Академический Документы
Профессиональный Документы
Культура Документы
INTERNA
Por Richard C. Kloch, Jr., CPA y Simon J. Little, CPAUn informe de investigación conjunto de la
Fundación de Auditoría Interna y Crowe
1035 Greenwood Blvd., Suite 401
grabación, o de otra manera, sin el permiso previo por escrito del editor.
El IPPF proporciona orientación a los auditores internos a nivel mundial y allana el camino
para la auditoría interna de clase mundial.
el mundo que realiza valiosos estudios sobre temas críticos que afectan el día de hoy
mundo de negocio. Gran parte del contenido presentado en sus informes finales es un
resultado de investigación financiada por la Fundación y preparada como un servicio a la
Fundación y la profesión de auditoría interna. Opiniones, interpretaciones o puntos
expresados.
• contratos inteligentes
• Identificación de riesgo
• Procedimientos de control.
Un blockchain (un tipo de libro mayor distribuido) es una base de datos compartida que
crea un registro permanente de transacciones. La base de datos se comparte a través de
una red, de múltiples dispositivos conectados, que se conocen como "nodos". Cada vez
que un nuevo la transacción se agrega al libro mayor, la actualización es visible
inmediatamente por todos los otros nodos en la red. Además, las transacciones, o
bloques, son estructurado de una manera diseñada para que sea imposible regresar y
cambiar una entrada anterior
Las aplicaciones de blockchain en toda la empresa aún están surgiendo. Evidencia sugiere
que mientras algunos departamentos de auditoría interna están respondiendo a
blockchain adopción por parte de sus empresas, la profesión en su conjunto aún no ha
tomado una papel principal en esta área.
Sin duda, algunas de las organizaciones más grandes en industrias en las que blockchain
ofrece la promesa más obvia de tomar medidas para abordar auditar los desafíos
asociados con esta tecnología. Sin embargo, porque el registro de las transacciones de
blockchain se supone que no se puede modificar, y porque las transacciones de blockchain
son inmediatamente visibles para todos los participantes, allí ha sido, en diversos grados,
una idea errónea de que la necesidad de seguridad
Es probable que las partes adopten procesos de blockchain, como contratos inteligentes,
que hará necesario que aborden la tecnología para tomar parte en las transacciones.
Como mínimo, los auditores internos deberán desarrollar un Conocimiento práctico de las
funciones y riesgos de la tecnología. Auditoría interna
Los objetivos inmediatos son ayudar a los lectores a comprender riesgos específicos. Y
amenazas y para ayudarlos a comenzar a prepararse para la adopción de blockchain para
que se pueden desarrollar e implementar controles adecuados. En definitiva, el desarrollo
de dicho conocimiento también podría proporcionar a los auditores internos
Un tipo de libro mayor distribuido de blockchain difiere de otros tipos de libro compartido
bases de datos de varias maneras importantes. Una de estas características distintivas.Es
su capacidad para crear un registro permanente de transacciones que están diseñadas ser
inmutable Cada vez que se agrega una nueva transacción al libro mayor
Esta estructura también hace que las redes blockchain sean transparentes y resistentes.
Son transparente porque ningún participante puede realizar cambios en una entrada
existente (o bloque), y son resistentes debido a la falla de un solo nodo (o incluso un
grupo de nodos) no hará que se pierdan datos. Tales características tienen un valor obvio
en situaciones en las que se necesita una versión única, compartida e inalterable de la
verdad.
Como parte de lo que se conoce como la "cuarta revolución industrial", las tecnologías
digitales tales como inteligencia artificial, aprendizaje automático, automatización de
procesos robóticos, análisis avanzado de datos, fabricación aditiva (o impresión 3D) e
internet de las cosas (IoT) tienen el potencial de revolucionar muchos procesos
comerciales, y incluso industrias enteras. Pero el impacto individual de cada tecnología
puede ser multiplicado cuando se combina con otros tipos de tecnología digital.
Por ejemplo, los dispositivos conectados a IoT permiten a los proveedores de atención
médica monitorear condiciones del paciente de forma remota, en tiempo real, un avance
importante. Pero que hace que estas capacidades de IoT sean aún más viables es una
cadena de bloques subyacente infraestructura que también puede verificar que los
sensores de LOT estén produciendo datos válidos y auténticos información con la que
nadie ha manipulado.
Como se señaló en la sección anterior, una cadena de bloques es una base de datos
compartida o libro mayor que se distribuye a través de varios nodos en una red de
ordenadores. Una red blockchain puede estar abierta al público o al privado, con solo
participantes seleccionados.
