En este caso, una solución Cloud SaaS de facturación para PYMES, líder en el mercado, nos contacta por segunda vez. En la primera ocasión ya se le ayudó satisfactoriamente (en el año 2019) a obtener la homologación de digitalización certificada de facturas ante la Agencia Tributaria, permitiendo a sus clientes a escanear y eliminar el papel.
Satisfechos por aquella colaboración, en esta segunda ocasión nos contacta para poder adaptar al máximo posible su software a la nueva Ley y Reglamento Antifraude.
Obligaciones y acciones ante la Ley
Una de las primeras dudas que los clientes nos trasladas es que, dada la ambigüedad de la Ley y parte del Reglamento incompleto, que deben hacer, hasta donde deben permitir o restringir, cual son las claves para poder fortalecer el software y cumplir con la normativa sin ir más allá de lo que se exige. A todos nuestros clientes les preocupa que tenemos que cumplir con la Ley, pero ello no puede poner en peligro la cartera de clientes actual y la que esta pensando adquirir el producto. Por ejemplo, las obligaciones que nos plantean el articulo 8 del reglamento, en sus primeros tres párrafos, restringen ciertas acciones que podamos realizar con los registros de facturación, obviamente.
No perdamos el foco que cumplir con la Ley y el Reglamento supone en muchas ocasiones restringir acciones y operaciones al usuario, así como otros controles de seguridad que van a monitorizar de forma intensiva las acciones en lo que nosotros denominamos flujo de caja entrante.
Auditoría y alcance
Una vez entendido el alcance del software planteamos un análisis del software respecto de todas las acciones en ese flujo que hemos comentado, de acciones que se permiten realizar que podrían ir en contra de la Ley y reglamento. Aquí disponemos de una metodología propia fruto de nuestro Know How de decenas y decenas de software auditado ERP, atacando a los puntos débiles que rápidamente detectamos y que el obligado tributario podría utilizar, tanto desde la aplicación como desde un enfoque de la arquitectura que el software tiene. En este caso que estamos ante una solución Cloud SaaS algunos artículos como el artículo 14 del Reglamento no aplicaría al cliente sino al Partner.
Una vez hemos podido auditar tanto los puntos débiles como las fortalezas, viendo el software en profundidad en unas sesiones de trabajo intensivas, realizamos el inventario de debilidades y fortalezas. Las fortalezas son todo aquello que nos ayuda a cumplir con la Ley y el reglamento. Por ejemplo, si el software deja eventos de los registros de facturación estamos ante una fortaleza, si por el contrario nos permite eliminar cualquier factura, estamos ante una clara debilidad.
Evaluación de riesgos
Con estos dos listados y habiendo entendido la arquitectura del perímetro de la solución estamos en disposición de poder comenzar con la evaluación de riesgos. En ella planteamos los escenarios que nuestros clientes tienen en su comercialización del producto. Por ejemplo. No tener copias de seguridad en base a los requisitos del articulo 14 (en especial el concepto de copias seguras) del reglamento, nos aplica una serie de necesidades que debemos trasladar al cliente. Necesidades que varían si la solución es onpremise o Cloud.
Inventariando estos escenarios de riesgos por fin estamos en disposición de identificar los controles o medidas que se deben aplicar al perímetro de la solución, tanto de índole técnica, como de índole en ocasiones fiscal o legal (es obvio que algunas cuestiones deben aplicarse a través de cláusulas contractuales). En este caso, en nuestro cliente Cloud SaaS la parte de copias de seguridad no recae en el cliente (artículo 14) sino en las responsabilidades del Partner (defendible por la aplicación de otros estándares como la ISO 27017)
Fase de seguimiento, plan de acción.
Una vez tenemos todas las medidas que el cliente ha entendido que debe realizar pasamos a lo que se denomina fase de seguimiento. En esta fase y durante un periodo acordado estamos trabajando en la revisión, consultoría de dudas, asesoramiento y revisión de nuestro informe conforme el cliente mejora el cumplimiento de la Ley y Reglamento con las cuestiones que nosotros le hemos trasladado. En lo que denominamos plan de acción.
Metodología contrastada de éxito
Con nuestra metodología, depurada desde agosto de 2021, conseguimos plena satisfacción. El día 6 de marzo presentamos el informe y trasladaremos al cliente los resultados y plan de acción que consideramos deber realizar, contestando a todas las preguntas que pueda disponer.
¿Hablamos?
Si su software no cumple con la Ley Antifraude no dude en contactar con nosotros y le ayudaremos a su cumplimiento.