CADENA DE BLOCKCHAIM Y AUDITORÍA

INTERNA

Por Richard C. Kloch, Jr., CPA y Simon J. Little, CPAUn informe de investigación conjunto de la
Fundación de Auditoría Interna y Crowe
1035 Greenwood Blvd., Suite 401

Lake Mary, Florida 32746, Estados Unidos

Ninguna parte de esta publicación puede reproducirse, almacenarse en un sistema de

recuperación o

transmitido en cualquier forma por cualquier medio: electrónico, mecánico, fotocopiado,

grabación, o de otra manera, sin el permiso previo por escrito del editor.

Las solicitudes de permiso al editor deben enviarse electrónicamente a:

copyright@theiia.org con la línea de asunto "solicitud de permiso de reimpresión".

Límite de responsabilidad: la Fundación de Auditoría Interna publica este documento para

con fines informativos y educativos y no es un sustituto de

Asesoramiento contable. La Fundación no brinda tales consejos y hace

no se garantiza ningún resultado legal o contable a través de la publicación de este

documento. Cuando surgen problemas legales o contables, asistencia profesional

debe ser buscado y retenido.

El Marco de Prácticas Profesionales Internacionales (IPPF) del IIA comprende

La gama completa de orientación práctica existente y en desarrollo para la profesión.

El IPPF proporciona orientación a los auditores internos a nivel mundial y allana el camino
para la auditoría interna de clase mundial.

El IIA y la Fundación trabajan en colaboración con investigadores de todo el mundo.

el mundo que realiza valiosos estudios sobre temas críticos que afectan el día de hoy
mundo de negocio. Gran parte del contenido presentado en sus informes finales es un
resultado de investigación financiada por la Fundación y preparada como un servicio a la
Fundación y la profesión de auditoría interna. Opiniones, interpretaciones o puntos
expresados.

Los puntos de vista representan un consenso de los investigadores y no reflejan

necesariamente o representar la posición oficial o las políticas del IIA o la Fundación.
Tabla de contenido
Introducción y resumen ejecutivo .............................................. .................... 4

1) La relevancia de blockchain ............................................ ................................ 6

• Blockchain y otras tecnologías.

• Un entorno de riesgo fluido y en evolución.

2) Adopción de la tecnología blockchain ............................................ ...................... 7

• blockchains públicos y privados

• contratos inteligentes

• Aplicaciones ilustrativas de blockchain.

3) Desafíos para la auditoría interna ............................................ ............................... 10

• Conciencia actual y comprensión

• Aceptación seguida de adopción.

4) Preparación para la adopción de blockchain ............................................ .................... 13

• Recursos y capital humano.

• Identificación de riesgo

• Procedimientos de control.

• Gestión y mitigación de riesgos.

Conclusión................................................. .................................................. ....... 18

 Introducción y resumen ejecutivo
La creciente popularidad de las redes blockchain, junto con las de blockchain potencial
para transformar fundamentalmente la forma en que muchos procesos comerciales son
manejado, plantea una pregunta importante para los auditores internos: qué pasos, si los
hay, ¿Debería la profesión tomarla en respuesta a esta tecnología transformadora?

Un blockchain (un tipo de libro mayor distribuido) es una base de datos compartida que
crea un registro permanente de transacciones. La base de datos se comparte a través de
una red, de múltiples dispositivos conectados, que se conocen como "nodos". Cada vez
que un nuevo la transacción se agrega al libro mayor, la actualización es visible
inmediatamente por todos los otros nodos en la red. Además, las transacciones, o
bloques, son estructurado de una manera diseñada para que sea imposible regresar y
cambiar una entrada anterior

La prominencia inicial de Blockchain surgió de su uso como tecnología subyacente para

impulsar monedas digitales como bitcoin. Pero la tecnología tiene Numerosas otras
aplicaciones en una variedad de procesos y entidades comerciales más allá de las
criptomonedas. A medida que estas aplicaciones se generalizan y lugar común, el papel de
la auditoría interna como la tercera línea de defensa en riesgo la gerencia se verá
directamente afectada.

Ciertos atributos y características de la tecnología blockchain abren el posibilidad de

numerosas aplicaciones nuevas y prometedoras en una amplia gama de industrias, desde
servicios financieros hasta asistencia sanitaria, desde desarrollo de software a la
fabricación y producción de alimentos, y muchos más. Sin embargo, en muchos sentidos,

Las aplicaciones de blockchain en toda la empresa aún están surgiendo. Evidencia sugiere
que mientras algunos departamentos de auditoría interna están respondiendo a
blockchain adopción por parte de sus empresas, la profesión en su conjunto aún no ha
tomado una papel principal en esta área.

Sin duda, algunas de las organizaciones más grandes en industrias en las que blockchain
ofrece la promesa más obvia de tomar medidas para abordar auditar los desafíos
asociados con esta tecnología. Sin embargo, porque el registro de las transacciones de
blockchain se supone que no se puede modificar, y porque las transacciones de blockchain
son inmediatamente visibles para todos los participantes, allí ha sido, en diversos grados,
una idea errónea de que la necesidad de seguridad

Las actividades relacionadas con blockchain son limitadas.