Cada tipo de blockchain ofrece diversos grados del tipo de acciones que los usuarios
pueden tomar. Ciertas situaciones ofrecen acceso "sin permiso", lo que permite a los
usuarios leer, escribir y validar transacciones. El acceso sin permiso se usa comúnmente
en redes públicas, como las que permiten el intercambio de criptomonedas.
Otras situaciones ofrecen acceso "autorizado", lo que limita lo posible acciones de ciertos
o todos los participantes de la red. El acceso autorizado es más comúnmente asociado con
redes privadas de blockchain. La mayoría de las empresas
Las cadenas de bloques (las que usan las empresas para fines no criptográficos) son
privadas, blockchains autorizados.
Una cadena de bloques privada es establecida por una organización o grupo de
organizaciones que aceptan participar en el libro mayor compartido, como un gran
fabricante y sus diversos proveedores, una sociedad de cartera y sus filiales, o un pago red
de procesamiento y sus empresas miembros participantes. La empresa o el consorcio que
establece la red la administra y controla el acceso.
Las redes privadas de blockchain ofrecen una serie de beneficios que pueden ser
importantes ventaja para muchos tipos de empresas. Las redes blockchain establecen
confianza entre los participantes y consumidores del ecosistema a través de diferentes
métodos Blockchain proporciona a todas las partes involucradas transparencia en el
procesos, entradas, procedimientos y otros aspectos de un proceso o función.
Contratos inteligentes
El potencial de fraude.
1 – a lista que sin duda ha seguido creciendo. Blockchain puede permitir bancos y otros
proveedores de servicios financieros para compartir y actualizar automáticamente al
cliente información entre todas las unidades de negocio, que puede mejorar al cliente
experiencia y reducir los costos de adquisición de clientes.
Fuera de los servicios financieros, muchas otras industrias también están desarrollando
activamente
Nuevos casos de uso para la tecnología blockchain. En salud, por ejemplo, grandes los
proveedores están explorando formas de usar blockchain para garantizar tanto la
privacidad y precisión de los registros médicos electrónicos de los pacientes, así como la
facturación médica y procesamiento de reclamos. Una de las compañías de seguros más
grandes de China tiene comenzó a asociarse con más de 100 hospitales para usar la
tecnología blockchain para procesar de forma segura los datos del paciente y la
información financiera.
2.- En los Estados Unidos, un La cadena minorista líder ha obtenido una patente para un
sistema diseñado para almacenar registros médicos del paciente a través de blockchain.
3.- Más allá del seguro de salud solo, la industria de seguros más amplia es explorar
aplicaciones de blockchain en una amplia variedad de funciones operativas, incluyendo
manejo de reclamos, subrogación y reaseguro. La tecnología la compañía de investigación
ReportLinker proyecta el mercado global de seguros blockchain es probable que crezca de
un estimado de $ 64.5 millones en 2018 a un proyectado de $ 1.4 mil millones para 2023:
una tasa de crecimiento anual compuesta de casi el 85 por ciento.
4.- Si bien los desafíos pueden ser significativos, el número cada vez mayor de uso viable
los casos sugieren que las recompensas potenciales de adoptar la tecnología blockchain
pueden ser dramático, y en muchos casos podría ser francamente transformador. En vista
de esto, la profesión de auditoría interna debe hacer esta pregunta: ¿Cuál será el papel?
de auditores internos a medida que avanza esta tecnología, y cómo puede la profesión
adaptarse para proporcionar el mayor valor a las organizaciones patrocinadoras.
Aunque no parece haber ningún caso de uso de blockchain específico que tenga
desarrollado para aplicar blockchain a la función de auditoría interna en sí, interna Sin
embargo, los auditores tienen un papel importante que desempeñar en el desarrollo de
blockchain.
Es posible, por supuesto, que al menos algunas de las organizaciones representadas por
"no" las respuestas en realidad han comenzado el desarrollo de blockchain, pero ellos
encuestados simplemente no lo sabían. En cualquier caso, sin embargo, el alto El número
de respuestas "no" sugiere que la mayoría de la auditoría interna Los profesionales
encuestados tienen poca o ninguna familiaridad con blockchain potencial aplicaciones en
sus organizaciones. Esta impresión se ve reforzada por las respuestas de los participantes
a otra pregunta. Cuando se le pidió que describiera el mayor impedimento para
blockchain adopción en sus empresas, a los encuestados se les permitió proporcionar
Respuestas abiertas y sin guión. Cuando las respuestas sin guión fueron analizadas y
categorizadas, la mayoría de las respuestas describieron una falta básica de comprensión,
revelando que los tomadores de decisiones no sabían ni entendían la tecnología o
reconocer lo que podría hacer por ellos. (Anexo 3)
La falta de comprensión indicada por la encuesta del IIA no es del todo sorprendente,
Dado que la tecnología blockchain aún está en sus fases emergentes. En muchas
instancias,las empresas aún no han visto una razón para adoptar o aprender sobre la
tecnología, porque la adopción en sus industrias no ha sido lo suficientemente visible
como para que sea una alta prioridad.
