Download politicas de seguridad de ti y auditoria forense

page
1
page
2
page
3
page
4
page
5
page
6
page
7
page
8
page
9
page
10
page
11
page
12
page
13
page
14
page
15
page
16
page
17
Document related concepts
no text concepts found
Transcript 
POLITICAS DE SEGURIDAD DE TI Y AUDITORIA FORENSE
MAURICIO AMAYA RIOS 907002
LEIDY ALEJANDRA GALEANO ARIAS 907017
Docente
CARLOS HERNAN GOMEZ
Universidad Nacional de Colombia
Sede Manizales
Administración de Sistemas Informáticos
Auditoria de Sistemas ll
Manizales, Mayo de 2010
Tabla de contenido
Políticas de Seguridad ......................................................................................................................... 3
1.
Elementos asociados a las políticas de seguridad. .................................................................. 3
2.
Por qué tener políticas escritas ............................................................................................... 3
3.
2.1.
Definición de política....................................................................................................... 3
2.2.
Definición de estándar .................................................................................................... 4
2.3.
Procedimiento ................................................................................................................. 4
2.4.
Mejor práctica ................................................................................................................. 4
2.5.
Guía ................................................................................................................................. 4
Etapas en el desarrollo de una política. .................................................................................. 5
3.1.
Creación. Planificación, investigación, documentación, y coordinación de la política ... 5
3.2.
Revisión. Evaluación independiente de la política .......................................................... 6
3.3.
Aprobación. Obtener la aprobación de la política por parte de las directivas ............... 6
3.4.
Comunicación. Difundir la política .................................................................................. 6
3.5.
Cumplimiento. Implementar la política .......................................................................... 6
3.6.
Excepciones. Gestionar las situaciones donde la implementación no es posible........... 7
3.7.
Concienciación: Garantiza la concienciación continuada de la política .......................... 7
3.8.
Monitoreo: Seguimiento y reporte del cumplimiento de la política .............................. 7
3.9.
Mantenimiento. Asegurar que la política esté actualizada............................................. 8
3.10.
4.
Retiro. Prescindir de la política cuando no se necesite más ....................................... 8
Auditoría a las políticas de seguridad. .................................................................................... 8
4.1.
Cuestionario. ................................................................................................................... 8
4.2.
Investigación.................................................................................................................... 9
Auditoria Forense .............................................................................................................................. 10
5.
Antecedentes de la auditoria forense ................................................................................... 10
6.
Definición de la auditoria forense ......................................................................................... 11
7.
Auditor forense ..................................................................................................................... 14
7.1.
Responsabilidades y riesgos del auditor forense .......................................................... 14
7.2.
El perfil del auditor forense........................................................................................... 16
Bibliografía. ....................................................................................................................................... 17
Políticas de Seguridad
1. Elementos asociados a las políticas de seguridad.
Para que pueda convertirse en esa línea guía, es necesario involucrar a los diferentes sectores en
la organización: Alta gerencia, responsables de T.I., los encargados de seguridad, los auditores,
gerentes de las dependencias y representantes de los usuarios.
El documento formal debe definir elementos asociados la adquisición de hardware, software y
contratación de servicios externos teniendo presente los aspectos referentes a seguridad
(outsourcing, mantenimiento a hardware y/o software, desarrollo de aplicaciones, administración
de proyectos, etc.); las disposiciones sobre privacidad y control de acceso incluidas las políticas de
autenticación; las responsabilidades asociadas a los métodos de actuación y el manejo de
incidentes. Un aspecto importante es la declaración de disponibilidad, entendida como el
compromiso que hace el área de sistemas informáticos sobre el mínimo nivel la prestación de
servicios en términos de tiempo y cobertura que se garantizará.
Un reto importante es lograr todo lo anterior emitiendo un documento sencillo y claro, apoyado
por la alta dirección, que permita la normal actuación, haciendo de las políticas procedimientos
inmersos en los tareas cotidianas, enfocados a los problemas relevantes, fácil de ajustar a los
cambios permanentes, que garanticen su cumplimiento apoyándose en herramientas de seguridad
antes que orientado a castigar a los infractores, lo cual no se descarta. Pero hay que resaltar
algunas características que hacen de ella una buena política de Seguridad: La constante
actualización y el hacerla pública y respaldada por los usuarios en la vida práctica.
2. Por qué tener políticas escritas
Existen varias razones por las cuales es recomendable tener políticas escritas en una organización.
La siguiente es una lista de algunas de estas razones.
