Aunque es poco probable que la seguridad esté en el punto de mira de los responsables de las empresas de auditoría a la hora de adoptar nuevas herramientas tecnológicas, es uno de los elementos más críticos que hay que tener en cuenta al revisar qué herramientas de proveedores incorporar a las auditorías.
La confianza en torno a la integridad de los datos en las auditorías es vital, por lo que los profesionales deben tener plenas garantías de que los datos de las transacciones son exactos y completos, y no han sido manipulados. En última instancia, la responsabilidad recaerá en el socio que firme el trabajo una vez finalizado.
Existen diferentes normas de certificación de seguridad en todo el mundo que, en líneas generales, se ajustan a principios similares, con algunos matices.
Merece la pena dedicar tiempo a comprender por qué es importante la seguridad y qué hay que buscar en los proveedores, ya que esto reducirá el riesgo de las auditorías y será fundamental a la hora de sopesar con qué proveedores de software de auditoría trabajar.
¿Qué es la seguridad?
La seguridad de los datos abarca tres principios fundamentales: confidencialidad, integridad y disponibilidad.
1. Confidencialidad
El software empresarial debe mantener la confidencialidad de los datos que maneja para evitar que caigan en manos equivocadas y para dar a los compradores la confianza de que los datos no serán objeto de apropiación indebida.
No hacerlo expone a los usuarios empresariales a riesgos de litigio y daños a la reputación de la marca. Las empresas que cotizan en bolsa pueden verse especialmente afectadas por ello debido a los movimientos adversos en el precio de sus acciones.
En la UE, la confidencialidad de los datos conservados y procesados por los proveedores de software debe estar protegida por el GDPR. Su incumplimiento puede acarrear multas del 4 % de la facturación global anual de la empresa o de 20 millones de dólares, la cantidad que sea mayor.
2. Integridad.
Integridad en el contexto de la seguridad de los datos significa que los usuarios deben poder confiar en la exactitud y validez de los datos procesados por el software empresarial.
Los datos deben ser precisos y coherentes a lo largo de su ciclo de vida, ya que de lo contrario las empresas no pueden confiar en ellos.
En la práctica, esto significa que deben existir sistemas que comprueben si hay errores en los datos para demostrar que no se han puesto en peligro. Además, los datos necesitarán que se les apliquen procedimientos de validación para garantizar que no han sido modificados durante las transferencias de entrada y salida de los sistemas.
3. Disponibilidad
La disponibilidad es fundamental para la seguridad de los datos, ya que los sistemas y las aplicaciones deben permitir que los datos estén disponibles siempre que los usuarios los necesiten.
El software debe ser lo suficientemente robusto como para resistir ataques de denegación de servicio, de modo que los usuarios puedan acceder a los datos sin interrupciones en todo momento.
La denegación de servicio puede hacer que las aplicaciones no funcionen o, en circunstancias graves, puede llevar a los sistemas a un estado inseguro.
Cómo responden estos principios de seguridad a las necesidades de los auditores
La seguridad debe ser una consideración clave en la selección de proveedores para los auditores. Estos principios son elementos fundamentales para los controles de seguridad del software que apoyan los controles internos para la auditoría de estados financieros.
Los auditores necesitan confiar en estos controles de seguridad para completar los trabajos con los niveles de garantía pertinentes.
Por ejemplo, necesitan confiar plenamente en la integridad de las confirmaciones de los saldos bancarios a final de año para demostrar que los saldos se han conciliado correctamente.
Además, cuando las transacciones bancarias posteriores al cierre del ejercicio se solicitan para fines posteriores al balance, los auditores deben asegurarse de que los datos entregados satisfacen el ámbito de aplicación y de que los datos proceden de una parte autorizada y no han sido manipulados.
La falta de confianza en la seguridad de los datos utilizados en estos procesos merma la capacidad de los socios para firmar las auditorías.
Otra razón por la que los auditores necesitan confiar en la seguridad de la tecnología de auditoría es la eficiencia en la dotación de personal y la racionalización de los procesos. Las ventajas de las nuevas herramientas tecnológicas de auditoría incluyen funciones de automatización que ahorran tiempo en los principales flujos de trabajo de auditoría y ofrecen niveles de garantía que superan las capacidades de los auditores humanos. Por ejemplo, esto puede incluir el análisis del 100% de las transacciones en busca de anomalías.
También es esencial que las empresas de auditoría puedan confiar en la seguridad de sus proveedores de software para utilizar la automatización como ayuda y complemento a los esfuerzos del personal. Si los socios auditores no pueden confiar en la seguridad subyacente de las herramientas utilizadas, los trabajos tendrán que depender de más esfuerzos manuales y humanos y requerirán recursos de personal adicionales. También tardarán más en entregarse, lo que erosionará los márgenes de beneficio.
Los estándares de oro que hay que tener en cuenta
Para satisfacer los requisitos de seguridad, como mínimo, las empresas de auditoría deben adoptar proveedores con un Sistema de Gestión de la Seguridad de la Información (SGSI) que sea amplio y completo en su alcance. Este debe abordar todos los riesgos y amenazas relacionados con la confidencialidad, la integridad y la disponibilidad.
Al igual que ocurre con las normas de garantía de los estados financieros, existen certificaciones internacionales de seguridad. Adoptar proveedores que dispongan de estas certificaciones dará a los auditores la seguridad adicional de que están respetando los más altos niveles de seguridad.
Las normas más utilizadas son la SOC2 (más extendida en Estados Unidos) y la ISO 27001 (más utilizada en Europa).
Ambas certificaciones garantizarán el cumplimiento de los más altos niveles de seguridad. Las dos se solapan, pero hay algunas diferencias. Entre ellas está el modo en que se rigen (el Instituto Americano de Contables Públicos Certificados para SOC2 y el Consejo Nacional de Acreditación ANSI-ASQ para ISO 27001), y la ISO 27001 se considera una certificación más difícil de conseguir para los proveedores.
En última instancia, es probable que los auditores adopten proveedores que apliquen certificaciones en las ubicaciones geográficas de sus clientes.
Revise hoy mismo la seguridad de sus proveedores actuales
Si ya trabaja con proveedores de tecnología de auditoría, revise su enfoque de la seguridad para asegurarse de que es suficientemente adecuado. Si no dispone de acreditaciones formales, póngase en contacto con los proveedores y asegúrese de que disponen de un SGSI.
En Circit, nuestra seguridad cumple las normas más estrictas para nosotros y nuestros clientes. Además de contar con la certificación ISO 27001, la plataforma cumple plenamente la normativa GDPR y todo nuestro contenido está cifrado. Actualmente estamos en proceso de acreditación SOC2.
La seguridad de los datos se ve reforzada por la creación de una pista de auditoría completa e inmutable, entre todas las partes, incluidas las empresas de auditoría y sus clientes, que incorpora marcas de tiempo de direcciones IP e información sobre el usuario final.
Obtenga más información sobre nuestro enfoque aquí.