A medida que el acceso a Internet se volvió más útil, y a medida que los protocolos de
seguridad de TI se volvieron más sofisticadas, estas limitaciones fueron gradualmente
levantadas. Finalmente, internet el acceso se convirtió en algo más que útil, se volvió
esencial. Negocios hoy depender de soluciones en la nube para llevar a cabo algunos de
los aspectos más críticos de sus operaciones comerciales, y usan el almacenamiento en la
nube para sus clientes más sensibles registros y documentación. El mismo patrón: duda,
seguido de una limitación aceptación y participación, que culmina en una adopción
generalizada y uso proactivo: muchos lo ven como un escenario probable para el futuro de
blockchain.
A medida que la tecnología gana una mayor aceptación general y una mayor relevancia, y
a medida que los libros de contabilidad de blockchain comienzan a manejar más negocios,
tanto en términos de la cantidad de transacciones y su valor en dólares, será cada vez más
importante para las organizaciones desarrollar políticas y procedimientos integrales que
incorporan protocolos de blockchain y mejores prácticas. Eso significa La auditoría interna
deberá desarrollar procedimientos para evaluar el desempeño de sistemas blockchain.
También será necesario que los auditores internos actualicen su comprensión de los
riesgos internos y externos asociados con procesos de blockchain y para desarrollar
procedimientos de monitoreo relevantes
En el caso comercial de blockchain, los proponentes deben poder demostrar por qué
blockchain sería preferible a usar una base de datos tradicional para función en cuestión.
Además, deben poder demostrar el costo potencial ahorros, mejoras de ingresos o
mejoras cuantificables a otras críticas métricas de negocios.
El grado en que la auditoría interna está involucrada en estos temas variará, dependiendo
de si la organización está desarrollando su blockchain internamente o adoptar la
tecnología de fuentes de terceros. Estas áreas de enfoque pueden estar organizado en un
marco compuesto por cuatro componentes principales:
Debido a que los casos de uso de blockchain a menudo se combinan con otras emergentes
tecnologías, ninguna combinación única de especialidades es ideal para todas las
organizaciones.
Sin embargo, una orientación general hacia la tecnología, particularmente en áreas como
el análisis avanzado, es probable que sea un rasgo atractivo para el futuro interno auditar
profesionales a medida que los procesos comerciales se vuelven cada vez más
automatizados.
Además, por supuesto, los gerentes de auditoría interna deben continuar buscando
recluta con capacidad de pensamiento crítico y resolución de problemas y Fuertes
habilidades de comunicación. La mayoría de los departamentos de auditoría interna ya
valoran estos rasgos Formación especializada relacionada con la aplicación específica de
blockchain.
También es probable que sea necesario, tanto para los nuevos empleados como para el
personal de auditoría interna existente
Identificación de riesgo
• Complejidad de la red. El riesgo inherente asociado con una cadena de bloques la red
puede variar significativamente dependiendo del número de nodos en el red, presencia o
ausencia de nodos de respaldo y administración juicio sobre si se necesitan tales sistemas
de respaldo. Una cadena de bloques privada compuesta por una docena de vendedores
en una cadena de suministro presenta un perfil de riesgo muy diferente al de una gran
cadena de bloques de atención médica que contiene los registros médicos de miles de
pacientes.
Por ejemplo, en una red de muchos miles de usuarios dispersos en un área amplia, el
riesgo de que todos los nodos fallen y provoquen una pérdida de datos se convierte en
minúsculo Sin embargo, la baja probabilidad y los riesgos de alto impacto siguen siendo
importantes.
Debido al impacto extraordinariamente alto que una falla de red tendría en un proceso
empresarial basado en blockchain, esta área de riesgo aún debe abordarse.
Otra área de riesgo relacionada se relaciona con el algoritmo de consenso que la red los
participantes acordaron usar para estructurar y registrar sus transacciones.
Considere, por ejemplo, un seguro de cultivo o algún otro tipo de paramétrico. seguro,
que no indemniza a los asegurados por pérdidas específicas pero en su lugar acuerda
hacer el pago cuando ocurra un desencadenante evento, como inundaciones o granizo.
Estos eventos desencadenantes suelen ser verificado por una agencia externa
independiente como el National Weather
En otras palabras, si el oráculo introduce información errónea, ese error contamina toda
la cadena de bloques. Identificación y cuantificación relacionada con el oráculo los riesgos
pueden convertirse fácilmente en uno de los riesgos más difíciles de la auditoría
internadesafíos de evaluación.
