No
teman, que no nos vamos a referir en esta entrega al espinoso asunto de
la independencia de los auditores independientes, hoy en plena efervescencia
entre la SEC y la AICPA.
AICPA (el American Institute of Certified Public Accountans) y CICA
(sus colegas de Canadá), en colaboración con VeriSign
compañía legendaria en, entre otros, el terreno de los
servidores seguros, que está preparando su desembarco
en nuestro país han desarrollado el denominado servicio WebTrust,
«que pretende aportar una garantía sobre la privacidad
de las transacciones comerciales» en web, o lo que es casi lo mismo,
contribuir a la confianza de las personas en las buenas prácticas
en el tratamiento de datos personales que apliquen las empresas con actividades
de comercio electrónico B2C. (Este asunto en España suena
a LOPD, a Reglamento y a Agencia de Protección de Datos. En USA,
simplemente, lo ven de otra manera. Lo ven más privado, más
«puerto seguro», más
¡WebTrust!). ¿O
no?
El servicio, en todo caso incipiente, «cumple las principales recomendaciones
y regulaciones de la OCDE, la UE (¿?) y el Global Business Dialogue
for E-Commerce, así como otras disposiciones relevantes de Canadá
y USA. Su implantación se ha iniciado, lógicamente, en estos
dos países; pero después se han ido sumando algunos de por
aquí: Reino Unido, Irlanda, Francia, Alemania, Holanda y Dinamarca,
y otros más lejanos: Australia y Hong-Kong (hoy China). En el caso
de España hay un acuerdo, en el que se está profundizando,
entre AICPA/CICA y el Instituto de Auditores Censores Jurados de Cuentas
de España (IACJE) para adherirse a WebTrust. Los miembros de IACJE
interesados en prestar sus servicios en el contexto lo harían en
España con carácter exclusivo. No obstante, conviene indicar
que AICPA ha dado autorización mundial a algunas compañías
de auditoría de cuentas para ofrecer este servicio en sus mercados,
concretamente a más de doscientas, entre las que se encuentran Arthur
Andersen, Deloitte & Touche, Ernst & Young, KPMG y PricewaterhouseCoopers.
Sin comentarios.
Llegados a este punto quizá convenga intentar aclarar en qué
consiste el invento. WebTrust en un servicio, centrado inicialmente en la
modalidad de B2C, en virtud del cual un auditor autorizado, tras realizar
una auditoría específica al cliente aplicando la Norma AICPA/CICA-Web
Trust, enfocada a dar su opinión profesional sobre las buenas prácticas
en seguridad, privacidad y otras de la empresa X en el contexto
de su actividad de comercio-e, y tras comprobar que el servidor web de dicha
empresa es seguro, puede autorizar (quizá no sea la palabra adecuada)
a que en sus páginas web aparezca un sello WebTrust, pero sólo
si el informe es «sin salvedades». Ese sello será valedero
durante un plazo inferior a tres meses, salvo cambios relevantes en dicho
periodo, y si una persona que se conecta al web de la citada empresa X,
ve el sello y lo pincha, aparecerá una información
simplificada del Informe del auditor (la información necesaria garante
de la confianza amparada por la auditoría WebTrust según la
Norma AICPA/CICA). Dicha persona, entonces, puede confiar en
que si compra algún bien que en dicho web se le ofrezca, las cosas
irán bien.
Lo del sello no es una idea nueva. Lo que hay detrás de el sí,
porque afecta de lleno a asuntos tremendamente delicados de formación,
reciclaje y renovación profesional en el contexto de la práctica
de la actividad de auditoría, en la que tanta ventaja nos sacan los
anglosajones.
A primera vista aparecen cambios y tendencias dignas de mención:
Se empieza a detectar la necesidad de la Auditoría Continua,
ya que el periodo de validez tiende a reducirse, sobre todo por razones
de seguridad.
El Informe de auditoría, hasta ahora un documento en papel,
pasa a ser presentado en sitio web (conviene recordar la Guía ISACA
sobre el Informe en lo referente a soporte).
