Autores: Diego Oliveira Farias (oliveiraf@tcu.gov.br), Eldon Teixeira Coutinho (eldonc@tcu.gov.br), Monique Louise de Barros Monteiro (moniquebm@tcu.gov.br), Tibério Cesar Jocundo Loureiro (tiberio.loureiro@tcu.gov.br)
1. Introducción
La tecnología blockchain (cadena de bloques en español) tiene su origen en 2008, cuando alguien publicó bajo el seudónimo de Satoshi Nakamoto un artículo titulado “Bitcoin: A Peer-To-Peer Electronic Cash System” (“Bitcoin: un sistema de dinero en efectivo electrónico entre pares”). Esta publicación introducía una combinación innovadora de conceptos relacionados con la informática, a saber, redes entre pares (Peer-to-Peer o P2P), criptografía, firma digital, funciones hash y un nuevo algoritmo de consenso para redes distribuidas.
La red Bitcoin usa la tecnología blockchain para procesar y registrar transacciones de forma segura, así como para realizar pagos en línea sin la necesidad de una tercera parte de confianza. Las transacciones se validan y registran en bloques almacenados en formato de libro mayor en los nodos de la red. El término “bloque” proviene precisamente del estado de la red almacenado en bloques secuenciales que contienen transacciones, de ahí el concepto de cadena de bloques o blockchain, manteniendo el término inglés.
Una de las limitaciones que presenta el Bitcoin es que su blockchain solo permite el envío de transacciones monetarias. En 2013, Vitalik Buterin, un antiguo miembro de la comunidad Bitcoin, propuso una plataforma para el desarrollo de aplicaciones descentralizadas, denominada Ethereum. Esta es una blockchain que puede procesar los llamados “contratos inteligentes” o códigos computacionales (programas), que se ejecutan de forma autónoma y fiable en la blockchain.
1.1 Principales características de la tecnología blockchain
1.1.1. Hipertransparencia y auditabilidad
La transparencia de la blockchain permite a todos los asociados a la red ver el historial de transacciones en tiempo real, algo que mejora la trazabilidad. Los usuarios tienen la posibilidad de fiscalizar minuciosamente las transacciones, lo que cobra especial importancia en el caso de las aplicaciones gubernamentales, ya que gran parte de la información de dichos programas debe ser pública.
1.1.2. Distribución y descentralización
La descentralización consiste en transferir el control y la toma de decisiones de una entidad centralizada (individuo, organización o grupo) a una red distribuida.
Una red de blockchain se puede utilizar a modo de capa de integración de bases de datos, permitiendo así el uso compartido entre organizaciones y colaboradores externos, lo que posibilita un modelo de administración hiperconectada.
1.1.3. Desintermediación
La tecnología blockchain introduce un nuevo paradigma: la posibilidad de que diferentes partes realicen transacciones sin necesidad de confiar en un intermediario central. Además, reduce la necesidad de implementar complejos procesos de conciliación entre las partes y abarata los costes, al ser posible servirse de contratos inteligentes que se ejecutan automáticamente de conformidad con reglas predefinidas.
1.1.4. Disponibilidad
Gracias a que todos los asociados cuentan con una copia local de la red, se puede acceder al libro mayor a través de otros nodos si uno de ellos deja de estar disponible. Es decir, la blockchain es una red resiliente con varias copias de datos compartidas, de modo que los servicios públicos que requieren de esta información para seguir funcionando lo podrán hacer incluso cuando alguno de los nodos no esté disponible.
1.1.5. Inmutabilidad e integridad
La tecnología blockchain emplea técnicas criptográficas para proteger sus registros, entre ellas las funciones hash y la firma digital. Estas permiten detectar cualquier intento de manipulación, dado que se trata de una violación matemática de la secuencia de bloques.
Esta propiedad garantiza que la blockchain constituya un registro inmutable y nadie pueda modificar datos históricos sin generar una alerta en la red.
1.1.6. Irrenunciabilidad
Una de las características esenciales de las tecnologías blockchain es la criptografía de clave pública, que sirve de base para autenticar a los usuarios de la red. Las firmas digitales asociadas a las transacciones proporcionan una prueba irrefutable de quién es el emisor o remitente del mensaje (no repudio).
Figura 1 – Características de la tecnología blockchain
2. Blockchain, auditoría y control
El uso de la tecnología blockchain en organismos públicos y privados llevará a la aparición de nuevos servicios de aseguramiento y auditoría, ya que tanto los auditores internos como los externos pueden obtener informes en tiempo real.
Además, la tecnología blockchain genera cambios significativos en el proceso de entrada-procesamiento-salida de la información de una organización. De este modo, el ciclo del proceso de información es susceptible de cambiar considerablemente la forma en la que el auditor recopila la evidencia, prestando más atención a la evaluación de la fiabilidad de la red de blockchain que a la de los propios datos.
El estudio llevado a cabo por el Tribunal de Cuentas de la Unión (TCU-Brasil) para verificar cómo la innovación en tecnología blockchain puede afectar a la actividad de auditoría se aborda con más detalle a través de una serie de aspectos de transformación:
2.1. Auditoría continua en tiempo real
Las soluciones distribuidas mejoran la gobernanza y la transparencia de los organismos públicos, permitiendo a la sociedad y a los órganos de supervisión un acceso inmediato y sin restricciones a los datos. La integración de la auditoría en los procesos operativos permite un monitoreo continuo de la actuación y el gasto públicos. El uso de la blockchain reduce el tiempo necesario para obtener información y verificar transacciones. Los auditores pueden aprovechar las capacidades de automatización, análisis de datos y aprendizaje automático para alertar a los directivos sobre transacciones sospechosas casi en tiempo real.
