Publicado el 11 de octubre de 2024 por Editor
Si aún no ha tenido la oportunidad de consultar nuestro reciente blog sobre firmas digitales, vale la pena leerlo. Nuestro director ejecutivo, John Turner, analiza el problema cada vez más crítico de la confianza en los informes corporativos y cómo lo estamos abordando con un nuevo estándar global para firmas digitales.
En un mundo que evoluciona rápidamente hacia los informes digitales y la adopción generalizada de iXBRL, garantizar la integridad y la autenticidad de los informes ya no es algo deseable: es algo esencial.
John plantea un problema que todos reconocemos, pero del que no hablamos lo suficiente: a menudo no hay una manera infalible de demostrar que el informe financiero que estás revisando no ha sido alterado o que realmente fue firmado por la persona correcta. Las amenazas cibernéticas están evolucionando y, si bien el fraude puede no ocurrir todos los días, cuando ocurre, puede ser catastrófico. Ahí es donde entran en juego las firmas digitales. Proporcionan un vínculo verificable entre un informe y su firmante, lo que garantiza que los datos permanezcan intactos y la firma sea auténtica.
Nuestro grupo de trabajo sobre firmas digitales en XBRL (D6WG) ha estado trabajando entre bastidores para finalizar un nuevo estándar que haga realidad este objetivo. El enfoque es simple pero potente: aplicar firmas digitales a los informes XBRL de una manera que garantice la seguridad y la transparencia. No se trata de una cuestión puramente teórica: imagine cuánto daño al mercado se podría haber evitado en casos de fraude financiero si se hubieran implementado estas salvaguardas. Las firmas digitales habrían acabado con eso incluso antes de que se secara la tinta (bueno, digitalmente hablando).
Una de las características más destacadas de esta nueva norma es su flexibilidad, ya que permite múltiples firmas en diferentes niveles de un informe. No se trata solo de marcar una casilla, sino de la rendición de cuentas. Por ejemplo, el director ejecutivo puede firmar el informe completo, mientras que el director financiero y los auditores firman sus respectivas secciones. No solo es transparente, sino que garantiza que la responsabilidad de todos esté perfectamente clara.
Por lo tanto, ya sea un regulador, un inversor o parte del ecosistema de informes, esto es algo que querrá seguir de cerca. Para conocer todos los detalles y ver cómo las firmas digitales están destinadas a transformar los informes corporativos, lea el blog completo.
D6WG Informes digitales Firma digital iXBRL
Garantizar la confianza y la integridad en los informes corporativos: un nuevo estándar global para firmas digitales
Publicado el 8 de agosto de 2024 por John Turner
Su autor es John Turner, director ejecutivo de XBRL International.
Los informes corporativos proporcionan información vital sobre el desempeño empresarial y rigen una amplia gama de decisiones de inversores, reguladores, acreedores, clientes y otras partes interesadas. Los informes pueden tener un enorme impacto en el valor y la reputación de una organización. Es esencial que los usuarios puedan confiar en su integridad, con plena seguridad de que los datos corporativos son confiables y que los informes de auditoría son genuinos. Pero, ¿cuán sólidas son las bases de esa confianza?
En la actualidad, los usuarios de la información financiera declarada carecen a menudo de una conexión demostrable entre una declaración reglamentaria y su emisor o auditor. Esta conexión se basa históricamente en afirmaciones de la empresa. Los usuarios deben confiar en los informes, lo que puede dar lugar a la manipulación por parte de actores maliciosos y a dudas por parte de los usuarios. Para abordar esta cuestión, existe una creciente necesidad de establecer un mayor nivel de confianza digital en los informes corporativos.
Si bien es razonable pensar que el riesgo de que la dirección manipule un informe de auditoría antes de presentarlo a un organismo regulador es remoto, estos incidentes, aunque poco frecuentes, pueden tener un impacto significativo. Además, con el aumento de la digitalización en todos los ámbitos de la vida, se produce un aumento concomitante de las preocupaciones por la ciberseguridad. El riesgo de que un actor malintencionado manipule un informe corporativo (o un informe de auditoría relacionado) también es relativamente bajo, pero está aumentando a medida que los delitos cibernéticos se vuelven más sofisticados. El impacto de las acciones de un actor malintencionado, tanto en términos de posibles pérdidas para el emisor como de la confianza más amplia en un mercado regulado, podría ser extremadamente grave. Por lo tanto, es hora de que los reguladores y los responsables de las políticas consideren la posibilidad de aplicar capas adicionales de protección.