Sin embargo, la mayoría de los profesionales de auditoría interna en última instancia
serán directamente y afectado significativamente por la tecnología blockchain. Incluso si
su organización lo hace no elija adoptar blockchain, sus proveedores, clientes u otro
tercero

Es probable que las partes adopten procesos de blockchain, como contratos inteligentes,
que hará necesario que aborden la tecnología para tomar parte en las transacciones.
Como mínimo, los auditores internos deberán desarrollar un Conocimiento práctico de las
funciones y riesgos de la tecnología. Auditoría interna

Es probable que se solicite a los profesionales que aprovechen nuevos métodos y

herramientas para validar la estructura y la viabilidad de las redes blockchain, para evaluar
el efectos que las transacciones de blockchain tendrán en las exposiciones al riesgo de sus
organizaciones, y para evaluar la idoneidad y efectividad de la mitigación de riesgos
esfuerzos asociados con las transacciones de blockchain.

Este informe de investigación está destinado a proporcionar auditores internos en varios

tipos de organizaciones con un marco básico para evaluar su nivel actual de preparación
de la tecnología blockchain y proporcionarles una hoja de ruta para desarrollando planes
de auditoría que aborden los problemas de blockchain a medida que se encuentran.

Los objetivos inmediatos son ayudar a los lectores a comprender riesgos específicos. Y
amenazas y para ayudarlos a comenzar a prepararse para la adopción de blockchain para
que se pueden desarrollar e implementar controles adecuados. En definitiva, el desarrollo
de dicho conocimiento también podría proporcionar a los auditores internos

Oportunidades adicionales para agregar valor a la actividad dentro de sus organizacionesal

convertirse en fuentes reconocidas de dominio de blockchain.
1) La relevancia de blockchain

Un tipo de libro mayor distribuido de blockchain difiere de otros tipos de libro compartido
bases de datos de varias maneras importantes. Una de estas características distintivas.Es
su capacidad para crear un registro permanente de transacciones que están diseñadas ser
inmutable Cada vez que se agrega una nueva transacción al libro mayor

La actualización es visible de inmediato por todos los demás nodos en la red.

Esta estructura también hace que las redes blockchain sean transparentes y resistentes.
Son transparente porque ningún participante puede realizar cambios en una entrada
existente (o bloque), y son resistentes debido a la falla de un solo nodo (o incluso un
grupo de nodos) no hará que se pierdan datos. Tales características tienen un valor obvio
en situaciones en las que se necesita una versión única, compartida e inalterable de la
verdad.

Blockchain y otras tecnologías

Como parte de lo que se conoce como la "cuarta revolución industrial", las tecnologías
digitales tales como inteligencia artificial, aprendizaje automático, automatización de
procesos robóticos, análisis avanzado de datos, fabricación aditiva (o impresión 3D) e
internet de las cosas (IoT) tienen el potencial de revolucionar muchos procesos
comerciales, y incluso industrias enteras. Pero el impacto individual de cada tecnología
puede ser multiplicado cuando se combina con otros tipos de tecnología digital.

Por ejemplo, los dispositivos conectados a IoT permiten a los proveedores de atención
médica monitorear condiciones del paciente de forma remota, en tiempo real, un avance
importante. Pero que hace que estas capacidades de IoT sean aún más viables es una
cadena de bloques subyacente infraestructura que también puede verificar que los
sensores de LOT estén produciendo datos válidos y auténticos información con la que
nadie ha manipulado.

Tal fusión de tecnología digital tiene el potencial de crear negocios completamente

nuevos, modelos al permitir la interoperabilidad, la comunicación de máquina a máquina
y nuevos sistemas ciberfísicos. En algunos casos, dicha fusión puede crear nuevas
oportunidades de ingresos En la mayoría de los casos, crea la oportunidad para una
mayoreficiencia al permitir que las transacciones existentes se realicen más rápido y a
menor costo.

Un entorno de riesgo fluido y en evolución.

Por intrigantes que sean estos avances tecnológicos, su transformación y la naturaleza en
evolución presenta desafíos particulares para los auditores internos.

No hay dos organizaciones que aborden estas capacidades de la misma manera, y no Es

probable que la organización opere utilizando tecnología basada en blockchain
exclusivamente.Las aplicaciones Blockchain interactuarán con procesos más
convencionales en varios puntos y de varias maneras.

Estos escenarios ampliamente variables significan que la auditoría interna deberá

ajustarse a diferentes grados de interacción y complejidad que involucran numerosas
tecnologías digitales aplicaciones. Para hacer eso, la auditoría interna necesitará
desarrollar recursos con experiencia en múltiples tipos de tecnología y necesitará crear
una colaboración entorno que es capaz de adaptarse rápidamente a medida que
blockchain continúa evolucionando.

2) Adopción de la tecnología blockchain

No es necesario comprender completamente todos los trabajos técnicos de blockchain

reconocer tanto los beneficios potenciales como los desafíos que puede presentar a la
auditoría interna, pero es útil tener una comprensión básica de algunos conceptos
fundamentales como se describen aquí.

Blockchains públicos y privados

Como se señaló en la sección anterior, una cadena de bloques es una base de datos
compartida o libro mayor que se distribuye a través de varios nodos en una red de
ordenadores. Una red blockchain puede estar abierta al público o al privado, con solo
participantes seleccionados.

