FACES VOLUMEN XVII Nº 2 EL WEBTRUST Y LA AUDITORÍA WEB ESTAMOS PREPARADOS PARA LOS NUEVOS CAMBIOS TECNOLÓGICOS? Por: Karla Torres Katopo@yahoo.com Faces, Universidad de Carabobo RESUMEN: Con este artículo se pretende dar a conocer los cambios tecnológicos más recientes en materia de auditoría en la web. Es el resultado de un análisis realizado a las páginas Web encontradas, las cuales son pocas debido a que es un tema de reciente exploración. El Webtrust es un servicio proporcionado por contadores públicos para determinar si un servidor Web sigue ciertos principios que garanticen que estas páginas Web sean seguras para navegar, lo cual está respaldado por un Informe Favorable de Auditoría Independiente. Se concluye que todo este proceso tecnológico, está constituido como una herramienta competitiva para las empresas que se dedican a incursionar en el comercio electrónico, generando confianza a los usuarios destinados al uso del bien o servicio, permitiendo la expansión del mercado y creando así mayores retos al área de Auditoría. Palabras Clave: Webtrust, auditoría en la Web, comercio electrónico, sistemas informáticos, internet. ABSTRACT: This article is intended to present the recent technological changes, which is the result of the analysis made of those few websites found, in reason that this is a subject not yet widely explored; therefore as Professionals Public Accountants, we all should be updated to all technological changes that approach in time, as for example, the WebTrust and audit process of websites. The WebTrust is a service provided by public accountants to determine if a web server is according to certain principles and criteria that guarantee these websites are secure and reliable; this seal is supported by a Favorable Report of Independent Audit Process. Concluding, all this technological process become a competitive tool to those businesses dedicated to e-commerce, providing confidence to the final users of the service, allowing the expansion of the market and creating greater challenges to the area of audit process. Key Words: Web trust, auditing websites, e-commerce, data processing systems, internet. 211
Karla Torres Introducción Como profesionales y docentes que somos, debemos realizarnos la siguiente interrogante: Qué tan preparados estamos los Contadores Públicos de Venezuela en tecnologías de Información y comunicación (TIC)? Estamos a la altura de los cambios tecnológicos que se avecinan con relación a otros países? Debido a la globalización los mercados internos y externos han experimentado una acelerada transformación en todas las áreas de negocios; hoy en día a través de Internet ha hecho que los empresarios usen los Sistemas Informáticos, constituyéndose en herramientas significativas en sus actividades operacionales y financieras, donde estas organizaciones modernas se están reestructurando a fin de modernizar sus operaciones y simultáneamente aprovechar los avances en tecnologías de información a fin de mejorar su posición competitiva. La alta velocidad con la cual se procesan las transacciones, el comercio electrónico de datos, la comunicación sobre Internet, y muchos otros factores, han causado que en toda organización, la información y los datos en los cuales se apoyan se tornen cada día más y más importantes. Actualmente, llegar a saber el grado de fiabilidad que posee la información que llega a la población resulta muy complicado. No es ninguna novedad que los medios de comunicación filtren la información y la transformen según las corrientes del momento. Pues bien, si desde siempre hay conciencia de estos hechos se debe tener la certeza de que en Internet ocurre exactamente lo mismo. Si bien los medios de comunicación, en mayor o menor medida son observados por el ojo crítico de la sociedad e incluso controlados en cierta medida por el Estado, Internet resulta bastante difícil de controlar; pero Venezuela, aun como país emergente ante estos cambios, la transformación de los mercados y por los altos riesgos en su economía interna, no escapa de esta actualidad globalizada, por lo que hoy en día ya existe el Decreto con rango y fuerza de Ley sobre Mensajes de Datos y Firmas Electrónicas publicado en Gaceta Oficial Nro.37.148 del 28 de febrero de 2001 Decreto Nro.1.024 el cual expresa en el artículo Nro.1 su objeto primordial «otorgar y reconocer eficacia y valor jurídico a la Firma Electrónica, al Mensaje de Datos y a toda la información inteligible en formato electrónico, independiente de su soporte material, atribuible a