1. Para cumplir con regulaciones legales o técnicas
2. Como guía para el comportamiento profesional y personal
3. Permite unificar la forma de trabajo de personas en diferentes lugares o momentos que
tengan
1. responsabilidades y tareas similares
4. Permiten recoger comentarios y observaciones que buscan atender situaciones anormales
en el trabajo.
5. Permite encontrar las mejores prácticas en el trabajo
6. Permiten asociar la filosofía de una organización (lo abstracto) al trabajo (lo concreto)
2.1. Definición de política
Declaración general de principios que presenta la posición de la administración para un área de
control definida. Las políticas se elaboran con el fin de que tengan aplicación a largo plazo y guíen
el desarrollo de reglas y criterios más específicos que aborden situaciones concretas. Las políticas
son desplegadas y soportadas por estándares, mejores prácticas, procedimientos y guías. Las
políticas deben ser pocas (es decir, un número pequeño), deben ser apoyadas y aprobadas por las
directivas, y deben ofrecer direccionamientos a toda la organización o a un conjunto importante
de dependencias. Por definición, las políticas son obligatorias y la incapacidad o imposibilidad para
cumplir una política exige que se apruebe una excepción.
2.2. Definición de estándar
Regla que especifica una acción o respuesta que se debe seguir a una situación dada. Los
estándares son orientaciones obligatorias que buscan hacer cumplir las políticas. Los estándares
sirven como especificaciones para la implementación de las políticas: son diseñados para
promover la implementación de las políticas de alto nivel de la organización antes que crear
nuevas políticas.
2.3. Procedimiento
Los procedimientos definen específicamente cómo las políticas, estándares, mejores prácticas y
guías serán implementados en una situación dada. Los procedimientos son dependientes de la
Tecnología o de los procesos y se refieren a plataformas, aplicaciones o procesos específicos. Son
utilizados para delinear los pasos que deben ser seguidos por una dependencia para implementar
la seguridad relacionada a dicho proceso o sistema específico. Generalmente los procedimientos
son desarrollados, implementados y supervisados por el dueño del proceso o del sistema. Los
procedimientos seguirán las políticas de la organización, los estándares, las mejores prácticas y las
guías tan cerca como les sea posible, y a la vez se ajustarán a los requerimientos procedimentales
o técnicos establecidos dentro de la dependencia donde ellos se aplican.
2.4. Mejor práctica
Es una regla de seguridad específica a una plataforma que es aceptada a través de la industria al
proporcionar el enfoque más efectivo a una implementación de seguridad concreta. Las mejores
prácticas son establecidas para asegurar que las características de seguridad de sistemas utilizados
con regularidad estén configurados y administrados de manera uniforme, garantizando un nivel
consistente de seguridad a través de la organización.
2.5. Guía
Una guía es una declaración general utilizada para recomendar o sugerir un enfoque para
implementar políticas, estándares y buenas prácticas. Las guías son, esencialmente,
recomendaciones que deben considerarse al implementar la seguridad. Aunque no son
obligatorias, serán seguidas a menos que existan argumentos documentados y aprobados para no
hacerlo.
Un ejemplo de los requerimientos de seguridad interrelacionados podría ser:
En el nivel más alto, se puede elaborar una POLÍTICA, para toda la organización, que obligue a
“garantizar seguridad en el correo electrónico cuyo contenido sea información confidencial”.
Esta POLÍTICA podría ser soportada por varios ESTÁNDARES, incluyendo por ejemplo, que los
mensajes de este tipo sean enviados utilizando algún sistema de criptografía aprobado por la
empresa y que sean borrados de manera segura después de su envío.
Una MEJOR PRÁCTICA, en este ejemplo, podría estar relacionada sobre la manera de configurar el
correo sobre un tipo específico de sistema (Windows o Linux) con el fin de garantizar el
cumplimiento de la POLÍTICA y del ESTÁNDAR.
Los PROCEDIMIENTOS podrían especificar requerimientos para que la POLÍTICA y los ESTÁNDARES
que la soportan, sean aplicados en una dependencia específica, por ejemplo la Oficina de Control
Interno. Finalmente, las GUÍAS podrían incluir información sobre técnicas, configuraciones y
secuencias de comandos recomendadas que deben seguir los usuarios para asegurar la
información confidencial enviada y recibida a través del servicio de correo electrónico.
3. Etapas en el desarrollo de una política.
Hay 11 etapas que deben realizarse a través de “la vida” de una política. Estas 11 etapas pueden
ser agrupadas en 4 fases.




Fase de desarrollo: durante esta fase la política es creada, revisada y aprobada.
