Aunque es poco probable que la seguridad sea la principal preocupación de los responsables de la toma de decisiones en las firmas de auditoría al adoptar nuevas herramientas tecnológicas, es uno de los elementos más críticos a considerar al evaluar qué herramientas de proveedores incorporar en las auditorías.
La confianza en la integridad de los datos en las auditorías es vital, por lo que los profesionales deben tener plena seguridad de que los datos de las transacciones son precisos y completos, y que no han sido manipulados. En última instancia, la responsabilidad recaerá en el socio que apruebe el trabajo una vez finalizado.
Existen varios estándares de certificación de seguridad diferentes en todo el mundo que, en general, se alinean con principios similares, con solo algunos matices.
Vale la pena tomarse el tiempo para comprender por qué la seguridad es importante y qué buscar en los proveedores, ya que esto reducirá el riesgo de las auditorías y será fundamental al sopesar con qué proveedores de software de auditoría trabajar.
¿Qué es la seguridad?
La seguridad de los datos abarca tres principios fundamentales: confidencialidad, integridad y disponibilidad.
1. Confidencialidad
El software empresarial debe mantener la confidencialidad de los datos que maneja para evitar que caigan en manos equivocadas y para dar a los compradores la confianza de que los datos no serán malversados.
No hacerlo expone a los usuarios empresariales a riesgos de litigio y a daños a la reputación de la marca. Las empresas cotizadas pueden verse particularmente afectadas por esto debido a movimientos adversos en el precio de sus acciones.
Dentro de la UE, la confidencialidad de los datos que poseen y procesan los proveedores de software debe estar protegida por el RGPD. El incumplimiento puede resultar en multas del 4% de la facturación global anual de la empresa, o 20 millones de dólares, lo que sea mayor.
2. Integridad
La integridad en el contexto de la seguridad de los datos significa que los usuarios deben poder confiar en la precisión y validez de los datos procesados por el software empresarial.
Los datos deben ser precisos y consistentes a lo largo de su ciclo de vida, ya que no serlo significa que las empresas no pueden confiar en ellos.
A nivel práctico, esto significa que deben existir sistemas para verificar los datos en busca de errores y demostrar que no ha habido compromisos. Además, se deberán aplicar procedimientos de validación a los datos para asegurar que no han sido modificados durante las transferencias dentro y fuera de los sistemas.
3. Disponibilidad
La disponibilidad es fundamental para la seguridad de los datos, ya que los sistemas y las aplicaciones deben poner los datos a disposición de los usuarios siempre que los necesiten.
El software debe ser lo suficientemente robusto como para resistir ataques de denegación de servicio, de modo que los usuarios puedan acceder a los datos sin interrupciones en todo momento.
La denegación de servicio puede provocar que las aplicaciones dejen de funcionar o, en circunstancias graves, puede llevar los sistemas a un estado inseguro.
Cómo estos principios de seguridad satisfacen las necesidades de los auditores
La seguridad debe ser una consideración clave en la selección de proveedores para los auditores. Estos principios son elementos fundamentales para los controles de seguridad del software que respaldan los controles internos para la auditoría de estados financieros.
Los auditores necesitan confiar en estos controles de seguridad para completar los trabajos con los niveles de aseguramiento pertinentes.
Por ejemplo, necesitan confiar plenamente en la integridad de las confirmaciones de saldos bancarios al cierre del ejercicio para demostrar que los saldos se han conciliado correctamente.
Además, cuando se solicitan transacciones bancarias posteriores al cierre del ejercicio para fines posteriores al balance, los auditores deben asegurarse de que los datos entregados cumplen con el alcance y que los datos provienen de una parte autorizada y no han sido manipulados.
No tener confianza en la seguridad de los datos utilizados en estos procesos perjudica la capacidad de los socios para firmar las auditorías.
Otra razón por la que los auditores necesitan confiar en la seguridad de la tecnología de auditoría se debe a las eficiencias en la asignación de personal y la optimización de procesos. Los beneficios de las nuevas herramientas tecnológicas de auditoría incluyen funciones de automatización que ahorran tiempo en los flujos de trabajo de auditoría principales y ofrecen niveles de aseguramiento que van más allá de las capacidades de los auditores humanos. Por ejemplo, esto puede incluir el análisis del 100% de las transacciones para buscar anomalías.
También es esencial para las firmas de auditoría poder confiar en la seguridad de sus proveedores de software para utilizar la automatización para asistir y complementar los esfuerzos del personal. Si los socios de auditoría no pueden confiar en la seguridad subyacente de las herramientas utilizadas, los trabajos tendrán que depender de esfuerzos más manuales y humanos y requerirán recursos de personal adicionales. También tardarán más en completarse, erosionando los márgenes de beneficio.
Los estándares de oro a tener en cuenta
Para satisfacer los requisitos de seguridad, como mínimo, las firmas de auditoría deberían adoptar proveedores con un Sistema de Gestión de Seguridad de la Información (SGSI) que sea amplio y completo en su alcance. Esto debe abordar todos los riesgos y amenazas relacionados con la confidencialidad, la integridad y la disponibilidad.
De manera similar a los estándares de aseguramiento de los estados financieros, existen certificaciones internacionales de seguridad. Adoptar proveedores que cuenten con estas certificaciones debería dar a los auditores una tranquilidad adicional de que cumplen con los más altos niveles de seguridad.
Los estándares más utilizados son SOC2 (más prevalente en EE. UU.) e ISO 27001 (más comúnmente utilizado en Europa).
Ambas certificaciones garantizarán que se cumplan los más altos niveles de seguridad. Existe una superposición entre ambas, pero hay algunas diferencias. Estas incluyen cómo se rigen (el American Institute of Certified Public Accountants para SOC2 y el ANSI-ASQ National Accreditation Board para ISO 27001), e ISO 27001 se considera una certificación más difícil de obtener para los proveedores.
En última instancia, es probable que los auditores adopten proveedores que apliquen certificaciones en las ubicaciones geográficas de sus clientes.
Revise la seguridad de sus proveedores actuales hoy mismo
Si ya trabaja con proveedores de tecnología de auditoría, revise su enfoque de seguridad para asegurarse de que sea suficientemente adecuado para el propósito. Si no poseen acreditaciones formales, póngase en contacto con los proveedores y asegúrese de que tienen un SGSI implementado.
En Circit, nuestra seguridad cumple con los más altos estándares para nosotros y nuestros clientes. Además de estar formalmente certificados con ISO 27001, la plataforma cumple plenamente con el RGPD y todo nuestro contenido está cifrado. Actualmente estamos en proceso de acreditación SOC2.
La seguridad de los datos se refuerza con la creación de una pista de auditoría completa e inmutable, entre todas las partes, incluidas las firmas de auditoría y sus clientes, que incorpora marcas de tiempo, direcciones IP e información del usuario final.
Conozca más sobre nuestro enfoque aquí.