Ahora que la presentación de informes digitales se ha convertido en la norma en la gran mayoría de los principales mercados, se necesita una solución digital para el riesgo de pérdida de confianza en la información que se proporciona a los reguladores y las bolsas de valores. En un mundo en el que la información se intercambia y utiliza a escala global, necesitamos un estándar global para la autenticación. Y como la presentación de informes se está volviendo más compleja y diversa (incluidas, por ejemplo, las divulgaciones de sostenibilidad junto con los estados financieros), un enfoque granular para la autenticación es cada vez más importante.
En este artículo analizaré la necesidad de una solución de confianza digital, en particular en términos de prevención del fraude, y presentaré el nuevo estándar para firmas digitales que actualmente está siendo finalizado por el Grupo de Trabajo de Firmas Digitales en XBRL (D6WG) de XBRL International.
La necesidad de confianza digital
La necesidad de adoptar un enfoque digital para la confianza en los informes corporativos es apremiante en todo el mundo, tanto para desalentar y detectar el fraude como para garantizar la confianza de los usuarios. Los ejemplos que se presentan a continuación muestran cómo puede producirse el fraude; se han tomado de los EE. UU., pero se pueden encontrar casos similares en otras jurisdicciones. En última instancia, es importante prevenir las actividades fraudulentas desde el principio, lo que requiere una conexión más sólida y confiable entre los informes, los emisores y los auditores.
A continuación, se presentan dos ejemplos de fraude descubiertos por la Comisión de Bolsa y Valores de Estados Unidos (SEC):
1. La SEC anunció que el 6 de agosto de 2001, Mark S. Jakob había sido sentenciado a 44 meses de prisión por la farsa sobre las acciones de Emulex y por su papel en la difusión de un comunicado de prensa falso que causó estragos en el precio de las acciones de Emulex.
El Sr. Jakob se enfrentaba a una pérdida de casi 100.000 dólares como resultado de la venta en corto de acciones de Emulex Corporation y escribió el comunicado de prensa falso en un intento de cubrir sus pérdidas. El comunicado de prensa parecía proceder de Emulex y afirmaba falsamente que la SEC estaba investigando a Emulex, que el director ejecutivo de la empresa había dimitido y que la empresa estaba revisando y reduciendo sus beneficios del trimestre anterior. Al día siguiente, el 25 de agosto de 2000, varias organizaciones de noticias volvieron a publicar el comunicado de prensa. En un período de 16 minutos tras la republicación del comunicado de prensa falso, se negociaron 2,3 millones de acciones de Emulex, y el precio se desplomó casi 61,00 dólares, de 103,94 dólares a 43,00 dólares, lo que provocó que Emulex perdiera 2.200 millones de dólares en capitalización de mercado. Tras una suspensión de operaciones por parte de Nasdaq, Emulex reanudó sus operaciones más tarde ese día, después de que se descubriera el engaño, y el precio se recuperó para cerrar a $105,75.
2. El 26 de enero de 2010, la SEC presentó una demanda civil por mandato judicial contra Tsukuda-America Inc., una corporación de Indiana, y el Sr. John W. Petros, alegando fraude en relación con una oferta de acciones ordinarias de Tsukuda por valor de 600.000 dólares. Petros, el único funcionario, director y accionista de Tsukuda, preparó y presentó la declaración de registro del Formulario S-1 de Tsukuda para la oferta, que incluía declaraciones falsas y engañosas y documentos falsificados.
La declaración de registro de Tsukuda contenía un informe de auditoría falsificado, identificaba falsamente a una empresa agente de transferencia de acciones como el agente de transferencia de Tsukuda, incluía una opinión legal falsa y un informe de un geólogo, así como consentimientos falsos de un abogado y un geólogo que no existen, y contenía información financiera ficticia.
Ambos ejemplos de la vida real ocurrieron hace algún tiempo, tal vez como testimonio del trabajo realizado por los reguladores en materia de autenticación. Sin embargo, no es difícil imaginar que fraudes de este tipo, potenciados por las convincentes invenciones de los modelos de lenguaje a gran escala, podrían perpetrarse hoy en día a gran escala en todo tipo de mercados, y que los riesgos relacionados con el cibercrimen y la inteligencia artificial están aumentando.
Los distintos entornos regulatorios del mundo han adoptado diferentes enfoques para autenticar los informes. Algunos reguladores emplean sólo medidas de seguridad mínimas, mientras que otros mantienen sistemas complejos de múltiples capas. Varios países han implementado vínculos entre los informes de auditoría y los estados financieros utilizando firmas de Adobe. Sin embargo, es necesario replantearse el tema a medida que los informes se vuelven digitales. El cambio generalizado a Inline XBRL, que tiene la enorme ventaja de hacer que los informes sean legibles por computadora, también significa que ya no es posible confiar en los mecanismos de firma PDF. El mundo necesita un estándar internacional para firmar informes digitales preparados en XBRL.