personas naturales o jurídicas, publicas o privadas, así como regular todo lo relativo a los Proveedores de Servicios de Certificación y los Certificados Electrónicos.» Adicionalmente se encuentra la Ley especial contra Delitos publicado en Gaceta Oficial Nro.37.313 del 30 de Octubre del 2001, en cuyo artículo Nro.1 expresa por objeto «la protección integral de los sistemas que utilicen tecnologías de información, así como la prevención y sanción de los delitos cometidos contra tales sistemas o cualquiera de sus componentes o los cometidos mediante el uso de dichas tecnologías». Lo anteriormente expuesto, constituye un avance, ya que hace énfasis en adoptar un marco normativo legal que avale los desarrollos tecnológicos sobre seguridad en materia de comunicación y negocios electrónicos en Venezuela. 212
El Webtrust y la Auditoría Web Estamos preparados para los nuevos cambios tecnológicos? Ahora bien, cabe destacar que a raíz de toda esta era tecnológica, los Contadores Públicos deben estar en continua formación atendiendo a estos cambios, debido a que cualquier problema que se presente en los Sistemas de Información, repercute instantáneamente en la totalidad de una empresa y afecta su financiamiento normal, como por ejemplo las tareas de contabilidad financiera dependen de lo que pasa en un computador y requieren con mayor relevancia de una Auditoría especializada en tecnología de la información regulada por estándares internacionales de Auditoría informática. En este sentido Wilingham (1982) plantea lo siguiente: «el auditor debe conocer suficientemente el computador para poder hacer su propio estudio y evaluación de controles en un sistema de computación» (p.150). Adicionalmente los métodos y procedimientos utilizados por los auditores hoy en día son cada vez más acentuados por técnicas de Auditorías asistidas por un computador, lo cual permiten intercambiar datos en un formato normalizado entre sistemas informáticos reduciendo al mismo tiempo la intervención manual, gracias a la proliferación de sistemas EDI (intercambio electrónico de datos que consiste en transmitir electrónicamente documentos contables entre aplicaciones informáticas en un formato; es decir, como un programa de correo electrónico) y el XBRL (protocolo de seguridad en el que se desarrollan cada vez más operaciones mercantiles) a través del comercio electrónico, que es el nuevo marco de negocios globales. Es por tal razón que Defliese, Jonson y Mcleod (1984), plantean que: La computadora ha llegado a ser a tal grado parte integrante y aceptada de los negocios y de la contabilidad, que es reconocida universalmente como uno de los más importantes adelantos tecnológicos del siglo XX. Su efecto en los métodos de los negocios modernos ha sido drásticamente rápido y de gran alcance; sus aplicaciones van en aumento, tanto en número como en sofisticación. (p.163) Entonces hay que preguntar: Con tanta invasión y terminología electrónica se sabe que existe el WEBTRUST y que está relacionado con los Contadores Públicos, y ligado a la rama de Auditoría? Para contestar a la interrogante, el Webtrust es un servicio proporcionado por Contadores colegiados para determinar si un servidor Web sigue ciertos principios exigidos. Los servidores Web que cumplan estos requisitos reciben un logotipo y diploma que pueden exhibir en su pagina Web y que tienen validez de noventa días por lo que se debe pasar por frecuentes Auditorías. En otras palabras el Webtrust es un sello de garantía, confianza, calidad y seguridad que se concede a una pagina web de una empresa que previamente ha obtenido un informe favorable de Auditoría independiente, al cumplir durante un cierto período de tiempo los criterios y principios webtrust establecidos por las entidades promotoras y licenciadas del sello. 213
Karla Torres El sello webtrust Fue creado por las más importantes agrupaciones de auditores de Estados Unidos y Canadá en el año de 1997, desarrollándose, perfeccionándose y extendiéndose desde entonces a otros países a través de sus agrupaciones de auditores correspondientes. Los institutos promotores del mismo son: American Institute of Certified Public Accountants, y Canadian Institute of Chartered Accountants. Actualmente los servicios Webtrust son ofrecidos por los institutos profesionales de 19 países: Alemania, Argentina, Australia, Belgica, Canadá, Dinamarca, Estados Unidos, España, Francia, Gran Bretaña, Holanda, Hong-Kong, Irlanda, Israel, Italia, Nueva Zelanda, Puerto Rico y Suecia. Desde el año 1997 se han desarrollado