Cada tipo de blockchain ofrece diversos grados del tipo de acciones que los usuarios
pueden tomar. Ciertas situaciones ofrecen acceso "sin permiso", lo que permite a los
usuarios leer, escribir y validar transacciones. El acceso sin permiso se usa comúnmente
en redes públicas, como las que permiten el intercambio de criptomonedas.

Otras situaciones ofrecen acceso "autorizado", lo que limita lo posible acciones de ciertos
o todos los participantes de la red. El acceso autorizado es más comúnmente asociado con
redes privadas de blockchain. La mayoría de las empresas

Las cadenas de bloques (las que usan las empresas para fines no criptográficos) son
privadas, blockchains autorizados.
Una cadena de bloques privada es establecida por una organización o grupo de
organizaciones que aceptan participar en el libro mayor compartido, como un gran
fabricante y sus diversos proveedores, una sociedad de cartera y sus filiales, o un pago red
de procesamiento y sus empresas miembros participantes. La empresa o el consorcio que
establece la red la administra y controla el acceso.

Las redes privadas de blockchain ofrecen una serie de beneficios que pueden ser
importantes ventaja para muchos tipos de empresas. Las redes blockchain establecen
confianza entre los participantes y consumidores del ecosistema a través de diferentes
métodos Blockchain proporciona a todas las partes involucradas transparencia en el
procesos, entradas, procedimientos y otros aspectos de un proceso o función.

Esta transparencia puede extenderse a lo largo de todo un proceso, desde la materia

prima productor al consumidor. Además, las transacciones que se agregan a una cadena
de bloques son validado no por aportes humanos que puedan ser influenciados o
corrompidos potencialmente, pero mediante una matemática imparcial repartida entre
múltiples nodos, lo que confirma un adhesión de la transacción a condiciones
preestablecidas.

Contratos inteligentes

Blockchain ejecuta transacciones utilizando procesos comerciales que han sido

desarrollado como código de software y se conoce como contratos inteligentes.
Inteligente los contratos pueden requerir que se cumpla un plazo específico o un hito se
reunió antes de que la próxima transacción pueda tener lugar. También lo hacen posible
para automatizar el monitoreo y cumplimiento de las promesas contractuales con mínima
intervención humana, lo que resulta en una mayor eficiencia y mejora oportunidades para
ampliar las operaciones con menos inversión adicional.

En servicios financieros, por ejemplo, ciertos tipos de préstamos comerciales para el

inventario financiero tradicionalmente se ha visto limitado por la necesidad de realizar
auditorías in situ y validar físicamente los registros de ventas y el inventario. Con
tecnología blockchain, los prestamistas pueden usar contratos inteligentes para hacer
cumplir los términos del préstamo y automatizar el proceso de verificación de ventas. Esta
capacidad reduce los costos y las limitaciones de realizar auditorías físicas, y también
reduce significativamente

El potencial de fraude.

Además de reducir costos al automatizar tareas manuales y en papel, blockchain aumenta

la velocidad de los procesos de trabajo al reducir significativamente El uso de
intermediarios y la necesidad de verificación manual. Esta capacidad es ya se está
demostrando en la industria de procesamiento de pagos, en la cual los bancos han
comenzado a usar blockchain para reducir costos y acelerar drásticamente

El tiempo de liquidación de las transacciones de pago globales.

Aplicaciones ilustrativas de blockchain

A mediados de 2018, un investigador en línea y defensor de blockchain compiló una lista

de más de 200 grandes bancos y otras empresas de servicios financieros en todo el mundo
que usaban o exploraban aplicaciones de blockchain en ese momento

1 – a lista que sin duda ha seguido creciendo. Blockchain puede permitir bancos y otros
proveedores de servicios financieros para compartir y actualizar automáticamente al
cliente información entre todas las unidades de negocio, que puede mejorar al cliente
experiencia y reducir los costos de adquisición de clientes.

Blockchain también ofrece la capacidad de mejorar otras funciones comerciales,

incluyendo ventas, marketing y cumplimiento normativo. Otros casos de uso en Los
servicios financieros para blockchain incluyen nuevas aplicaciones para procesamiento
pagos internacionales, acelerando los procesos de compensación y liquidación en
comercio de valores y procesamiento de transacciones de financiamiento comercial.

Fuera de los servicios financieros, muchas otras industrias también están desarrollando
activamente

Nuevos casos de uso para la tecnología blockchain. En salud, por ejemplo, grandes los
proveedores están explorando formas de usar blockchain para garantizar tanto la
privacidad y precisión de los registros médicos electrónicos de los pacientes, así como la
facturación médica y procesamiento de reclamos. Una de las compañías de seguros más
grandes de China tiene comenzó a asociarse con más de 100 hospitales para usar la
tecnología blockchain para procesar de forma segura los datos del paciente y la
información financiera.

2.- En los Estados Unidos, un La cadena minorista líder ha obtenido una patente para un
sistema diseñado para almacenar registros médicos del paciente a través de blockchain.

3.- Más allá del seguro de salud solo, la industria de seguros más amplia es explorar
aplicaciones de blockchain en una amplia variedad de funciones operativas, incluyendo
manejo de reclamos, subrogación y reaseguro. La tecnología la compañía de investigación
ReportLinker proyecta el mercado global de seguros blockchain es probable que crezca de
un estimado de $ 64.5 millones en 2018 a un proyectado de $ 1.4 mil millones para 2023:
una tasa de crecimiento anual compuesta de casi el 85 por ciento.