Las firmas digitales, aplicadas de manera estandarizada, ofrecen la solución probada que necesitan los reguladores. Ofrecen una prueba verificable de que un documento fue firmado por el supuesto firmante, lo que garantiza la no repudiación legal y la certeza de que no ha sido manipulado. Los casos anteriores ilustran la capacidad de los actores maliciosos motivados para falsificar información. El uso de firmas digitales podría garantizar que solo un funcionario genuino de la empresa pueda firmar un comunicado de prensa, solo un auditor pueda firmar un informe de auditoría, etc., proporcionando un vínculo claro y rastreable con cada firmante. Parece muy probable que las firmas digitales hubieran evitado estos casos de fraude o asegurado su detección en el momento de la presentación.
Un nuevo estándar global para firmas digitales
El Grupo de Trabajo sobre Firmas Digitales en XBRL, o D6WG (sí, somos conscientes de que se nos da fatal poner nombres a las cosas), reúne a expertos de varios países y está presidido por Mohini Singh de PwC. Se formó para abordar la necesidad global de generar confianza en los informes digitales basados en XBRL. El grupo tiene como objetivo proporcionar un enfoque estandarizado para aplicar firmas digitales a los informes XBRL.
El uso de firmas digitales ofrece no repudio, autenticación e integridad esenciales en un contexto de informes digitales. Durante muchos años, XBRL International no tuvo un estándar de firma digital en su hoja de ruta, ya que se consideró que había demasiadas soluciones nacionales, a menudo regidas por la legislación exclusiva de esa jurisdicción. Sin embargo, los riesgos cibernéticos están aumentando y la adición de requisitos de garantía específicos sobre las decisiones de etiquetado XBRL en línea en la UE y en otros lugares puso esta cuestión en primer plano.
El objetivo del D6WG no es crear una nueva tecnología de firma digital. Ya existen numerosas tecnologías, incluidas algunas que son obligatorias por ley a nivel nacional o regional. En cambio, el D6WG busca desarrollar enfoques coherentes para aplicar estas tecnologías de firma existentes a los informes XBRL.
¿Qué son exactamente las firmas digitales y qué ofrecen? Básicamente, una firma digital criptográfica proporciona una prueba verificable de que un documento fue firmado por el supuesto firmante, mediante pares de “claves”. El firmante posee una clave privada y pública o pone a disposición de otro modo una clave pública de forma controlada. Gracias a los procesos de verificación que intervienen en la emisión de estos pares de claves, las firmas digitales prueban la identidad de la persona que firma el informe al demostrar que posee una clave privada específica.
En otras palabras, si firmo un documento con mi clave privada, entonces puedes estar seguro de que fui yo quien lo hizo, ya que puedes comprobar mi firma con mi clave pública.
El proceso de firma toma como entrada el documento y la clave privada, creando un número muy grande, que es la firma. Cualquiera que tenga el documento y la clave pública puede verificar que la firma es válida, es decir, que se creó utilizando la clave privada emparejada del mismo documento. Si el documento ha cambiado de alguna manera, el proceso de verificación fallará. Cualquiera que tenga la clave pública puede verificar una firma digital, pero para crear una nueva firma se necesita la clave privada. Estos procesos básicos tienen 50 años y sustentan el funcionamiento de Internet, los cajeros automáticos y las aplicaciones bancarias, así como muchos otros sistemas.
Al aplicar esta tecnología a XBRL, la norma D6 propuesta permitirá a las empresas, auditores, reguladores y otras partes interesadas confirmar sus firmas en un informe de manera digital y permanente. Al permanecer neutral en cuanto al tipo de firma digital utilizada, se adapta a diversos requisitos comerciales y regulatorios. Una característica fundamental de la norma es que utiliza el hecho de que las firmas se invalidan si se realizan modificaciones posteriores al documento. Esto garantiza la integridad de los datos y facilita la procedencia de los mismos, lo que permite a los usuarios rastrear el origen y el historial de la información reportada. Esto, a su vez, mejora la transparencia y la rendición de cuentas en los informes corporativos.
Otro beneficio del nuevo estándar reside en su granularidad. Permite múltiples firmas, vinculando cada una de ellas a todo o parte de un informe XBRL. Una firma digital puede aplicarse al documento del informe en su totalidad, a una sección, a una tabla o incluso a un hecho individual. Las firmas en Inline XBRL pueden aplicarse a partes del documento legible por humanos, a hechos específicos etiquetados digitalmente o a una combinación de ambos. Esta granularidad permite aprobaciones en múltiples capas, en las que todas las partes interesadas relevantes aprueban las partes apropiadas de un informe.