• Código. El código que se usa para escribir el software blockchain presenta Otra área de
riesgo que es específica de la adopción de blockchain. El uso de metodologías de
desarrollo de código reconocidas, junto con validación que el código realiza las funciones
necesarias según sea necesario, puede ser útil en Identificar y cuantificar con precisión
este riesgo. La evaluación de riesgos debe También tenga en cuenta la posibilidad de que
un actor malicioso se infiltre en el código de contrato durante el desarrollo,
implementación o mantenimiento.
Esta lista es solo un punto de partida y abarca solo algunos ejemplos de los riesgos.
Asociado con la adopción de blockchain. De hecho, el propósito de esta discusión no es
producir una lista exhaustiva de verificación de identificación de riesgos, sino más bien
Cuando una empresa implementa una aplicación blockchain, la auditoría interna necesitan
evaluar los procesos, riesgos y controles relacionados con esa aplicación.
También deberían existir controles para verificar que el algoritmo de consenso - el real
código que valida cada entrada del libro mayor en la cadena de bloques; es apropiado
para el propósito previsto de blockchain y funciona según lo diseñado.
Una forma en que una cadena de bloques mantiene la seguridad de las transacciones es a
través del público y claves privadas: esencialmente números enteros grandes que están
representados usando una serie de letras y números. Las claves públicas a veces se
comparan a un número de cuenta bancaria, mientras que las claves privadas son
comparables a contraseña utilizada para acceder a la cuenta. Estas claves deben estar
encriptadas y almacenado de forma segura, con procedimientos de control adecuados que
limitan el acceso.
Uno de los componentes más críticos de dicho programa gira en torno a la seguridad
cibernética. La introducción de la tecnología blockchain también crea la necesidad para
mejoras adicionales de ciberseguridad. Estos incluyen la aplicación reconocida prácticas
de ciberseguridad para la validación de nodos permitidos, así como para validar buenas
prácticas de ciberseguridad en el desarrollo de contratos inteligentes y la gestión de
interacciones externas necesarias que estarán involucradas en el proceso. Idealmente, la
auditoría interna debería tener acceso a recursos que sean capaces de evaluando la
estructura de los bloques mismos para verificar que realmente son características
inmutables y criptográficas necesarias, como publico y Las claves privadas y las firmas
digitales funcionan y son seguras.
Para estar seguros, parte del trabajo realizado rutinariamente por auditoría interna, como
puede parecer que las diferencias de conciliación entre varios libros de contabilidad o
registros ser redundante para el observador casual: después de todo, en un entorno
blockchain, los participantes están usando exactamente los mismos libros de contabilidad.
Pero, como reciente exitoso ataques de piratas informáticos en redes de criptomonedas
han demostrado, 8 seguridad blockchain no es infalible, un hecho que pone en duda otras
suposiciones sobre la inmutabilidad y seguridad de contratos inteligentes y otras
aplicaciones blockchain.
A medida que las aplicaciones blockchain se vuelven más comunes, las responsabilidades
de Es probable que la función de auditoría interna se expanda de manera importante.
Interno la auditoría necesitará desarrollar políticas y procedimientos para validar el
correcto función de las redes blockchain. También recaerá en la auditoría interna para
validar que las versiones del libro mayor se actualizan correctamente en todos los nodos,
esos nodos son apropiados asegurado, y que el algoritmo de consenso es válido y se aplica
consistentemente.
3 Ana Alexandre, "Walmart obtuvo la patente para el sistema de registros médicos basado
en blockchain" Cointelegraph.com, 23 de junio de 2018,
https://cointelegraph.com/news/walmart-awards-patent-forblockchain- sistema de
registros médicos basado
5 La asociación "Food Trust" utiliza Blockchain para aumentar la seguridad alimentaria ",
Noticias de la UIT, 21 de agosto de 2018, https://news.itu.int/food-trust-blockchain-food-
safety
6 Jenny Splitter, “¿Qué puede hacer realmente Blockchain para la industria alimentaria?”
Forbes, 30 de septiembre de 2018 industria/
7 Joichi Ito, Neha Narula, Robleh Ali, “The Blockchain le hará al sistema financiero lo que
Internet Did to Media ”, Harvard Business Review, 9 de marzo de 2017,
https://hbr.org/2017/03/the-blockchain-willdo- a los bancos y bufetes de abogados lo que
Internet hizo a los medios
8 Mike Orcutt, "Una vez aclamado como inquebrantable, las cadenas de bloques ahora
están siendo pirateadas", Tecnología MIT Revisión, 19 de febrero de 2019,
https://www.technologyreview.com/s/612974/once-hailed-as-unhackableblockchains-
ahora están siendo hackeados /