Fase de implementación: en esta fase la política es comunicada y acatada (o no
cumplida por alguna excepción).
Fase de mantenimiento: los usuarios deben ser consientes de la importancia de la
política, su cumplimiento debe ser monitoreado, se debe garantizar su cumplimiento y se
le debe dar mantenimiento (actualizarla).
Fase de eliminación: La política se retira cuando no se requiera más.
3.1. Creación. Planificación, investigación, documentación, y coordinación de la
política
El primer paso en la fase de desarrollo de una política es la planificación, la investigación y la
redacción de la política o, tomado todo junto, la creación. La creación de una política implica
identificar por qué se necesita la política (por ejemplo, requerimientos legales, regulaciones
técnicas, contractuales u operacionales); determinar el alcance y la aplicabilidad de la política, los
roles y las responsabilidades inherentes a la aplicación de la política y garantizar la factibilidad de
su implementación. La creación de una política también incluye la investigación para determinar
los requerimientos organizacionales para desarrollar las políticas (es decir, que autoridades deben
aprobarla, con quién se debe coordinar el desarrollo y estándares del formato de redacción), y la
investigación de las mejores prácticas en la industria para su aplicabilidad a las necesidades
organizacionales actuales. De esta etapa se tendrá como resultado la documentación de la política
de acuerdo con los procedimientos y estándares de la organización, al igual que la coordinación
con entidades internas y externas que la política afectará, para obtener información y su
aceptación. En general, la creación de una política es la función más fácil de entender en el ciclo de
vida de desarrollo de una política.
3.2. Revisión. Evaluación independiente de la política
La revisión de la política es la segunda etapa en la fase de desarrollo del ciclo de vida. Una vez la
documentación de la política ha sido creada y la coordinación inicial ha sido iniciada, esta debe ser
remitida a un grupo (o un individuo) independiente para su evaluación antes de su aprobación
final. Hay varios beneficios de la revisión independiente: una política más viable a través del
escrutinio de individuos que tienen una perspectiva diferente o más vasta que la persona que
redactó la política; apoyo más amplio para la política a través de un incremento en el número de
involucrados; aumento de credibilidad en la política gracias a la información recibida de diferentes
especialistas del grupo de revisión. Propio de esta etapa es la presentación de la política a los
revisores, ya sea de manera formal o informal, exponiendo cualquier punto que puede ser
importante para la revisión, explicando su objetivo, el contexto y los beneficios potenciales de la
política y justificando por qué es necesaria. Como parte de esta función, se espera que el creador
de la política recopile los comentarios y las recomendaciones para realizar cambios en la política y
efectuar todos los ajustes y las revisiones necesarias para obtener una versión final de la política
lista para la aprobación por las directivas.
3.3. Aprobación. Obtener la aprobación de la política por parte de las directivas
El paso final en la fase de desarrollo de la política es la aprobación. El objetivo de esta etapa es
obtener el apoyo de la administración de la dirección.
La aprobación permite iniciar la implementación de la política. Requiere que el proponente de la
política haga una selección adecuada de la autoridad de aprobación, que coordine con dicho
funcionario, presente las recomendaciones emitidas durante la etapa de revisión y haga el
esfuerzo para que sea aceptada por la administración. Puede ocurrir que por incertidumbre de la
autoridad de aprobación sea necesaria una aprobación temporal.
3.4. Comunicación. Difundir la política
Una vez la política ha sido aprobada formalmente, se pasa a la fase de implementación. La
comunicación de la política es la primera etapa que se realiza en esta fase. La política debe ser
inicialmente difundida a quienes sean afectados directamente por la política (contratistas,
proveedores, usuarios de cierto servicio, etc.). Esta etapa implica determinar el alcance y el
método inicial de distribución de la política (es posible que deban tenerse en cuenta factores
como la ubicación geográfica, el idioma, la cultura y línea de mando que será utilizada para
comunicar la política). Debe planificarse esta etapa con el fin de determinar los recursos
necesarios y el enfoque que debe ser seguido para mejorar la visibilidad de la política.
3.5. Cumplimiento. Implementar la política
La etapa de cumplimiento incluye actividades relacionadas con la ejecución de la política. Implica
trabajar con otras personas de la organización como los directores de departamento y los jefes de
dependencias (de división o de sección) para interpretar cuál es la mejor manera de implementar
la política en diversas situaciones y oficinas; asegurando que la política es entendida por aquellos
que requieren implementarla, monitorearla, hacerle seguimiento, reportar regularmente su
cumplimiento y medir el impacto inmediato de la política en las actividades operativas. Dentro de
estas actividades está la elaboración de informes a la administración del estado de la
implementación de la política.