Blockchain también está atrayendo considerable atención en la fabricación y operaciones

de distribución que involucran la producción y el movimiento de productos Las
aplicaciones de contrato inteligente pueden permitir la automatización de muchos
procesos rutinarios de gestión de la cadena de suministro, utilizando blockchain para
digitalizar información y luego rastrear los orígenes y la historia de los bienes y materiales.

En agosto de 2018, un grupo de 10 grandes empresas de alimentos anunció una iniciativa,

que usa libros de contabilidad de blockchain para mejorar la seguridad alimentaria al
permitir la inmediata trazabilidad de productos y productos básicos en la cadena
alimentaria.5 Más allá del mero rastreando el manejo de envíos y transacciones,
blockchain ofrece incluso mayores beneficios potenciales cuando se combina con otra
tecnología avanzada sistemas, tales como mecanismos de prueba de agua, sensores y
entrega de precisión sistemas para pesticidas y agua, que pueden conectarse a través de
una red IoT que interactúa con el libro mayor de blockchain.

4.- Si bien los desafíos pueden ser significativos, el número cada vez mayor de uso viable
los casos sugieren que las recompensas potenciales de adoptar la tecnología blockchain
pueden ser dramático, y en muchos casos podría ser francamente transformador. En vista
de esto, la profesión de auditoría interna debe hacer esta pregunta: ¿Cuál será el papel?
de auditores internos a medida que avanza esta tecnología, y cómo puede la profesión
adaptarse para proporcionar el mayor valor a las organizaciones patrocinadoras.

3) Desafíos para la auditoría interna

Aunque no parece haber ningún caso de uso de blockchain específico que tenga
desarrollado para aplicar blockchain a la función de auditoría interna en sí, interna Sin
embargo, los auditores tienen un papel importante que desempeñar en el desarrollo de
blockchain.

La función de auditoría interna deberá evolucionar para abarcar la capacidad de validar

que los componentes individuales de una cadena de bloques funcionan correctamente.
Esta el proceso incluye la validación de permisos de acceso, cifrado y criptografía código,
además de revisar la validación de los códigos de transacción de contratos inteligentes,
funcionalidad y seguridad. El gobierno relevante, la gestión de riesgos y los
procedimientos de control también requerirán consideración de auditoría interna.

Conciencia actual y comprensión

Para evaluar la preparación general de la profesión para esta evolución, el Centro
Ejecutivo de Auditoría del Instituto de Auditores Internos (IIA), en colaboración con
Internal Audit Foundation y Crowe, realizaron una encuesta limitada de IIA miembros. Los
participantes de la encuesta representaron organizaciones de varios tamaños, incluidas
tanto las empresas privadas como las que cotizan en bolsa y el sector público y
organizaciones sin fines de lucro. Hubo una representación significativa de la finanzas y
seguros, manufactura, servicios educativos, transporte, y sectores de la administración
pública.

Como se muestra en el Anexo 1, las operaciones de auditoría interna representadas por

los encuestados abarcaron una amplia gama de tamaños y sofisticación, que van desde
operaciones de una sola persona hasta grandes departamentos de más de 50 empleados.
Los departamentos con entre seis y 10 personas constituyeron el más grande segmento
de la población encuestada.

Anexo 1: departamentos de auditoría interna de los participantes de la encuesta

¿Cuál es el tamaño de su función de auditoría interna?

Las respuestas de la encuesta plantearon preguntas importantes sobre la profesión
preparación para los efectos potencialmente transformadores de la tecnología blockchain.
Por ejemplo, cuando se les preguntó si sus organizaciones ya estaban usando blockchain
en un entorno de producción, o si actualmente tienen o están considerando. Desarrollar
una prueba de concepto o proyecto piloto de tecnología blockchain, tres desde los
encuestados no estaban al tanto de ninguna de estas actividades preparatoria en sus
organizaciones (Anexo 2) Anexo 2: participación actual de blockchain ¿Su empresa usa
blockchain y, de ser así, cómo?

Es posible, por supuesto, que al menos algunas de las organizaciones representadas por
"no" las respuestas en realidad han comenzado el desarrollo de blockchain, pero ellos
encuestados simplemente no lo sabían. En cualquier caso, sin embargo, el alto El número
de respuestas "no" sugiere que la mayoría de la auditoría interna Los profesionales
encuestados tienen poca o ninguna familiaridad con blockchain potencial aplicaciones en
sus organizaciones. Esta impresión se ve reforzada por las respuestas de los participantes
a otra pregunta. Cuando se le pidió que describiera el mayor impedimento para
blockchain adopción en sus empresas, a los encuestados se les permitió proporcionar
Respuestas abiertas y sin guión. Cuando las respuestas sin guión fueron analizadas y
categorizadas, la mayoría de las respuestas describieron una falta básica de comprensión,
revelando que los tomadores de decisiones no sabían ni entendían la tecnología o
reconocer lo que podría hacer por ellos. (Anexo 3)
La falta de comprensión indicada por la encuesta del IIA no es del todo sorprendente,

Dado que la tecnología blockchain aún está en sus fases emergentes. En muchas
instancias,las empresas aún no han visto una razón para adoptar o aprender sobre la
tecnología, porque la adopción en sus industrias no ha sido lo suficientemente visible
como para que sea una alta prioridad.