y mejorado los principios y criterios que deben cumplir un sitio web para que obtenga el sello, a la vez que han ido otorgando licencias a los colectivos mas representativos de Auditores en los principales países de todo el mundo que han iniciado el proceso de desarrollo de la nueva actividad para los auditores de dichos países. (http://www.webtrust.es) Un ejemplo de esto es el Colegio de Contadores Públicos Autorizados de Puerto Rico (http://www.prscpa.org) que ha obtenido un certificado Webtrust, cuyo estilo de informe de Auditoría es el siguiente: «Hemos examinado la afirmación de la gerencia del Colegio de Contadores Públicos de Lima acerca de la divulgación de sus practicas comerciales en su pagina interactiva para el comercio electrónico y la efectividad de sus controles para garantizar la integridad de las transacciones y la protección de la información utilizada para el comercio electrónico (en www.prscpa.org) durante el periodo del 01 de junio de XXXX al 31 de agosto de XXXX».»En nuestra opinión, durante este período el Colegio, en todos sus aspectos significativos: divulgó sus prácticas comerciales para el comercio electrónico y procesó las transacciones de acuerdo con las prácticas comerciales divulgadas, mantuvo controles efectivos que permiten afirmar, con certeza razonable, que las transacciones realizadas por los clientes a través del comercio electrónico fueron completadas y facturadas según lo acordado, y mantuvo controles efectivos que le permiten afirmar, con certeza razonable que la información privada de clientes obtenida como resultado del comercio electrónico fue protegida de usos no relacionados al comercio del Colegio». Esto significa que dicho servidor es un lugar seguro para navegar y realizar transacciones «on-line». Como otro ejemplo se tiene a empresas que han solicitado la certificación por parte de Auditores para obtener el sello Webtrust en sus páginas Web, y así ofrecer sus servicios on-line, entre ellas están: 1.- Certicámara: Una empresa cuya finalidad es apoyar a Colombia al desarrollo de los negocios electrónicos y para crear un marco jurídico que genere seguridad entre los usuarios del sector empresarial, como experta en certificación de empresas y en el conocimiento de 214
El Webtrust y la Auditoría Web Estamos preparados para los nuevos cambios tecnológicos? la ley, la cual está sometida al control y vigilancia de la Superintendencia de Industria y Comercio y cumple con los más altos estándares tecnológicos y de seguridad. Adicionalmente ha amparado la prestación de los servicios de certificación digital, donde los asegurados y beneficiarios son los suscriptores y usuarios de los servicios de certificación digital que brinda seguridad y garanticen las transacciones, comunicaciones y operaciones electrónicas (en Internet). http://www.certicamara.com 2.- Internet Publishing Services, S.L: Opera como una Autoridad de Certificación (AC) raíz, emite únicamente certificados para Autoridades de Certificación Encadenadas (CAC). http:/ /www.ips.es/ 3.- Cómodo Grupo: Es especialista líder en seguridad electrónica y es proveedor de las soluciones sobre seguridad electrónica de la próxima generación, validación de servicios, soluciones de encriptación y seguridad de aplicaciones o software. http:// www.comodogroup.com A partir de lo anterior, cabe preguntarse: Porque certificarse? La certificación digital es un sistema que garantiza la identidad y otras calificaciones de una persona que actúa a través de una red informática. La certificación digital permite garantizar: - Identidad y capacidad de las partes que tratan entre sí sin conocerse (emisor y receptor del mensaje). - Confidencialidad de los contenidos de los mensajes (ni leídos, ni escuchados por terceros). - ntegridad de la transacción (no manipulada por terceros). - Irrefutabilidad de los compromisos adquiridos (no repudiación). Mientras que el Certificado Digital permite a su titular: - Identificarse ante terceros - Firmar documentos electrónicamente - Evitar la suplantación de la identidad - Proteger la información transmitida - Garantizar la integridad de la comunicación entre las partes Principios que hay que cumplir para obtener el sello webtrust (http://www.webtrust.es/ principios.htm) 1.- Principio de Privacidad On-Line: Este principio establece que la empresa cumpla con la legalidad vigente y que ofrezca la confianza necesaria y suficiente al cliente que sus datos están razonablemente protegidos, es decir que protege los activos de información contra accesos o divulgación no autorizados. 215