Por ejemplo, el director ejecutivo de una empresa puede firmar el informe anual completo, mientras que el director financiero y el auditor firman el informe financiero, una empresa especializada firma la sección de sostenibilidad, el secretario de la empresa firma la publicación de resultados y el regulador indica que recibió la copia firmada digitalmente en una fecha y hora específicas. Esto proporciona no repudio, lo que dificulta que cualquiera de las partes niegue su participación. También deja en claro exactamente dónde están los límites de responsabilidad para cada sección de un informe complejo y significa que cada firmante puede poner su nombre solo en el contenido específico que él mismo ha producido o auditado.
El primer resultado del D6WG fue un documento de requisitos, que describe los criterios necesarios para implementar firmas digitales en informes XBRL. A esto le siguió una nueva especificación XBRL, actualmente disponible como borrador de recomendación candidato. Una de las preguntas abordadas por el grupo de trabajo fue dónde deberían ubicarse las firmas digitales. La especificación permite almacenar las firmas dentro de un paquete de informes XBRL, de modo que se conserven de forma segura junto con los archivos de informes y se conecten a ellos, sin modificar los archivos en sí. Para obtener más información sobre el trabajo del D6WG y cómo funciona el nuevo estándar con la especificación de paquetes de informes para proporcionar una solución coherente para las firmas digitales en XBRL, vale la pena ver esta presentación de noviembre de 2023 del director técnico de XBRL International, Paul Warren.
Además, la especificación permite el uso de firmas digitales basadas en la emisión controlada de “certificados digitales”. Esto requiere una infraestructura de clave pública (PKI) para emitir certificados. La PKI verifica la identidad de las personas que reciben estos certificados (en sentido estricto, pares de claves pública y privada) y garantiza que son quienes dicen ser. Por lo general, esto implica la presentación de un documento de identidad, como un pasaporte o un permiso de conducir, junto con una serie de documentos de respaldo. De este modo, la firma digital no solo demuestra que el firmante tenía una clave determinada, sino también que la clave pertenece a una persona o entidad verificada.
En este contexto, se espera que el lanzamiento del LEI verificable (vLEI) por parte de la Global Legal Entity Identifier Foundation (GLEIF) suponga un avance significativo para facilitar la adopción global de pruebas digitales de identidad en transacciones corporativas de todo tipo, incluida la presentación de informes corporativos. El LEI es un identificador de entidad legal establecido que utilizan las empresas de todo el mundo para identificarse, incluso en muchos sistemas de presentación de informes XBRL existentes. El vLEI es su contraparte digital, diseñada para la autenticación y verificación digitales. Proporciona un mecanismo para vincular claves privadas al LEI, a través de roles corporativos específicos. El vLEI está diseñado para permitir la prueba digital de que una persona específica tiene un rol específico en nombre de una entidad legal específica, en un momento específico. Por ejemplo, muestra que Jane Wong es la directora financiera de Acme Pte Ltd, o que Rohan Kumar es socio de auditoría en LWQH LLP.
El uso de claves privadas vinculadas a un identificador como el vLEI permite garantizar que el documento fue creado por los autores, auditado por los auditores indicados y no ha sido modificado desde entonces. Además de permitir la trazabilidad, este concepto de “no repudio” garantiza que el firmante no pueda negar posteriormente su participación, ya que la clave privada y la firma pueden verificarse. La única reclamación que puede hacer es que su clave privada fue robada o accedida por otra persona, algo que es cada vez más difícil con la aplicación de medidas de ciberseguridad adecuadas.
Deteniendo el fraude de inmediato
Analicemos un ejemplo reciente en el que las firmas digitales habrían respondido a preguntas clave y conducido a resultados muy diferentes. Un informe publicado por Hindenburg Research en 2023 planteó serias preocupaciones sobre Tingo Group, una empresa que presentó una solicitud ante la SEC. Hindenburg Research afirmó que estaban vendiendo en corto a Tingo Group porque creían que la empresa era una estafa evidente con estados financieros inventados. El informe destacó además que los estados financieros proporcionados por Tingo Group estaban plagados de errores.
Según la SEC, el Formulario 10-K de Tingo Group para el año fiscal 2022, presentado en marzo de 2023, informó un saldo en efectivo y equivalentes de efectivo de $461,7 millones en las cuentas bancarias nigerianas de su subsidiaria Tingo Mobile. En realidad, esas mismas cuentas bancarias tenían un saldo combinado de menos de $50 al final del año fiscal.