Aceptación seguida de adopción

Algunos observadores de la industria han comparado el estado de blockchain hoy con el

estado de internet a principios de la década de 1990.7 En su infancia, internet era
considerado como una novedad interesante, en lugar de la herramienta revolucionaria
que tiene volverse. Además, cuando las empresas comenzaron a conectarse, su enfoque
inicial era en aplicaciones de intranet corporativa: con frecuencia, el acceso de los
empleados a la web, el correo electrónico u otros recursos externos estaban prohibidos o
severamente restringidos.

A medida que el acceso a Internet se volvió más útil, y a medida que los protocolos de
seguridad de TI se volvieron más sofisticadas, estas limitaciones fueron gradualmente
levantadas. Finalmente, internet el acceso se convirtió en algo más que útil, se volvió
esencial. Negocios hoy depender de soluciones en la nube para llevar a cabo algunos de
los aspectos más críticos de sus operaciones comerciales, y usan el almacenamiento en la
nube para sus clientes más sensibles registros y documentación. El mismo patrón: duda,
seguido de una limitación aceptación y participación, que culmina en una adopción
generalizada y uso proactivo: muchos lo ven como un escenario probable para el futuro de
blockchain.

A medida que la tecnología gana una mayor aceptación general y una mayor relevancia, y
a medida que los libros de contabilidad de blockchain comienzan a manejar más negocios,
tanto en términos de la cantidad de transacciones y su valor en dólares, será cada vez más
importante para las organizaciones desarrollar políticas y procedimientos integrales que
incorporan protocolos de blockchain y mejores prácticas. Eso significa La auditoría interna
deberá desarrollar procedimientos para evaluar el desempeño de sistemas blockchain.
También será necesario que los auditores internos actualicen su comprensión de los
riesgos internos y externos asociados con procesos de blockchain y para desarrollar
procedimientos de monitoreo relevantes

4) Preparación para la adopción de blockchain

Independientemente de las aplicaciones específicas que se inicien, la adopción de

Blockchain requiere mucho más que la experiencia tecnológica por sí sola. Para la mayoría
organizaciones, el primer paso es verificar si blockchain es realmente la solución más
adecuada para el problema particular que se está abordando.

En el caso comercial de blockchain, los proponentes deben poder demostrar por qué
blockchain sería preferible a usar una base de datos tradicional para función en cuestión.
Además, deben poder demostrar el costo potencial ahorros, mejoras de ingresos o
mejoras cuantificables a otras críticas métricas de negocios.

El aporte y la participación de la auditoría interna en esta etapa se centrarían

principalmente en preocupaciones relacionadas con el gobierno, la seguridad, las políticas
y procedimientos de auditoría, y otros problemas de gestión y control de riesgos. Además,
la auditoría interna debe ser pensando en la estrategia y el caso de negocios para la
adopción de blockchain para para poder ofrecer aportes relevantes.

El grado en que la auditoría interna está involucrada en estos temas variará, dependiendo
de si la organización está desarrollando su blockchain internamente o adoptar la
tecnología de fuentes de terceros. Estas áreas de enfoque pueden estar organizado en un
marco compuesto por cuatro componentes principales:

Recursos y capital humano

La función de auditoría interna debe esperar que la adopción de blockchain requieren

algunos ajustes en términos tanto humanos como organizacionales recursos para que la
auditoría interna continúe cumpliendo con sus responsabilidades.
Además de reclutar candidatos con auditoría interna o contabilidad y antecedentes
financieros, algunos departamentos de auditoría interna pueden considerar expandiendo
sus esfuerzos de reclutamiento para incluir candidatos con cierta técnica habilidades
como la codificación o la ciberseguridad, que es un problema relevante en blockchain
adopción. Además, el uso de empresas externas con habilidades especializadas puede
proporcionar experiencia en ausencia de individuos adecuados en la fuerza laboral.

Debido a que los casos de uso de blockchain a menudo se combinan con otras emergentes
tecnologías, ninguna combinación única de especialidades es ideal para todas las
organizaciones.

Sin embargo, una orientación general hacia la tecnología, particularmente en áreas como
el análisis avanzado, es probable que sea un rasgo atractivo para el futuro interno auditar
profesionales a medida que los procesos comerciales se vuelven cada vez más
automatizados.

Además, por supuesto, los gerentes de auditoría interna deben continuar buscando
recluta con capacidad de pensamiento crítico y resolución de problemas y Fuertes
habilidades de comunicación. La mayoría de los departamentos de auditoría interna ya
valoran estos rasgos Formación especializada relacionada con la aplicación específica de
blockchain.

También es probable que sea necesario, tanto para los nuevos empleados como para el
personal de auditoría interna existente

Identificación de riesgo

En cualquier esfuerzo de gestión de riesgos, identificación precisa y exhaustiva de los

riesgos,es un punto de partida esencial, y esto es cierto cuando se prepara para adopción
de blockchain. Como es el caso con tantos otros factores que involucran blockchain, los
riesgos específicos asociados con la tecnología variarán de un caso de uso al siguiente; sin
embargo, varias áreas de riesgo serían aplicables a casi todas las implementaciones de
blockchain. Éstos incluyen:

• Seguridad de la información del cliente. Como se mencionó anteriormente, proteger la

confidencialidad de la información personal de salud y financiera área de riesgo
regulatorio en servicios financieros y aplicaciones sanitarias.