Karla Torres 2.- Principio de seguridad: Establece que todo acceso al sistema de comercio electrónico y a los datos que posee la empresa en sus sistemas, están restringidos solamente a personas autorizadas para ello, garantizando la confidencialidad y protección de la información y usuarios una vez llegado a un sitio Web. Protección contra la transmisión de virus y aprobación previa por parte del usuario antes de llevar a cabo una modificación, copia o alteración de información en la computadora. 3.- Principio de Confidencialidad: Este principio complementa al de Privacidad y tiene su importancia en cuanto al tratamiento de ficheros con datos personales y a la protección y confidencialidad de los mismos, por lo que mantiene controles efectivos para garantizar que la información privada del consumidor/cliente se protege de usos no relacionados con el negocio. 4.- Principio de Disponibilidad: Trata sobre la disponibilidad de la información, en donde el sistema está disponible para operar en conformidad con las políticas de disponibilidad de la empresa, es decir, que asegura que los recursos informáticos y los activos de la información pueden ser utilizados en la forma y tiempo requeridos. 5.- Principio de Integridad de las transacciones: La empresa asegura a sus usuarios que cumple con las condiciones generales de contratación manifestadas, devoluciones, garantías, etc., para así mantener controles efectivos que garantizan que estas órdenes originadas por los consumidores a través del comercio electrónico se completan y se facturan según lo acordado por la empresa y su cliente. Proceso para obtener el sello webtrust vs. auditores Para obtener el sello, se debe buscar a una firma de Auditores que estén habilitados para prestar los servicios Webtrust. Los auditores son reconocidos como profesionales independientes que certifican la fidelidad y veracidad de todo tipo de información, tanto económica como no económica. Por ello, los auditores aplicarán toda esta independencia y objetividad, así como los amplios conocimientos y la experiencia técnica que han adquirido en el mundo de los negocios, para extenderse al ámbito de la nueva economía, el comercio electrónico y para ello van hacer uso de esta herramienta. Luego, esta firma procederá a comprobar que la empresa titular de la web a certificar, está en condiciones de obtener un informe de Auditoría favorable. Deberá además determinar el alcance, el grado de cumplimiento de la normativa legal y de los criterios y principios webtrust. Una vez realizado lo anterior, se comprobará que lo que la empresa manifiesta en su web, según el principio que debe ser auditado, lo cumple en su práctica diaria y dispone de controles efectivos para proveer una razonable seguridad sobre el mantenimiento correcto de dichas prácticas. De encontrarse todo conforme, se emitirá el informe de Auditoría favorable que le servirá para obtener el sello webtrust, previa la compra de un certificado digital, que certificará la validez del mismo. Dicho informe de Auditoría se debe revaluar al menos cada tres meses para seguir manteniendo el sello en su web. 216
El Webtrust y la Auditoría Web Estamos preparados para los nuevos cambios tecnológicos? Auditoría en sitios web La Auditoría de un sitio Web puede realizarse desde distintos enfoques dependientes de los aspectos que se quieren analizar y que resultan complementarios en una visión integral en donde los resultados deben presentar áreas de mejora y proponer alternativas. Se debe considerar como una Auditoría Integral, la que consta de los siguientes puntos: a) Auditoría de contenidos: Se evalúan aspectos cuantitativos y cualitativos de la información proporcionada por el sitio Web (exactitud, actualización etc.) así como la adecuación de la estructura del sitio. b) Auditoría de usuabilidad: Incide en los aspectos de la experiencia del usuario en la Web (navegabilidad, facilidad de uso, etc.). c) Auditoría de procesos y flujo de información: estudia la forma en que se mantiene la Web, la creación de información especifica para la misma, los ciclos de aprobación y edición. d) Auditoría tecnológica: Se estudia el rendimiento de la tecnología utilizada, la adecuación de la misma, el rendimiento de los servidores y de la red utilizada. En tal sentido para realizar y completar estas Auditorías efectuadas en las paginas Web, se debe cumplir con ciertos pilares debido al continuo cambio de los negocios en línea. Estos pilares se deben evaluar periódicamente y revaluar cada una de sus partes, para responder a los continuos cambios que se presentan en el mundo virtual, por lo que se encuentran los siguientes pilares: 1.