3.6. Excepciones. Gestionar las situaciones donde la implementación no es posible
Debido a problemas de coordinación, falta de personal y otros requerimientos operacionales, no
todas las políticas pueden ser cumplidas de la manera que se pensó al comienzo. Por esto, cuando
los casos lo ameriten, es probable que se requieran excepciones a la política para permitir a ciertas
oficinas o personas el no cumplimiento de la política.
Debe establecerse un proceso para garantizar que las solicitudes de excepciones son registradas,
seguidas, evaluadas, enviadas para aprobación o desaprobación, documentadas y vigiladas a
través del periodo de tiempo establecido para la excepción. El proceso también debe permitir
excepciones permanentes a la política al igual que la no aplicación temporal por circunstancias de
corta duración.
3.7. Concienciación: Garantiza la concienciación continuada de la política
La etapa de concienciación de la fase de mantenimiento comprende los esfuerzos continuos
realizados para garantizar que las personas están consientes de la política y buscan facilitar su
cumplimiento. Esto es hecho al definir las necesidades de concienciación de los diversos grupos de
audiencia dentro de la organización (directivos, jefes de dependencias, usuarios, etc.); en relación
con la adherencia a la política, determinar los métodos de concienciación más efectivos para cada
grupo de audiencia (es decir, reuniones informativas, cursos de entrenamiento, mensajes de
correo, etcétera); y desarrollo y difusión de material de concienciación (presentaciones, afiches,
circulares, etc.). La etapa de concienciación también incluye esfuerzos para integrar el
cumplimiento de la política y retroalimentación sobre el control realizado para su cumplimiento.
La tarea final es medir la concienciación de los miembros de la organización con la política y
ajustar los esfuerzos de acuerdo con los resultados de las actividades medidas.
3.8. Monitoreo: Seguimiento y reporte del cumplimiento de la política
Durante la fase de mantenimiento, la etapa de monitoreo es realizada para seguir y reportar la
efectividad de los esfuerzos en el cumplimiento de la política. Esta información se obtiene de la
observación de los docentes, estudiantes, empleados y los cargos de supervisión, mediante
auditorias formales, evaluaciones, inspecciones, revisiones y análisis de los reportes de
contravenciones y de las actividades realizadas en respuesta a los incidentes.
Esta etapa incluye actividades continuas para monitorear el cumplimiento o no de la política a
través de métodos formales e informales y el reporte de las deficiencias encontradas a las
autoridades apropiadas.
Garantía de cumplimiento: Afrontar las contravenciones de la política La etapa de garantía de
cumplimiento de las políticas incluye las respuestas de la administración a actos u omisiones que
tengan como resultado contravenciones de la política con el fin de prevenir que sigan ocurriendo.
Esto significa que una vez una contravención sea identificada, la acción correctiva debe ser
determinada y aplicada a los procesos (revisión del proceso y mejoramiento), a la tecnología
(actualización) y a las personas (acción disciplinaria) involucrados en la contravención con el fin de
reducir la probabilidad de que vuelva a ocurrir. Se recomienda incluir información sobre las
acciones correctivas adelantadas para garantizar el cumplimiento en la etapa de concienciación.
3.9. Mantenimiento. Asegurar que la política esté actualizada
La etapa de mantenimiento está relacionada con el proceso de garantizar la vigencia y la
integridad de la política. Esto incluye hacer seguimiento a las tendencias de cambios (cambios en
la tecnología, en los procesos, en las personas, en la organización, en el enfoque del negocio,
etcétera) que puede afectar la política; recomendando y coordinando modificaciones resultado de
estos cambios, documentándolos en la política y registrando las actividades de cambio. Esta etapa
también garantiza la disponibilidad continuada de la política para todas las partes afectadas por
ella, al igual que el mantenimiento de la integridad de la política a través de un control de
versiones efectivo. Cuando se requieran cambios a la política, las etapas realizadas antes deben
ser re-visitadas, en particular las etapas de revisión, aprobación, comunicación y garantía de
cumplimiento.
3.10.
Retiro. Prescindir de la política cuando no se necesite más
Después que la política ha cumplido con su finalidad y no es necesaria (por ejemplo, la empresa
cambió la tecnología a la cual aplicaba o se creó una nueva política que la reemplazó) entonces
debe ser retirada. La etapa de retiro corresponde a la fase de eliminación del ciclo de vida de la
política, y es la etapa final del ciclo. Esta función implica retirar una política superflua del
inventario de políticas activas para evitar confusión, archivarla para futuras referencias y
documentar la información sobre la decisión de retirar la política (es decir, la justificación, quién
autorizó, la fecha, etcétera).
