Saltar al contenido

Por qué la retención de registros en la nube puede ser segura

A estas alturas, la mayoría de las empresas de contabilidad comprenden plenamente cómo el traslado de las funciones básicas de sus negocios a la nube puede agilizar las operaciones, pero muchas siguen siendo lentas en ese movimiento.

Además del costo del almacenamiento, las nuevas aplicaciones y el tiempo de capacitación, la preocupación por la seguridad de los datos de los clientes y la retención de los documentos son prioritarias. Todo, desde un portátil robado que se deja en la parte trasera del coche durante la hora feliz hasta una unidad de disco duro enviada por correo a la dirección equivocada, puede suponer una posible violación de datos para las empresas de CPA en la era digital, y la probabilidad de que cada empresa se enfrente a una de estas violaciones en algún momento es muy probable – hasta un 70 u 80 por ciento según Bill Thompson, CPA, RPLU, Presidente de la empresa de gestión de riesgos y seguros de responsabilidad profesional CPA Mutual.

Por qué la retención de registros en la nube puede ser segura
Por qué la retención de registros en la nube puede ser segura

“En caso de infracción, es probable que la responsabilidad por la pérdida de datos recaiga mucho más en el profesional que en el proveedor de software, porque se considera que la CPA es la responsable última de la protección de los datos de los clientes”, dice Thompson. “Pero las operaciones seguras y la retención de registros en la nube pueden lograrse razonablemente con algunos principios probados y verdaderos, prácticas operativas y la conciencia de los empleados”.

La mayoría de los clientes asumen que las firmas de contadores públicos conservan sus documentos y datos para siempre, a menos que se les diga lo contrario. Aunque la retención de documentos es más fácil de gestionar electrónicamente que en las filas de los archivadores, sigue estando sujeta a los mismos principios jurídicos relacionados con la divulgación, la retención y la coherencia. Estos principios ayudan a las empresas a gestionar el riesgo manteniendo a sus clientes y empleados informados sobre cuánto tiempo deben conservar la información y en qué formato.

A medida que las empresas migran sus funciones básicas a la nube o a través de otros medios electrónicos, tendrán que revisar y actualizar regularmente sus políticas y prácticas de retención de documentos, y asesorar a los clientes con prontitud sobre cualquier cambio. También necesitan comprender y aplicar las prácticas de protección y retención de información del proveedor de la nube, así como mantener la propiedad y el control de los datos de la empresa que residen en la nube.

Tengan en cuenta estos tres principios al adoptar nuevas formas de gestionar y retener los datos de los clientes:

1. Divulgación

Los protocolos de registro actuales o nuevos deben ser revelados a los clientes en cartas de compromiso, organizadores de impuestos, folletos de la empresa u otras comunicaciones enviadas a los clientes.Esto explica y documenta los protocolos, y establece la expectativa apropiada de los clientes sobre el tiempo que se mantienen los registros. Evita supuestos poco realistas de retención para toda la eternidad.

Cuando se modifique la política de retención de documentos, deberá enviarse al cliente otra ronda de divulgaciones con la política de retención de registros modificada y un período de gracia para que el cliente pueda recoger los registros que puedan estar en la lista de destrucción. Hable con su proveedor o con el departamento de TI sobre cómo borrar o destruir de forma segura y permanente los datos del cliente cuando ya no sean relevantes.

2. Retención

Los registros sólo deben conservarse mientras sean pertinentes.Las recomendaciones para la declaración de impuestos y la retención del papel de trabajo es el plazo máximo de seis años de prescripción para la evaluación de los impuestos federales (IRC 6501 [e]), más el plazo de prescripción para las demandas por negligencia en el estado en el que reside o ejerce.

Muchas empresas adoptan una norma de siete años que es una mezcla de las leyes de prescripción federales y estatales. Sin embargo, hay algunas excepciones a esta regla general, como los rendimientos que generan NOL, las pérdidas pasivas, las pérdidas de capital o los créditos que pueden arrastrarse durante muchos años al futuro antes de ser utilizados.

Si bien el año puede estar cerrado a efectos de evaluación, las autoridades tributarias pueden todavía auditar los años cerrados y ajustar el arrastre a medida que repercute en un año abierto. Puede ser necesario mantener estas declaraciones durante un período más largo.

Al igual que los arrastres, otros registros fiscales también pueden tener una vida útil relevante más allá de la prescripción de la evaluación fiscal.Los registros de auditoría fiscal, los registros de base de propiedad, los 338 registros de elección, los registros de reorganización fiscal, la correspondencia fiscal, los informes de los agentes fiscales y los 1031 registros de intercambio, por nombrar algunos, pueden ser pertinentes durante muchos años después de que haya expirado el plazo de prescripción federal de seis años.En realidad, éstos deberían mantenerse de manera permanente.

