18 Oct Ley anti fraude de software, dudas y porque no esperar a que salga el reglamento
Algunos clientes, preocupados por el carácter amplio de la nueva ley antifraude artículo 201bis aplicable a cualquier software que genera facturas nos contratan para poder evolucionar su software en la dirección que nos marca la nueva ley, bajo el paradigma de evitar la facturación en paralelo, cajas B y demás cuestiones fraudulentas. Entre ellas la ley nos marca el cumplimiento de una serie de dimensiones al respecto.
Otros clientes nos plantean que prefieren esperar al reglamento definitivo y en este post queremos de una manera clara y transparente plantear preguntar y respuestas que nuestros clientes más nos realizan.
Ley anti fraude de software, dudas y porque no esperar a que salga el reglamento
En los webinars que realizamos han asistido varias centenas de clientes, la mayoría empresas de desarrollo. Muchos de ellos, preocupados por su situación legal, ya han comenzado a trabajar otros nos plantean diferentes preguntas que repiten y que queremos seguidamente dejar por escrito:
Pregunta 1. ¿Por qué no esperar al reglamento definitivo?
La ley ya nos marca las obligaciones que nuestro software debe cumplir en materia de dimensiones de auditoria, como son la trazabilidad, conservación, integridad,… entre otras. Estas dimensiones conocidas en auditoria como la ISO27001 y ENS, así como en marcos legales que van en la misma dirección como TICKETBAI o NF525 en Francia, nos ponen a nuestra disposición los controles que ya debemos aplicar, no solo para cumplir la ley, sino para evolucionar nuestro software hacia un sistema más seguro, más consistente y con un nivel mayor de compliance de diferentes marcos legales.
Otra de las razones para no esperar es el tiempo que una empresa de desarrollo necesita para evolucionar su software a un sistema más seguro. Según estamos viendo con nuestros clientes hablamos de meses de cambios y configuración, por ello no tienen sentido esperar.
La tercera razón sería porque nosotros como auditores, firmamos por contrato que acompañaremos a todos nuestros clientes, cuando el reglamento definitivo haya salido, en todas las medidas de índole técnica hasta su certificación.
Probablemente su competencia ya esta trabajando con nosotros.
Pregunta 2. ¿La actualización que ha emitido en Octubre la agencia tributaria plantea la NO sanción de los apartados E y F para las empresas de desarrollo?
Si bien es cierto que la actualización de la ley que la agencia tributaria ha realizado pone en relieve que los apartados E y F, relativos por ejemplo a las dimensiones de seguridad, no serán sancionados temporalmente, debemos tener en cuenta que:
- No desaparecen de la ley, quedan temporalmente sin sanción.
- Los apartados A-D, para su cumplimiento, con llevan irremediablemente la aplicación de controles que están incluidos en dimensiones que el apartado F contempla, como por ejemplo la integridad y no alterabilidad de registros. Por tanto es absurdo no cumplir con las dimensiones del apartado F ya que las necesitamos para el resto de apartados.
- Se ha excluido la sanción, de nuevo temporalmente, para los clientes finales del software, dejando única y exclusivamente la responsabilidad a las empresas de desarrollo, por tanto aun con más razón para que las empresas de desarrollo se preocupen ya que son, desde el 11 de octubre el único foco de sanción.
Pregunta 3. ¿Y si comenzamos a adaptar nuestro software a sus indicaciones y luego sale el reglamento con alguna medida diferente?
Nosotros firmamos un compromiso con nuestros clientes que incluye el acompañamiento hasta la certificación en todas las medidas técnicas que el reglamento solicite. Dado que nuestras recomendaciones se basan en nuestra experiencia como auditores de otras homologaciones internacionales, de la agencia tributaria y de otras entidades, entendemos que el GAP deberá ser mínimo.
Conclusiones
No espere al reglamento para comenzar a evolucionar su software con las buenas prácticas que nosotros le recomendaremos, más cuando les acompañaremos hasta el final de la certificación en aquellas medidas de índole técnicas que finalmente difieran de las que nosotros ya recomendamos. Muchas empresas ya están adaptando su software a nuestras recomendaciones, habiendo competidores suyos directos que posiblemente ya están colaborando con nosotros.
Luis Vilanova Blanco. Auditor certificado CISA por ISACA.
911277300
leyantifraude@luisvilanova.es