4. Auditoría a las políticas de seguridad.
Para esta auditoría se eligió realizar una Guía en la que se aplicará el siguiente cuestionario
además de realizar una investigación.
4.1. Cuestionario.
Preguntas Cumple

¿Las políticas de seguridad especifican el proceso de adquisición de hardware alineado con
algún estándar?







¿Las políticas de seguridad especifican el proceso de adquisición de software alineado con
algún estándar?
¿Las políticas de seguridad especifican la contratación de servicio externos teniendo
presente los aspectos?
¿referentes a seguridad (outsourcing, mantenimiento a hardware y/o software, desarrollo
de aplicaciones, administración de proyectos, etc.)?.
¿Las políticas contienen disposiciones sobre privacidad y control de acceso a la
información incluidas las políticas de autenticación?
¿Las especifican las responsabilidades asociadas a los métodos de actuación?
¿Las políticas especifican manejo de incidentes?
¿En las políticas está definido el compromiso del área de sistemas con la organización?
Observaciones:
4.2. Investigación.
 Se buscan vulnerabilidades en los servidores.
 Estado de actualización de los sistemas operativos y aplicaciones de seguridad (antivirus,
etc.)
 Usuarios con doble loguin.
 Definición de perfiles y permisos sobre la información y la aplicación.
 Verificación a simple vista de escritorios y monitores en busca de contraseñas escritas.
Auditoria Forense
5. Antecedentes de la auditoria forense
“A través de la historia se han realizado distintos tipos de auditoría, tanto al comercio como a las
finanzas de los gobiernos. El significado del auditor fue “persona que oye”, y fue apropiado en la
época durante la cual los registros de contabilidad gubernamental eran aprobados solamente
después de la lectura pública en la cual las cuentas eran leídas en voz alta. Desde tiempos
medievales, y durante la revolución Industrial, se realizaban auditorias para determinar si las
personas en posiciones de responsabilidad oficial en el gobierno y en el comercio estaban
actuando y presentado información de forma honesta”.
Durante la Revolución Industrial a medida que el tamaño de las empresas aumentaba sus
propietarios empezaron a utilizar servicios de gerentes contratados. Con la separación de
propiedad y gerencia, los ausentes propietarios acudieron a los auditores para detectar errores
operativos y posibles fraudes. Los bancos fueron los principales usuarios externos de los informes
financieros. Antes del 1900 la auditoría tenía como objetivo principal detectar errores y fraudes,
con frecuencia incluían el estudio de todas o casi todas las transacciones registradas.
A mediados del siglo XX, el enfoque del trabajo de auditoría tendió a alejarse de la detección de
fraude y se dirigió hacia la determinación de si los estados financieros presentaban
razonablemente la posición financiera y los resultados de las operaciones. A medida que las
entidades corporativas se expandían los auditores comenzaron a trabajar sobre la base de
muestras de transacciones seleccionadas y en adición tomaron conciencia de la efectividad del
control interno.
La profesión reconoció que las auditorías para descubrir fraudes serían muy costosas, por esto el
control interno fue reconocido como mejor técnica. A partir de la década de los 60s en Estados
Unidos la detección de fraudes asumió un papel más importante en el proceso de auditoría.
Este desplazamiento en la detección de fraude fue el resultado de: un incremento del Congreso
para asumir una mayor responsabilidad por los fraudes en gran escala, una diversidad de procesos
judiciales exitosos que reclamaban que los informes financieros fraudulentos habían quedado
inapropiadamente sin detección por parte de los auditores independientes y la convicción por
parte de los contadores públicos de que debería esperarse de las auditorías la detección de fraude
material.
En 1996 la Junta de Normas de Auditoría, emitió una guía para los auditores requiriendo una
evaluación explícita del riesgo de errores en los estados financieros en todas las auditorías, debido
al fraude. El uso de sistemas de computación no ha alterado la responsabilidad del auditor en la
detección de errores y fraude. El Congreso y los reguladores estaban convencidos de que la clave
para evitar problemas era la reglamentación de leyes efectivas y las exigencias por parte de los
auditores, en el cumplimiento de las provisiones de esas leyes y regulaciones.
