Donde no hay confianza no hay comercio

Hace algún tiempo, algo se movió en el campo de los servicios de auditoría en relación con el comercio electrónico en web. Como era de esperar, empezó al otro lado del Atlántico, tirando hacia el norte. Ese movimiento ha llegado a la UE, España incluida.
JOSÉ DE LA PEÑA SÁNCHEZ
Auditor Censor Jurado de Cuentas
y Licenciado en Informática
info@codasic.com
No teman, que no nos vamos a referir en esta entrega al espinoso asunto de la independencia de los auditores independientes, hoy en plena efervescencia entre la SEC y la AICPA.
AICPA (el American Institute of Certified Public Accountans) y CICA (sus colegas de Canadá), en colaboración con VeriSign –compañía legendaria en, entre otros, el terreno de los ‘servidores seguros’, que está preparando su desembarco en nuestro país– han desarrollado el denominado servicio WebTrust, «que pretende aportar una garantía sobre la ‘privacidad’ de las transacciones comerciales» en web, o lo que es casi lo mismo, contribuir a la confianza de las personas en las buenas prácticas en el tratamiento de datos personales que apliquen las empresas con actividades de comercio electrónico B2C. (Este asunto en España suena a LOPD, a Reglamento y a Agencia de Protección de Datos. En USA, simplemente, lo ven de otra manera. Lo ven más privado, más «puerto seguro», más… ¡WebTrust!). ¿O no?
El servicio, en todo caso incipiente, «cumple las principales recomendaciones y regulaciones de la OCDE, la UE (¿?) y el Global Business Dialogue for E-Commerce, así como otras disposiciones relevantes de Canadá y USA. Su implantación se ha iniciado, lógicamente, en estos dos países; pero después se han ido sumando algunos de por aquí: Reino Unido, Irlanda, Francia, Alemania, Holanda y Dinamarca, y otros más lejanos: Australia y Hong-Kong (hoy China). En el caso de España hay un acuerdo, en el que se está profundizando, entre AICPA/CICA y el Instituto de Auditores Censores Jurados de Cuentas de España (IACJE) para adherirse a WebTrust. Los miembros de IACJE interesados en prestar sus servicios en el contexto lo harían en España con carácter exclusivo. No obstante, conviene indicar que AICPA ha dado autorización mundial a algunas compañías de auditoría de cuentas para ofrecer este servicio en sus mercados, concretamente a más de doscientas, entre las que se encuentran Arthur Andersen, Deloitte & Touche, Ernst & Young, KPMG y PricewaterhouseCoopers. Sin comentarios.
Llegados a este punto quizá convenga intentar aclarar en qué consiste el invento. WebTrust en un servicio, centrado inicialmente en la modalidad de B2C, en virtud del cual un auditor autorizado, tras realizar una auditoría específica al cliente aplicando la Norma AICPA/CICA-Web Trust, enfocada a dar su opinión profesional sobre las buenas prácticas en seguridad, ‘privacidad’ y otras de la empresa X en el contexto de su actividad de comercio-e, y tras comprobar que el servidor web de dicha empresa es seguro, puede autorizar (quizá no sea la palabra adecuada) a que en sus páginas web aparezca un sello WebTrust, pero sólo si el informe es «sin salvedades». Ese sello será valedero durante un plazo inferior a tres meses, salvo cambios relevantes en dicho periodo, y si una persona que se conecta al web de la citada empresa X, ve el sello y lo ‘pincha’, aparecerá una información simplificada del Informe del auditor (la información necesaria garante de la confianza amparada por la auditoría WebTrust según la Norma AICPA/CICA). Dicha persona, entonces, puede ‘confiar’ en que si compra algún bien que en dicho web se le ofrezca, las cosas irán bien.
Lo del sello no es una idea nueva. Lo que hay detrás de el sí, porque afecta de lleno a asuntos tremendamente delicados de formación, reciclaje y renovación profesional en el contexto de la práctica de la actividad de auditoría, en la que tanta ventaja nos sacan los anglosajones.
A primera vista aparecen cambios y tendencias dignas de mención:
– Se empieza a detectar la necesidad de la Auditoría Continua, ya que el periodo de validez tiende a reducirse, sobre todo por razones de seguridad.