Lo que hace que esta situación sea aún más intrigante es que el informe financiero fue auditado y los auditores le dieron a Tingo Group una opinión de auditoría limpia. Hindenburg Research planteó dudas sobre si los auditores llevaron a cabo una auditoría exhaustiva.
Esto plantea dos preguntas importantes: ¿El informe fue realmente auditado por los auditores que aparentemente afirmaron haberlo hecho? Si fue auditado, ¿el documento que vieron los auditores era el mismo que el que se presentó ante la SEC, o el informe fue modificado después de la auditoría? Las firmas digitales podrían responder a estas preguntas sin esfuerzo. Hubieran sido invaluables para verificar la autenticidad e integridad del informe financiero y de sus auditores.
Además, la integración de la norma D6 en el proceso de presentación de informes haría muy improbable que se pudieran presentar con éxito informes falsificados. La necesidad de claves privadas válidas significa que no es prácticamente posible generar firmas digitales fraudulentas o, en otras palabras, poner el nombre de una persona en divulgaciones que no ha firmado voluntariamente. Al mismo tiempo, cualquier modificación o manipulación del documento después de la firma se detectaría inmediatamente y haría que las firmas se invalidaran, impidiendo su presentación.
¿Qué sigue?
La aplicación de firmas digitales a los informes digitales es un paso necesario para garantizar su integridad y autenticidad, y así prevenir el fraude y fomentar la confianza en el panorama actual de los informes. Al estandarizar el uso de firmas digitales y aprovechar las tecnologías existentes, podemos establecer un enfoque global coherente para la firma de informes XBRL.
Numerosos reguladores y formuladores de políticas han expresado un gran interés en la especificación D6. Una vez que esté finalizada, prevemos que muchos reguladores estarán ansiosos por utilizar la norma.
Sin embargo, la adopción generalizada de la especificación también dependerá de la experiencia de usuario desarrollada por los proveedores de software y requerirá una firma fácil de usar y rentable. Animamos a los proveedores y otras partes interesadas a que revisen la especificación, proporcionen comentarios y comiencen a sentar las bases para la implementación del estándar de firmas digitales.
También es hora de que una serie de actores dentro de la cadena de suministro de información consideren si es necesario actualizar los flujos de trabajo existentes.
- ¿Deberían los reguladores, además de solicitar firmas digitales de la gerencia y los auditores en las secciones relevantes de los informes que se les envían, agregar sus propias firmas digitales al informe? Esto proporcionaría una protección adicional contra la manipulación posterior por parte de un actor malintencionado que hubiera obtenido acceso a sus sistemas, además de brindar otra capa de certeza sobre la autenticidad de cada presentación corporativa en la que podrían confiar los inversores, así como en el curso de un litigio.
- ¿Deben los auditores pensar en rediseñar algunas prácticas comunes? En la actualidad, en algunas partes del mundo, existen situaciones en las que un conjunto firmado de cuentas auditadas es modificado posteriormente por la administración, con el conocimiento del equipo de auditoría, pero no es firmado nuevamente por la firma de auditoría, sobre todo porque podría obligar al equipo de auditoría a considerar eventos posteriores. El uso de firmas digitales sobre materiales XBRL haría imposible este tipo de procesos.
- En términos más generales, todos debemos considerar cómo las firmas digitales afectarán los procesos existentes. Las firmas digitales brindan garantías extremadamente sólidas de que un documento no ha sido modificado de ninguna manera desde que fue firmado, y esto hace que sea imposible confiar en poder hacer cambios menores e inmateriales en una etapa posterior. A las firmas digitales no les importa si triplicaste tus ingresos declarados o simplemente agregaste una coma faltante: cualquier cambio invalidará la firma. ¿Qué significa eso para tu práctica?
Esperamos que el nuevo estándar D6 se adopte a nivel mundial, lo que garantiza la confianza en los datos empresariales para la era digital. En un mundo de riesgos cambiantes y cada vez más sofisticados, ofrece una solución totalmente digital, trazable y granular para la autenticación y el no repudio de informes, lo que facilita la prevención del fraude y fomenta la confianza de los usuarios.
Seguimos buscando aportes amplios para mejorar y finalizar la especificación propuesta, que se puede encontrar aquí. Póngase en contacto con nosotros en XBRL International si desea formar parte de este proceso y comencemos ahora estas conversaciones sobre la implementación de firmas digitales.
D6 Confianza en la digitalización de la firma digital
Publicado originalmente: https://www.xbrl.org/news/how-to-boost-trust-in-digital-reporting-with-xbrls-new-digital-signatures-standard/