Como consecuencia de diversos actos fraudulentos las principales organizaciones de contabilidad
patrocinaron la Comisión Nacional sobre Presentación de informes Financieros Fraudulentos,
muchas de las recomendaciones a los auditores fueron reglamentadas por la Junta de Normas y
Auditoría, una de la más importante fueron sobre la efectividad del control interno y la demanda
de la atestación de los auditores
6. Definición de la auditoria forense
Comúnmente el término forense se relaciona sólo con la medicina legal y con quienes la practican,
frecuentemente identifican este vocablo con necropsia (necro que significa muerto o muerte),
patología (ciencia médica que estudia las causas, síntomas y evolución de las enfermedades) y
autopsia (examen y disección de un cadáver, para determinar las causas de su muerte).
El término forense corresponde al latín forensis, que significa público, y complementando su
significado podemos remitirnos a su origen forum del latín que significa foro, plaza pública o de
mercado de las antiguas ciudades romanas donde se trataban las asambleas públicas y los juicios;
lo forense se vincula con lo relativo al derecho y la aplicación de la ley, en la medida que se busca
que un profesional idóneo asista al juez en asuntos legales que le competan y para ello aporte
pruebas de carácter público para representar en un juzgado o Corte Superior.
Según el diccionario Larousse, forense es “el que ejerce su función por delegación judicial o legal”.
Por ello se puede definir la Auditoria forense como “aquélla que provee de un análisis contable
que es conveniente para la Corte, el cual formará parte de las bases de la discusión, el debate y
finalmente el dictamen de la sentencia”.
En términos de investigación contable y de procedimientos de auditoria, la relación con lo forense
se hace estrecha cuando hablamos de la contaduría forense, encaminada a aportar pruebas y
evidencias de tipo penal, por lo tanto se define inicialmente a la auditoria forense como una
auditoria especializada en descubrir, divulgar y atestar sobre fraudes y delitos en el desarrollo de
las funciones públicas y privadas; algunos tipos de fraude en la administración pública son:
conflictos de intereses, nepotismo, gratificaciones, estados falsificados, omisiones, favoritismo,
reclamaciones fraudulentas, falsificaciones, comisiones clandestinas, malversación de fondos,
conspiración, prevaricato, peculado, cohecho, soborno, sustitución, desfalco, personificación,
extorsión, lavado de dinero.
Entre otras definiciones, tenemos:
La auditoria forense, es una ciencia que permite reunir y presentar información financiera,
contable, legal, administrativa e impositiva, en una forma que será aceptada por una corte de
jurisprudencia contra los perpetradores de un crimen económico, por lo tanto, existe la necesidad
de preparar personas con visión integral, que faciliten evidenciar especialmente, delitos como la
corrupción administrativa, el fraude contable, el delito en los seguros, el lavado de dinero y el
terrorismo, entre otros. La sociedad espera de los investigadores, mayores resultados que
minimicen la impunidad, especialmente en estos momentos tan difíciles, en los cuales el crimen
organizado utiliza medios más sofisticados para lavar dinero, financiar operaciones ilícitas y ocultar
los resultados de sus diversos delitos.
Lo FORENSE, por lo tanto, está estrechamente vinculado a la administración de justicia en el
sentido de aportar pruebas de carácter público, que puedan ser discutidas a la luz de todo el
mundo (el foro).
La auditoria forense, es una disciplina especializada que requiere un conocimiento experto de la
teoría contable, auditoria y métodos de investigación. La auditoria forense constituye una rama
importante de la contabilidad investigativa utilizada en la reconstrucción de hechos financieros,
investigaciones de fraudes, cálculos de daños económicos y rendimientos de proyecciones
financieras.
La investigación de un profundo conocimiento de contabilidad, auditoria y vías de investigación
viene a formar la función especializada que en el mundo de los negocios se conoce como auditoria
forense y es aquí donde se brinda el respaldo necesario. Existen otras asignaciones que
únicamente requieren el suministro o recopilación de documentación detallada del cliente.
La auditoría forense es una alternativa para combatir la corrupción, porque permite que un
experto emita ante los jueces conceptos y opiniones de valor técnico, que le permiten a la justicia
actuar con mayor certeza, especialmente en lo relativo a la vigilancia de la gestión fiscal, de esta
manera se contribuye, a mejorar las economías de nuestros países y por tanto el bienestar de
todos nuestros pueblos hermanos.”