Además, el Reglamento General de Protección de Datos (GDPR) de la Unión Europea

expande esta protección a todo tipo de información personal. En el de hoy economía
global, las organizaciones de todos los tamaños y tipos podrían encontrar que tienen
exposición a problemas de GDPR. La auditoría interna tendrá un papel importante para
jugar para determinar que las protecciones de confidencialidad existentes se adaptan
como necesario para acomodar la adopción de blockchain, mientras que al mismo tiempo
cumpliendo con los requisitos reglamentarios.

• Complejidad de la red. El riesgo inherente asociado con una cadena de bloques la red
puede variar significativamente dependiendo del número de nodos en el red, presencia o
ausencia de nodos de respaldo y administración juicio sobre si se necesitan tales sistemas
de respaldo. Una cadena de bloques privada compuesta por una docena de vendedores
en una cadena de suministro presenta un perfil de riesgo muy diferente al de una gran
cadena de bloques de atención médica que contiene los registros médicos de miles de
pacientes.

La red realmente puede ayudar a reducir ciertos tipos de riesgo.

Por ejemplo, en una red de muchos miles de usuarios dispersos en un área amplia, el
riesgo de que todos los nodos fallen y provoquen una pérdida de datos se convierte en
minúsculo Sin embargo, la baja probabilidad y los riesgos de alto impacto siguen siendo
importantes.

Debido al impacto extraordinariamente alto que una falla de red tendría en un proceso
empresarial basado en blockchain, esta área de riesgo aún debe abordarse.

Otra área de riesgo relacionada se relaciona con el algoritmo de consenso que la red los
participantes acordaron usar para estructurar y registrar sus transacciones.

Este algoritmo afecta directamente a muchos otros factores, incluida la estructura de

bloques, necesidades de almacenamiento y riesgo de seguridad.

• Modelo de red. Las cadenas de bloques públicas y privadas presentan diferencias

distintivas perfiles de riesgo. Las cadenas de bloques privadas casi siempre tienen menos
nodos que blockchains públicos A medida que se agregan más entidades a una cadena de
bloques, el número de puntos en los que blockchain interactúa con redes que no son
blockchain generalmente aumenta, al igual que el riesgo asociado de violaciones de
seguridad

Otras vulnerabilidades. Variaciones en la seguridad de estas redes conectadas

Los protocolos agregan capas adicionales de exposición al riesgo.

• Contratos inteligentes. A medida que los contratos inteligentes aumentan en

complejidad, con más participantes, instrucciones más detalladas y contrato definido con
mayor precisión hitos, la oportunidad de error también aumenta. Un área en particular de
enfoque implica la interacción del sistema con "oráculos", es decir, "fuera de cadena"
entidades que son proveedores confiables de información crítica.

Considere, por ejemplo, un seguro de cultivo o algún otro tipo de paramétrico. seguro,
que no indemniza a los asegurados por pérdidas específicas pero en su lugar acuerda
hacer el pago cuando ocurra un desencadenante evento, como inundaciones o granizo.
Estos eventos desencadenantes suelen ser verificado por una agencia externa
independiente como el National Weather

Servicio. Cuando dicho seguro se administra a través de un contrato inteligente, el la

agencia externa se conoce como un oráculo, y cualquier riesgo asociado con el El
rendimiento de Oracle también puede integrarse en la cadena de bloques.

En otras palabras, si el oráculo introduce información errónea, ese error contamina toda
la cadena de bloques. Identificación y cuantificación relacionada con el oráculo los riesgos
pueden convertirse fácilmente en uno de los riesgos más difíciles de la auditoría
internadesafíos de evaluación.

• Código. El código que se usa para escribir el software blockchain presenta Otra área de
riesgo que es específica de la adopción de blockchain. El uso de metodologías de
desarrollo de código reconocidas, junto con validación que el código realiza las funciones
necesarias según sea necesario, puede ser útil en Identificar y cuantificar con precisión
este riesgo. La evaluación de riesgos debe También tenga en cuenta la posibilidad de que
un actor malicioso se infiltre en el código de contrato durante el desarrollo,
implementación o mantenimiento.

Esta lista es solo un punto de partida y abarca solo algunos ejemplos de los riesgos.
Asociado con la adopción de blockchain. De hecho, el propósito de esta discusión no es
producir una lista exhaustiva de verificación de identificación de riesgos, sino más bien

Señalar ciertos tipos de riesgo que podrían considerarse exclusivos de blockchain

tecnología. Una evaluación de riesgos más completa en preparación para blockchain la
adopción necesariamente incluiría el espectro completo de la tecnología general
relacionada riesgos, con especial atención al riesgo de ciberseguridad
Procedimientos de control

Cuando una empresa implementa una aplicación blockchain, la auditoría interna necesitan
evaluar los procesos, riesgos y controles relacionados con esa aplicación.

La auditoría interna no necesariamente define los controles, pero sí necesita revisarlos y

probarlos, tanto para evaluar su adecuación como para validar que son

implementado según sea necesario.

Algunos de los elementos de control específicos que deben desarrollarse incluyen:

• Datos. Además de comprender qué tipos de datos se registran en cada bloque de la

cadena, la auditoría interna también debe revisar los volúmenes apropiados (o
rendimiento) y velocidades de transacción (o latencia) para manejar esos datos.