Los estados financieros suelen tener un período de pertinencia más corto que las declaraciones de impuestos y hay pocas reglas rígidas al respecto. El período debe ser dictado por la situación del cliente, cualquier marco regulador aplicable al que esté sujeto el cliente, el número de accionistas, etc. Los registros relativos a los planes de prestaciones a los empleados, como los informes actuariales, las pruebas de asignación y cumplimiento, las declaraciones de corretaje, los formularios 5500 y los estados financieros deben mantenerse permanentemente.

Las empresas de contabilidad tienen fama de conservar registros que son irrelevantes. Esto no sólo consume un espacio de almacenamiento costoso, sino que, lo que es más importante, si se ven obligados a producir los registros, el gasto de la recogida y el cribado de los documentos irrelevantes puede ser considerable. En algunos casos, los documentos irrelevantes como los correos electrónicos gratuitos pueden ser perjudiciales.

Las empresas deben adoptar políticas o medios electrónicos para eliminar los documentos que no forman parte formal y necesariamente del expediente del cliente. Cuando se mueven archivos a la nube, es un buen momento para clasificar y descartar adecuadamente los registros irrelevantes.

Uno de los mayores reclamos que experimentó la CPA Mutual, un reclamo defendible, dice Thompson, se vino abajo debido a una nota gratuita dejada en el archivo de auditoría relacionada con la revisión y “limpieza” de los documentos de trabajo.

“El archivo en realidad tenía un encabezado titulado $0027elementos a ser removidos de los papeles de trabajo$0027. Esto no era más que la firma predecesora (nuestro miembro) preparando los archivos para que pudieran ser entregados al auditor sucesor”, dice Thompson. “Pero como estábamos en medio de una demanda por no haber detectado un desfalco, esta nota daba la impresión de que la firma podía estar al tanto de los problemas pero que simplemente no cumplía con las normas profesionales y ahora estaban tratando de encubrirlo. Rápidamente se convirtió en una prueba del demandante y no nos quedó más remedio que conformarnos con los límites de la póliza”.

3. Consistencia

Las pautas de retención de registros en una firma de contadores públicos deben ser seguidas consistentemente hasta que se cambien formalmente. Los registros se mantienen en base a una política que tiene su razón de ser. Generalmente, la retención de registros de impuestos tiene tres propósitos:

  • para proporcionar respaldo y detalles para la devolución en caso de una auditoría o investigación
  • para proporcionar respaldo y detalles en caso de una demanda por negligencia del cliente relacionada con el aviso de retorno; y
  • para proporcionar respaldo y detalles de los sucesivos años fiscales que tienen una conexión con la antigua declaración (típicamente arrastres, créditos y similares).

Al mirar a través de estas lentes las diferencias entre los clientes activos e inactivos, no parece haber muchas razones para tratar sus rendimientos históricos de manera diferente.La única diferencia es que el período de retención de los clientes activos sigue avanzando hacia el futuro mientras que la retención de documentos de los clientes inactivos eventualmente se acaba.

Aunque las empresas de contadores públicos pueden elaborar las mejores políticas y procedimientos de retención de documentos de la industria, no funcionan a menos que los empleados estén debidamente capacitados en ellos y se supervise su cumplimiento, subraya Thompson.

Para asegurarse de que todos los empleados entiendan y sigan estos procedimientos de manera consistente, Thompson dice que las empresas deben revisar la política de retención de documentos con todos los empleados – una vez, por supuesto, durante la orientación para nuevos empleados y luego otra vez al menos una vez al año durante las reuniones de equipo junto con otras políticas de la empresa.

Los líderes de las empresas también pueden reforzar las políticas de retención de documentos de manera continua. Durante la revisión del producto final del trabajo de compromiso, ya sea una declaración de impuestos o un certificado de compromiso, el socio a cargo del compromiso debe revisar los documentos de trabajo incluidos en el archivo, dice Thompson. La mayoría de las empresas utilizan actualmente un sistema de gestión de documentos sin papel, por lo que no debería haber documentos de trabajo que no sean requeridos por las normas profesionales o que no ayuden a formar la base de cualquier opinión emitida. No se deben anotar en ningún lugar de los archivos comentarios o referencias extemporáneas a las inquietudes señaladas pero no atendidas durante la contratación.

“Los empleados deben comprender y seguir sistemáticamente los protocolos de seguridad, retención y divulgación para mantener seguros los datos pertinentes de los clientes durante el tiempo que lo exija la ley o por razones comerciales sólidas. Revise sus políticas de retención anualmente como parte de una práctica saludable de gestión de riesgos”, dice Thompson.