Para arribar este tema debemos empezar por lo forense; cuya definición ya explicamos
anteriormente, sin embargo es lógico extender el significado de esta palabra al ámbito jurídico
diciendo que los jueces necesitan para el ejercicio de su función la asistencia de profesionales que
colaboren en la obtención de las pruebas y las aporten en el foro, o lo que es lo mismo, las hagan
públicas, y así se garanticen justas en las causas judiciales, ya que sería más que pretencioso,
imposible que el fallador se especializara en todas las ramas de la ciencia.
Dicho lo anterior, tenemos que la auditoria forense es, en términos contables, la ciencia que
permite reunir y presentar información financiera, contable, legal, administrativa e impositiva,
para que sea aceptada por una corte o un juez en contar de los perpetradores de un crimen
económico, como en este caso, el lavado de activos (contaduría forense)
En sus inicios la auditoria forense se aplicó en la investigación de fraudes en el sector público,
considerándose un verdadero apoyo a la tradicional auditoria gubernamental, en especial ante
delitos tales como: enriquecimiento ilícito, peculado, cohecho, soborno, malversación de fondos,
etc, sin embargo, la auditoria forense no se a limitado a los fraudes propios de la corrupción
administrativa, sino que también ha diversificado su portafolio de servicios para participar en
investigaciones relacionadas con crímenes fiscales, el crimen corporativo, el lavado de dinero y
terrorismo, entre otros.
En ese sentido, el auditor forense puede desempeñarse tanto en el sector público como privado,
prestando apoyo procesal que va desde la recaudación de pruebas y el peritaje. De la misma
forma, su labor no solamente se destaca en las investigaciones en curso, sino en etapas previas al
fraude, es decir, el contador público actúa realizando investigaciones y cálculos que permitan
determinar la existencia de un delito y su cuantía para definir si se justifica el inicio de un proceso;
situación ésta, que aplica también para las investigaciones de crimen corporativo que se
relacionan con fraude contable ante la presentación de información financiera inexacta por
manipulación I intencional, falsificación, lavado de activos, etc.
Con todo, si no fuera por esta especialidad de la ciencia, no podríamos hablar de casos tan
conocidos como Enron, Tyco, WorldCom y Parmalat, siendo éste el más reciente.
Por eso, la labor del auditor tradicional difiere de uno forense, quien debe desarrollar dos
capacidades, en principio opuestas para llevar a cabo su trabajo con éxito. Una de ellas es la
habilidad de escudriñar pequeños detalles sin perder de vista el gran entorno, o en otras palabras
dicho y de manera metafórica, el auditor forense "debe percatarse de las hojas al tiempo que
contempla el bosque". Y por otro desde las cuales ven circunstancias relativamente fáciles de
detectar, como un simple robo, hasta situaciones de suma complejidad, como la manipulación de
estados financieros y los delitos de "cuello blanco".
La principal diferencia entre una auditoria forense y una tradicional, es que la primera descansa en
la experiencia de expertos que trabajan con evidencia delicada, con abogados, con agencias
estatales y el sistema legal. Su trabajo está dirigido para ambientes legales o cuasi jurídicos. La
Auditoria Tradicional se realiza sin este enfoque, sólo se dedica a llevar los programas para
obtener una seguridad razonable basada en sus evidencias.
Por lo tanto, existe la necesidad de preparar personas con visión integral, que faciliten evidenciar
especialmente, delitos como: la corrupción administrativa, el fraude contable, el delito en los
seguros, el lavado de dinero y el terrorismo, entre otros.
Dicho lo anterior, ya estamos preparados para establecer el manejo de la prueba en términos de
auditoría forense. Las pruebas o medios probatorios como también han sido denominados tienen
un objeto, un tema y un fin. El primero, se refiere a los hechos y afirmaciones; el segundo, hace
relación a los hechos que deben ser investigados en cada proceso, y el tercero, tiene que ver con
el cometido de las pruebas, ya que estas persiguen la búsqueda de la verdad, pero aquí lo
importante es que la verdad real coincida con la verdad procesal que se desprende de la
investigación y del expediente.
La Auditoria Forense es muy usada en otros países, tanto así, que en los Estados Unidos de
América ya se ha conformado la Asociación de Contadores Forenses (en inglés Asociación of
Forensic Accountants – NAFA) que es una asociación profesional de firmas de contabilidad
dedicada a la investigación. Los miembros de está asociación brindan respaldo profesional para las
reclamaciones a la industria de seguros y a los clientes en los distintos procesos de litigios. Existe
en ese país, Europa y Australia, un sinnúmero de firmas especializadas en lo que ellos mismos se
han autodenominado detectives financieros.