- Planeación del negocio: El auditor debe garantizar que los clientes sean fieles al canal de comercio electrónico, realizando un análisis general de ciertos requisitos como son: a) Disponibilidad del canal como conexiones microondas, líneas dedicada y fibra óptica. b) Mecanismos de seguridad para darle confianza a los clientes hacia afuera y mantener la confidencialidad de la información hacia adentro. c) Métodos de pago como lo son tarjetas de crédito, sistema de dinero virtual, tarjetas de debito, analizando los mecanismos de seguridad para que estos métodos de pago sean eficientes y generan confianza en el cliente. d) Responsabilidades legales, lo cual están ligadas directamente a los servicios que el comercio electrónico va a prestar y debe encaminarse al marco legal regulatorio de los países en que se desea hacer negocios. 2.- Análisis de riesgo: El auditor debe evaluar el impacto de los riesgos inherentes al medio de transmisión que se esta utilizando para el canal en la Web para así crear controles tecnológicos para monitorearlos. 217
Karla Torres 3.- Políticas de seguridad: Deberán estar orientadas directamente al manejo de los diferentes usuarios que se involucran al sitio Web, por lo tanto el auditor debe revisar la jerarquía del departamento de sistemas que administra el sitio en Internet y evaluar si el nivel de seguridad lógico (contraseña, usuarios, permisos) y físicos (acceso a servidores, instalaciones) son adecuadas. 4.- Protección del entorno: El entorno del comercio electrónico hace parte integral de la política de servicio al cliente de la empresa y como tal, lo primero que debe buscar el auditor al hacer su análisis es la definición de políticas claras del sitio. Estas políticas deben formar parte de algún informe de gerencia o de la documentación de procesos de la empresa y bajo ninguna circunstancia debe recaer en las personas involucradas en el desarrollo del sitio de Internet. 5.- Continuidad de la evaluación: Cada día la tecnología que se utiliza para poner un negocio en línea, es mas sofisticada y completa, y puede ser diferente de un mes a otro, por lo que el auditor debe distribuir en ciclos mas cortos el proceso de la Auditoría al menos dos veces o mas al año. La actualidad En economías deprimidas donde el desempleo se vuelve un factor constante, se hacen necesarias nuevas disciplinas que den dinamismo al mercado laboral. Una de esas nuevas disciplinas es la novedosa Auditoría de páginas Web. A largo plazo las Compañías, luego de cerrar su ejercicio económico, no solo estarán a la espera de sus Estados Financieros auditados para ser aprobados por sus correspondientes Accionistas, sino que también esperaran recibir una Auditoría de su página Web. Esto se pone de manifiesto, especialmente, en empresas que comercializan sus productos a través de comercio electrónico, cuya puerta de entrada a sus clientes son sus páginas de Internet que deben revisarse al diseñar y montar una pagina Web para que genere una medida básica de seguridad a las operaciones que se elaborarán sobre la misma. Hoy en día la mayoría de las empresas han implementado sitios de comercio electrónico para vender sus productos a través de Internet e invirtiendo grandes cantidades de dinero para ofrecer una infraestructura de seguridad; entonces se presenta una encrucijada interesante para el auditor: La información que se maneja en el canal de línea (Internet) es igual a la de los canales tradicionales? Entonces la Auditoría tiende a ser diferente?, En realidad, no lo es, lo que sucede es que se incluyen riesgos adicionales que deberán ser tenidos en cuenta por los auditores. Ahora bien, estos auditores hacen constar que la compañía cumple con los principios éticos y contables, por lo que el Webtrust se constituye como una ventaja competitiva para las empresas que se dedican a incursionar en el comercio electrónico, generando así mayor confianza a los usuarios a los que esta destinado el bien o servicio a ofrecer, e impulsa además esta vía de comercialización, permitiendo la expansión de este nuevo mercado, 218