Por ejemplo, un procesador de tarjeta de crédito que maneja millones de transacciones

un día tendrá requisitos y procedimientos de control muy diferentes que un fabricante
que opera una red privada de solo unas pocas docenas de proveedores.

También deberían existir controles para verificar que el algoritmo de consenso - el real
código que valida cada entrada del libro mayor en la cadena de bloques; es apropiado
para el propósito previsto de blockchain y funciona según lo diseñado.

La privacidad de los datos es un área de preocupación relacionada, especialmente en

industrias como como servicios financieros y asistencia sanitaria, en los que la privacidad
del personal

La información es una preocupación regulatoria. La estructura de bloques individuales

permite para que los datos se cifren de forma segura, pero la auditoría interna aún debe
validarse que tales estructuras están en su lugar, adecuadamente empleadas y en
funcionamiento.

En cualquier proceso comercial, traspasos o puntos de transición entre individuos o los

subprocesos son vulnerables a fallas o errores. Esto es cierto en blockchain aplicaciones
también. Los puntos de transición donde interactúa la cadena de bloques con otros
sistemas comerciales convencionales requieren controles adecuados.

• Almacenamiento. Porque la cantidad de datos que se pueden almacenar dentro de cada

bloque en la cadena de bloques puede variar, esta variable necesita ser definida, con la
adecuada controles puestos en su lugar. Además, los controles básicos de
almacenamiento de datos, ya sea in situ o en la nube: también debe establecerse. Porque
una cadena de bloques libro mayor distribuido se almacena en múltiples nodos,
presumiblemente en diversos.

ubicaciones: la recuperación ante desastres y los problemas de continuidad del negocio se

alivian a algun grado. Sin embargo, no se puede decir que tales riesgos se eliminen
completamente. La auditoría interna deberá desarrollar procedimientos para evaluar y
validar los controles básicos de almacenamiento de datos, así como verificar que sea
relevante. Los planes y recursos de continuidad del negocio están en su lugar.

• Acceso. Controlar el acceso a blockchain es un área crítica de preocupación para fines de

privacidad e integridad de datos. Esta preocupación es especialmente cierta para
blockchains privados o autorizados, en los que un administrador central limita acceso solo
a usuarios autorizados.

Una forma en que una cadena de bloques mantiene la seguridad de las transacciones es a
través del público y claves privadas: esencialmente números enteros grandes que están
representados usando una serie de letras y números. Las claves públicas a veces se
comparan a un número de cuenta bancaria, mientras que las claves privadas son
comparables a contraseña utilizada para acceder a la cuenta. Estas claves deben estar
encriptadas y almacenado de forma segura, con procedimientos de control adecuados que
limitan el acceso.

Es probable que la mayoría de las blockchains privadas otorguen diferentes niveles a

diferentes usuarios de permiso de acceso, dependiendo de su función. De nuevo, cada
compañía o el consorcio deberá definir los niveles de permisos para cumplir con los suyos
requisitos, pero los permisos y el acceso son siempre áreas de preocupación en cualquier
proceso de auditoría de TI. La adecuación e implementación de estos accesos los controles
deben ser evaluados y verificados por auditoría interna.

Gestión de riesgos y mitigación

Así como la discusión anterior no debe considerarse un intento de producir un marco

integral de identificación de riesgos, la mitigación de riesgos los puntos discutidos aquí
deben considerarse solo un punto de partida para organizaciones que lanzan una gestión
de riesgos más completa y personalizada y programa de mitigación de riesgos.

Uno de los componentes más críticos de dicho programa gira en torno a la seguridad
cibernética. La introducción de la tecnología blockchain también crea la necesidad para
mejoras adicionales de ciberseguridad. Estos incluyen la aplicación reconocida prácticas
de ciberseguridad para la validación de nodos permitidos, así como para validar buenas
prácticas de ciberseguridad en el desarrollo de contratos inteligentes y la gestión de
interacciones externas necesarias que estarán involucradas en el proceso. Idealmente, la
auditoría interna debería tener acceso a recursos que sean capaces de evaluando la
estructura de los bloques mismos para verificar que realmente son características
inmutables y criptográficas necesarias, como publico y Las claves privadas y las firmas
digitales funcionan y son seguras.

A un alto nivel, las posibles consideraciones para la auditoría interna incluyen:

• Gobierno. La gobernanza incluye cuestiones como la seguridad de la clave privada

directrices, definición de operaciones estándar, procedimientos para agregar y eliminar
nodos, y varios componentes de firma digital y algoritmos de verificación

• Gestión de riesgos. La gestión de riesgos abarca los riesgos específicos. Discutido

anteriormente, como almacenamiento de claves privadas y seguridad, contrato inteligente

Monitoreo de errores de código y manipulación, interacción con no blockchain entidades

y almacenamiento de datos fuera de la cadena.

• Procedimientos de control. Los procedimientos de control incluyen la gestión de la red.

Acceso, acciones de red específicas, acuerdo de nodos, pedidos y ejecución de
transacciones, y el mantenimiento de versiones y contenido de bloque actual.

