado en estas tecnologías.

[10] Smart Contracts, contratos de ejecución automáticas, contratos de cadenas de bloques. El término inteligentes debe interpretarse como sinónimo de autoejecutables o de ejecución automática mediante sentencias predefinidas dado que no incorporan IA.

[11] En el medio digital, escritura puede interpretarse como una sucesión de algoritmos que transforman letras, símbolos, imágenes y sonidos en una grabación por impulsos eléctricos (bits, representados por 0 y 1) en un soporte que siempre existe en forma física, por ejemplo un disco, una cinta, un estado sólido. Por lo tanto, la evidencia digital si bien es un intangible, siempre requiere de un medio físico para su existencia, es decir un soporte.

[12] Si entonces…

[13] Si bien es un concepto de naturaleza jurídica, su aplicación en la actuación del auditor se torna necesaria.

Otras noticias