El Webtrust y la Auditoría Web Estamos preparados para los nuevos cambios tecnológicos? creando así mayores retos al área de Auditoría e incentivando a preocuparse por mantenerse al corriente de esta nueva generación. En la Universidad de Carabobo en la Facultad de Ciencias Económicas y Sociales (FaCES) se forman a futuros Contadores Públicos que ejercerán en el mercado influenciado por innovaciones tecnológicas, una de ellas es el webtrust. A pesar de que no se ha aplicado aún en Venezuela, permite ver la diversidad que la carrera de Contaduría Publica tiene al cruzar fronteras, como es el caso de la Auditoría que permite evaluar de manera objetiva las evidencias relacionadas con informes sobre actividades económicas de una compañía para así determinar a través de procedimientos y pruebas la razonabilidad del contenido informativo para expresar una opinión acorde a los Principios de Contabilidad de Aceptación General (PCGA) emitidos por la Federación de Colegios de Contadores Públicos de Venezuela (FCCPV). Si bien es cierto, que para el año 2006 Venezuela se incorpora a la utilización de la Normas Internacionales de Contabilidad (NIC) y a las Normas Internacionales de Auditoría (NIA) con la finalidad de unificar criterios a nivel internacional y trabajar todos por igual, dando apertura a una globalización profesional, por lo tanto en un futuro muy cercano estará la utilización de la Auditoría en la Web, aumentando así la diversidad de la carrera en el área laboral. Reflexiones finales El impacto de la tecnología en la profesión contable está fuera de toda duda. Las tecnologías de la información operan como motor del cambio que permite dar respuesta a las nuevas necesidades de información, por lo que son el motor del cambio que conduce a una nueva era postindustrial que amenaza en dejar obsoletas todas las estructuras empresariales que no sepan adaptarse. Es notorio el efecto de la revolución de las telecomunicaciones en la Auditoría ya que la utilización de las herramientas ligadas al sector de las telecomunicaciones introducirá cambios importantes en muchas de las actividades típicas de un contador, ya que hoy en día todos los Contadores Públicos deben estar en el conocimiento no solo de que es una Contabilidad (que proporciona el trasfondo técnico esencial), sino también de conocimientos generales para cubrir así un amplio rango de temas en las artes, ciencias y humanidades como también poseer el conocimiento organizacional y de negocios que no es mas que el contexto en el que trabajan los contadores, y por ultimo estar al tanto de los conocimientos en tecnología de la información y comunicación. Como profesora de la Facultad de Ciencias Económicas y Sociales (FaCES) de la Universidad de Carabobo, estos nuevos paradigmas van a futuro a ampliar nuestro campo de estudio y desarrollo profesional dedicado a la Auditoría, ya que nos ofrece nuevas especializaciones en estudios de cuarto nivel en el área de Auditoría electrónica; adicionalmente en el campo laboral permite captar nuevos clientes para las firmas de Auditoría, y a nivel de pregrado, se podría incorporar al programa curricular, nuevas asignaturas que enriquezcan aun mas los conocimientos impartidos en la Facultad. Ahora bien, planteo esta interrogante: Estamos a la altura de los nuevos cambios, como el webtrust 219
Karla Torres y la Auditoría en la Web? Si no; estamos a tiempo para emprender el nuevo camino para actualizarnos y ser cada vez más competitivos. Lista de Referencias Defliese, Philip L; Jonson, Kenneth P. y Mcleod, Roderick K (1984) Auditoria Montgomery. Editorial Limesa. México. Díaz Inchicaqui, M. (05/07/2004) «La información Contable en la era virtual y del conocimiento».http://www.redcontable.com La relación de Certicámara con Internet es por partida doble: Se encarga de emitir los certificados digitales para poder negociar en la red y se apoya en este medio para cumplir su función. En http.//www.gerente.com/revista/business. Olivastri Maria Emilia, Silva Ysaeli y Torres Carlos Eduardo (2005). «Webtrust como alternativa para incentivar el comercio electrónico y su incidencia en la Auditoría». Trabajo de grado publicado. Universidad de Carabobo. República Bolivariana de Venezuela (2001). «Decreto con rango y Fuerza de Ley sobre Mensajes de Datos y Firmas electrónicas». Gaceta Oficial Nro.37.148 del 28/02/2001. Caracas. República Bolivariana de Venezuela (2001). «Ley Especial sobre Delitos Informáticos». Gaceta Oficial Nro. 37.313 del 30/10/2001. Caracas. Sin autor (Julio 17, 2005) «El auditor frente a la evolución tecnológica». En http:// www.monografias.com WebTrust (enero 27, 2004) Webtrust. En http://www.webtrust.es WebTrust (enero 28, 2004) Webtrust http://www.webtrust.es/principios.htm Willinghanm, J. y Carmichael, DR (1982) Auditoria conceptos y métodos. Editorial MacGraw- Hill. Colombia. 220