2.2. Cambio de paradigma de auditorías basadas en muestreos a auditorías basadas en datos
En una auditoría por muestreo, se debe delimitar la muestra a examinar y definir el criterio de selección respectivo, el período cubierto y su tamaño. Las conclusiones generalizadas extraídas de la muestra seleccionada conllevan un cierto grado de incertidumbre, inherente a los cálculos estadísticos.
La blockchain puede sustituir a la prueba sustantiva basada en muestras, ya que será posible examinar y probar todo el universo de datos dentro del período de observación sobre la base de la copia del libro mayor.
2.3. Auditoría automatizada
Las transacciones de blockchain son transparentes, seguras y fiables. Los auditores pueden desarrollar procedimientos automatizados para extraer evidencia directamente de la cadena de bloques secuenciales, eliminando el proceso de conciliación de datos procedentes de múltiples bases de datos y reduciendo así el riesgo de errores. El hecho de poder realizar consultas en bases de datos, automatizar informes y detectar automáticamente fraudes e irregularidades optimiza el trabajo del auditor.
2.4. Nuevos conocimientos exigidos al auditor
Los auditores deberían entender los riesgos específicos de la tecnología blockchain y comprender cómo la entidad auditada está implementando controles para hacer frente a esos riesgos. Los profesionales tienen que adquirir experiencia en sistemas distribuidos, redes, seguridad, criptografía, gestión de claves y procesos tecnológicos.
Asimismo, el uso creciente de los contratos inteligentes requerirá conocimientos de lenguajes de programación para verificar que las normas empresariales se codifican correctamente. La blockchain aumenta el volumen de información disponible y los auditores deben planificar cómo recopilar evidencia a partir de los nuevos formatos resultantes de esta tecnología.
2.5. Aparición de nuevos tipos de riesgos y fraude
A fin de poder proporcionar el nivel de confianza necesario, los procesos de auditoría deben llegar más lejos en la evaluación de la efectividad operativa de los controles relacionados con la tecnología y la criptografía. A ello se suma que las vulnerabilidades en los contratos inteligentes se han convertido en un nuevo foco de atención para el auditor.
2.6. Cumplimiento por diseño
El concepto de cumplimiento por diseño surge de la validación de controles antes de implementar la solución blockchain, asegurando así que las reglas de lo que está permitido dentro y fuera de la red cumplan con las leyes y regulaciones legales.
Por este motivo, los auditores y auditados se verán obligados cada vez más a participar en la fase de planificación de la aplicación. En lugar de centrar la actuación en encontrar irregularidades, se redactarán contratos inteligentes con la intención de que éstas no se produzcan. Resulta mucho más fácil incorporar aspectos de gobernanza, gestión de riesgos y medidas de control desde el inicio de un proyecto que adaptarlos después de haber identificado un problema.
2.7. Necesidad de validar la información fuera de la cadena
Cuando una blockchain registra activos digitales como criptomonedas, sirve como medio seguro y fiable. Pero cuando se utiliza para registrar transacciones del mundo físico, no hay ninguna garantía de que la transacción se lleve a cabo realmente.
Las mentiras, aun grabadas en una blockchain, siguen siendo mentiras, lo que lleva a la pregunta de cuál es la forma en la que el auditor puede garantizar la veracidad de las transacciones registradas en la blockchain. Dependerá, en última instancia, del auditor investigar los mecanismos para cotejar las transacciones registradas en la blockchain y las transacciones reales, especialmente en lo que respecta a cómo los asociados a la red inician, procesan y registran las transacciones.
2.8. Nuevos retos y oportunidades
Incluso en un entorno donde todas las operaciones de una organización se registran en la blockchain, sigue siendo indispensable la experiencia de un auditor para seleccionar y realizar pruebas de auditoría. Observar cómo se comprueba la veracidad de las transacciones y cómo se ejerce la gobernanza de la red son factores esenciales para el auditor. La evidencia obtenida de redes con controles internos adecuados es más fiable que la de redes con controles menos efectivos. Es probable que las auditorías tiendan a orientarse más hacia la tecnología de la información y a ser más prospectivas, es decir, que se vayan enfocando en la prevención de irregularidades, fraude y actos de corrupción.
El uso de aplicaciones blockchain por parte de los auditados aumenta la transparencia de su actuación al obligarlos a revelar transacciones no registradas hasta entonces, de modo que los órganos de control tienen que encontrar formas de maximizar el valor de la información disponible en tiempo real. Dos posibilidades para ello son, por un lado, el análisis de datos y, por otro, la Inteligencia Artificial (IA).
3. Consideraciones finales
A pesar del enorme potencial que cabe prever para su aplicabilidad en materia de control, las tecnologías del ecosistema blockchain siguen planteando retos que la comunidad de auditoría debe superar. Estos retos van desde las necesidades de formación y capacitación continua de los auditores ante las constantes innovaciones tecnológicas en este ámbito, hasta los ajustes normativos que puedan ser necesarios para regular el uso de la blockchain en las actividades de auditoría.