– El Informe de auditoría, hasta ahora un documento en papel, pasa a ser presentado en sitio web (conviene recordar la Guía ISACA sobre el Informe en lo referente a soporte).
Además, el comercio electrónico está provocando un cambio sustantivo de orientación en la auditoría: pasar de lo que se hizo (historia) a lo que se hace (presente) y, quizá, a lo que se podrá hacer. La secuencia nos lleva de la historia a la prospectiva.
En esencia, el comercio electrónico presenta tres áreas principales de riesgo: las partes involucradas en la transacción (la más débil suele ser el comprador), las diversas seguridades que han de operar sobre los documentos electrónicos para que puedan considerarse razonablemente válidos, y la transacción electrónica y el intercambio de información privada y/o confidencial y su tratamiento. Queda patente, pues, la utilidad de contar con una tercera parte independiente y confiable, por ejemplo, un auditor, que es una persona, no un ingenio informático programable.
El profesional WebTrust fundamentalmente dictamina u opina sobre:
– La transparencia de las prácticas comerciales
– La integridad de las operaciones de comercio electrónico
– La protección relativa a clientes, todo ello con un conocimiento comprensivo de:
– Una norma de trabajo
– Un cuestionario de evaluación de la empresa
– Una guía de auditoría
– Unas normas de informe
– Unos modelos de propuesta de servicios
Si como resultado de la auditoría se emite un informe «sin salvedades» o «limpio», el cliente podrá utilizar el Sello WebTrust, y si el informe contiene salvedades, muy sencillo: no hay sello. Las cosas claras y…, ser o no ser, blanco o negro, nada de la escala de grises. (Más información a este y otros efectos en www.cpawebtrust.org)
Con el antecedente del IFAC «Electronic Commmerce Trends, Technology and Security, Control and Audit Implications», el Grupo ECWAT (European Consortium Web Assurance and Trust), participado por corporaciones profesionales de Reino Unido, Francia, Italia, Holanda , España y la Universidad de Amsterdam, la implantación del sello WebTrust, con su consiguiente énfasis en seguridad y confianza en la web, puede encontrar en la UE un terreno propicio. No obstante, la reciente directiva sobre comercio electrónico y la futura legislación española en la materia es de esperar que perfeccionen algunos aspectos diferenciales entre USA y la UE.
Sobre determinadas partes del Sello WebTrust, y en lo relativo a la Protección de Datos de Carácter Personal y al Reglamento (otra vez nos llegan aromas a «puerto seguro»), tendrán que estudiarse ciertos paralelismos (documento de seguridad en sus tres niveles, auditoría en los niveles medio y alto). WebTrust afecta, como queda dicho, al comercio electrónico B2C (que alguna vez arrancará), y ya se sabe que el plazo para hacer la auditoría obligatoria (accesible a la Agencia de Protección de Datos) empezó el 25-06-2000 y terminará el 24-06-2002.
En lo que concierne al Instituto de Contabilidad y Auditoría de Cuentas (ICAC) y sus NTA (Normas Técnicas de Auditoría), de obligado cumplimiento por los miembros del Registro Oficial de Auditores de Cuentas (ROAC), en necesario recordar algunas, tales como.
– NTA/ICAC de 15-6-2000 sobre «Errores e irregularidades».
– NTA/ICAC de 15-6-1999 sobre «Carta de manifestaciones de la Dirección»
– NTA/ICAC de 16-6-2000 sobre «Cumplimiento de la normativa a la entidad auditada», en periodo de alegaciones.
– NTA/ICAC de 20-12-1996 sobre «Utilización del trabajo de expertos independientes».
Otra serie de paralelismos pudiera suscitarse sobre las auditorías de calidad ISO9000, necesarias para el aseguramiento de la calidad sobre áreas concretas o la totalidad de la empresa.
Para finalizar, quizá merezca la pena resaltar un hecho tremendamente importante, relacionado con el IACJCE y con los miembros del IACJCE que en el futuro estén involucrados en Web Trust: la seguridad en TIC es ya una disciplina muy compleja y muy dinámica, que además padece los problemas de otras áreas en materia de normas y estándares (por ahora). Por ello hay que formarse a conciencia. Esto, aunque costoso en esfuerzo, contribuirá a incrementar el conocimiento de los auditores.

Documento en PDF
 

<volver