Además de la supervisión de contratos inteligentes en tiempo real, la mayoría de las

organizaciones: particularmente aquellos que deben responder a grandes grupos de
accionistas – también requieren auditorías e informes de forma regular para demostrar
que los sistemas están funcionando según lo previsto. Estas actividades también deben
incorporarse en La estrategia y el plan de auditoría interna a largo plazo.
 Conclusión
Cuando la tecnología blockchain comenzó a expandirse más allá del ámbito de
criptomonedas, algunos observadores cuestionaron si podría llegar el día cuando las
auditorías financieras y la certificación independiente ya no serían necesario porque todas
las transacciones se realizarían de manera incorruptible blockchains En menor grado,
surgieron especulaciones similares sobre el riesgo, deberes de gestión de los auditores
internos. En ambos casos, pronto se convirtió en claro que estas conjeturas eran
inexactas.

Para estar seguros, parte del trabajo realizado rutinariamente por auditoría interna, como
puede parecer que las diferencias de conciliación entre varios libros de contabilidad o
registros ser redundante para el observador casual: después de todo, en un entorno
blockchain, los participantes están usando exactamente los mismos libros de contabilidad.
Pero, como reciente exitoso ataques de piratas informáticos en redes de criptomonedas
han demostrado, 8 seguridad blockchain no es infalible, un hecho que pone en duda otras
suposiciones sobre la inmutabilidad y seguridad de contratos inteligentes y otras
aplicaciones blockchain.

A medida que las aplicaciones blockchain se vuelven más comunes, las responsabilidades
de Es probable que la función de auditoría interna se expanda de manera importante.
Interno la auditoría necesitará desarrollar políticas y procedimientos para validar el
correcto función de las redes blockchain. También recaerá en la auditoría interna para
validar que las versiones del libro mayor se actualizan correctamente en todos los nodos,
esos nodos son apropiados asegurado, y que el algoritmo de consenso es válido y se aplica
consistentemente.

Dichas tareas requerirán un nivel bastante significativo de experiencia tecnológica, ya sea

dentro del departamento de auditoría interna o disponible de proveedores externos
confiables.

Por lo menos, las habilidades existentes de auditoría de proyectos de TI deberán

mejorarse y adaptado a través de la capacitación adecuada en temas relacionados con
blockchain tecnología. Algunos proveedores de software ya están enfocados en crear
tecnología para evaluar la seguridad del oráculo, por ejemplo, junto con productos que
proporcionan monitoreo en tiempo real de los volúmenes de contratos inteligentes para
advertir a los administradores de picos sospechosos o caídas en la actividad. La capacidad
de evaluar, seleccionar e implementar dicho software muy probablemente será otro
técnico capacidad que el gerente de auditoría interna debe buscar al reclutar nuevos
talento o capacitación del personal existente.
Aunque las respuestas de la encuesta y las interacciones de la industria sugieren muchas
auditorías internas los departamentos aún no están completamente preparados para
estos cambios dramáticos.

Las organizaciones están adoptando esta tecnología y encontrando beneficios comerciales

reales para la inversión. Mientras lo hacen, la profesión de auditoría interna se verá
desafiada para adaptarse rápidamente, pero también revitalizado por la oportunidad de
tomar un liderazgo papel en a yudar a sus organizaciones a absorber y aplicar esta nueva
tecnología.
 Bibliografia
Mappo, "Lista completa de bancos que utilizan la tecnología Blockchain",
hackernoon.com, 20 de agosto de 2018, https://hackernoon.com/comprehensive-list-of-
banks-using-blockchain-technology- 97c08fa88385

2 Joseph Young, "Tencent y el gigante de seguros de Alibaba está utilizando Blockchain

con 100 hospitales" CCN.com, 1 de junio de 2018, https://www.ccn.com/tencent-and-
alibabas-insurance-giant-is-usingblockchain- con 100 hospitales

3 Ana Alexandre, "Walmart obtuvo la patente para el sistema de registros médicos basado
en blockchain" Cointelegraph.com, 23 de junio de 2018,
https://cointelegraph.com/news/walmart-awards-patent-forblockchain- sistema de
registros médicos basado

4 "Blockchain en el mercado de seguros por proveedor, aplicación, tamaño de

organización y región – Global Forecast to 2023 ", ReportLinker, julio de 2018,
https://www.reportlinker.com/p05474768/Blockchain-In-Seguros-Mercado-por-
roveedor-Solicitud-Organización-Tamaño-y-Región-Global-Forecast-to.html

5 La asociación "Food Trust" utiliza Blockchain para aumentar la seguridad alimentaria ",
Noticias de la UIT, 21 de agosto de 2018, https://news.itu.int/food-trust-blockchain-food-
safety

6 Jenny Splitter, “¿Qué puede hacer realmente Blockchain para la industria alimentaria?”
Forbes, 30 de septiembre de 2018 industria/

7 Joichi Ito, Neha Narula, Robleh Ali, “The Blockchain le hará al sistema financiero lo que
Internet Did to Media ”, Harvard Business Review, 9 de marzo de 2017,
https://hbr.org/2017/03/the-blockchain-willdo- a los bancos y bufetes de abogados lo que
Internet hizo a los medios

8 Mike Orcutt, "Una vez aclamado como inquebrantable, las cadenas de bloques ahora
están siendo pirateadas", Tecnología MIT Revisión, 19 de febrero de 2019,
https://www.technologyreview.com/s/612974/once-hailed-as-unhackableblockchains-
ahora están siendo hackeados /