Además, el comercio electrónico está provocando un
cambio sustantivo de orientación en la auditoría: pasar de
lo que se hizo (historia) a lo que se hace (presente) y, quizá, a
lo que se podrá hacer. La secuencia nos lleva de la historia a la
prospectiva.
En esencia, el comercio electrónico presenta tres áreas principales
de riesgo: las partes involucradas en la transacción (la más
débil suele ser el comprador), las diversas seguridades que han de
operar sobre los documentos electrónicos para que puedan considerarse
razonablemente válidos, y la transacción electrónica
y el intercambio de información privada y/o confidencial y su tratamiento.
Queda patente, pues, la utilidad de contar con una tercera parte independiente
y confiable, por ejemplo, un auditor, que es una persona, no un ingenio
informático programable.
El profesional WebTrust fundamentalmente dictamina u opina sobre:
La transparencia de las prácticas comerciales
La integridad de las operaciones de comercio electrónico
La protección relativa a clientes, todo ello con un conocimiento
comprensivo de:
Una norma de trabajo
Un cuestionario de evaluación de la empresa
Una guía de auditoría
Unas normas de informe
Unos modelos de propuesta de servicios
Si como resultado de la auditoría se emite un informe «sin
salvedades» o «limpio», el cliente podrá utilizar
el Sello WebTrust, y si el informe contiene salvedades, muy sencillo: no
hay sello. Las cosas claras y
, ser o no ser, blanco o negro, nada
de la escala de grises. (Más información a este y otros efectos
en www.cpawebtrust.org)
Con el antecedente del IFAC «Electronic Commmerce Trends, Technology
and Security, Control and Audit Implications», el Grupo ECWAT (European
Consortium Web Assurance and Trust), participado por corporaciones profesionales
de Reino Unido, Francia, Italia, Holanda , España y la Universidad
de Amsterdam, la implantación del sello WebTrust, con su consiguiente
énfasis en seguridad y confianza en la web, puede encontrar en la
UE un terreno propicio. No obstante, la reciente directiva sobre comercio
electrónico y la futura legislación española en la
materia es de esperar que perfeccionen algunos aspectos diferenciales entre
USA y la UE.
Sobre determinadas partes del Sello WebTrust, y en lo relativo a la Protección
de Datos de Carácter Personal y al Reglamento (otra vez nos llegan
aromas a «puerto seguro»), tendrán que estudiarse ciertos
paralelismos (documento de seguridad en sus tres niveles, auditoría
en los niveles medio y alto). WebTrust afecta, como queda dicho, al comercio
electrónico B2C (que alguna vez arrancará), y ya se sabe que
el plazo para hacer la auditoría obligatoria (accesible a la Agencia
de Protección de Datos) empezó el 25-06-2000 y terminará
el 24-06-2002.
En lo que concierne al Instituto de Contabilidad y Auditoría de Cuentas
(ICAC) y sus NTA (Normas Técnicas de Auditoría), de obligado
cumplimiento por los miembros del Registro Oficial de Auditores de Cuentas
(ROAC), en necesario recordar algunas, tales como.
NTA/ICAC de 15-6-2000 sobre «Errores e irregularidades».
NTA/ICAC de 15-6-1999 sobre «Carta de manifestaciones de la
Dirección»
NTA/ICAC de 16-6-2000 sobre «Cumplimiento de la normativa a
la entidad auditada», en periodo de alegaciones.
NTA/ICAC de 20-12-1996 sobre «Utilización del trabajo
de expertos independientes».
Otra serie de paralelismos pudiera suscitarse sobre las auditorías
de calidad ISO9000, necesarias para el aseguramiento de la calidad sobre
áreas concretas o la totalidad de la empresa.
Para finalizar, quizá merezca la pena resaltar un hecho tremendamente
importante, relacionado con el IACJCE y con los miembros del IACJCE que
en el futuro estén involucrados en Web Trust: la seguridad en TIC
es ya una disciplina muy compleja y muy dinámica, que además
padece los problemas de otras áreas en materia de normas y estándares
(por ahora). Por ello hay que formarse a conciencia. Esto, aunque costoso
en esfuerzo, contribuirá a incrementar el conocimiento de los auditores. |