Más aún. En algunas firmas de las llamadas firmas grandes de contabilidad en los Estados Unidos
de América, se puede encontrar con un departamento especializado llamado precisamente, el
Departamento de Auditoria Forense (Forensic audit.)
7. Auditor forense
Los investigadores privados en el mundo de los negocios son los auditores forenses, los que
utilizan herramientas investigativas para conducir la búsqueda a través de los ingresos y cuentas
corrientes de las compañías o individuos. Su habilidad va estar basada en responder
inmediatamente y comunicar de manera clara y concisa la información financiera ante la Corte.
Ellos están preparados para mirar a través de los números y determinar la situación real de los
negocios.
El Auditor Forense analiza, interpreta, recopila y presenta complejas finanzas y los flujos de
manera que sean entendibles, como correctamente sustentados con el fin ulterior de asistir a la
justicia en los aspectos contables.
El Contador, pues, en su capacidad de auditor forense con su experiencia cumple está función de
localizar y aportar estas pruebas documentales a los distintos procesos judiciales ya sean éstos de
carácter civil, penal, de familia, comercial, fiscal, laboral, etc, es decir, todas las ramas del derecho.
7.1. Responsabilidades y riesgos del auditor forense
Dada la naturaleza de la Auditoría Forense que desarrolla su trabajo en estrecho vínculo con la
justicia es importante distinguir el tipo de compromiso que el auditor debe asumir. Por ejemplo:
Una disputa es un conflicto entre partes que puede establecerse en la corte, fuera de ella o puede
llevarse a una acción judicial. Una disputa judicial es un conflicto potencial entre las partes que
incluye la sospecha del ilícito o actividad ilegal que si se materializa puede establecerse fuera de la
corte o puede llevarse a los procedimientos judiciales.
Una acción legal es un procedimiento judicial instituido para reajustar un mal (acción civil) o para
buscar el castigo por una ofensa delictiva (acción penal).
Por otro lado, varios son los involucrados en el trabajo del auditor forense, así tenemos:
Individuos o las organizaciones involucradas directamente en las disputas reales o la acción legal.
La parte que hace las alegaciones o que tiene las sospechas, quien debe demostrar que se cometió
un hecho doloso o de haber sufrido una pérdida.
La parte contra quien se hace las alegaciones o se tienen las sospechas, quien debe defenderse
contra las alegaciones o sospechas.
Abogados y el mediador o la corte responsable de establecer la disputa o juzgar la acción legal.
Como hemos visto por el grado de compromiso envuelto entre las partes involucradas, la
conclusión y el consejo que el auditor forense suministre producirá un impacto determinante en el
resultado de una disputa o acción legal, por lo tanto el auditor forense debe ser conciente de esta
responsabilidad al aceptar un compromiso de este tipo.
El auditor forense normalmente desarrolla su trabajo en un ambiente emocionalmente cargado y
conflictivo por lo tanto debe tener en cuenta este ambiente particular y debe tratar siempre a las
partes involucradas con el respeto y dignidad correspondientes.
Antes de aceptar un compromiso de Auditoría Forense, el auditor debe asegurarse de estar libre
de cualquier conflicto de intereses que podrían dañar su juicio y objetividad. Asimismo, debe
determinar si posee el conocimiento necesario para el campo de especialización relacionado al
compromiso y si posee la experiencia suficiente para desarrollar este tipo de trabajo.
Por otro lado, debe asegurarse de tener un claro entendimiento del objetivo del compromiso y si
las condiciones del mismo son aceptables, caso contrario si existen reservas sobre la buena fe del
cliente o la racionalidad de las demandas debe considerarse la posibilidad de declinar el
compromiso.
El acuerdo de compromiso entre el auditor forense y el cliente debe fijarse por escrito, debe ser
redactado cuidadosamente, pues pudiera utilizarse en la corte y podría ser usado en su contra
exponiéndolo de esta manera a una posición de riesgo que podría minar
su credibilidad.
Al realizar su trabajo el auditor forense nunca debe pensar que las técnicas forenses reemplazarán
a las normas, reglas o prácticas relacionadas a su especialización, por lo tanto nunca debe dejar de
aplicar los conocimientos relacionados a su especialidad tales como contabilidad, finanzas,
aseguramiento y control, y apoyar su análisis en la legislación pertinente.
Dada la implicancia que tendrá el trabajo del auditor forense, la planificación de su auditoría debe
ser continuamente ajustada a los cambios en los compromisos asumidos, así como a los nuevos
hechos que surjan. Estos cambios en la naturaleza y dirección del trabajo deben ser comunicados
inmediatamente a las personas que participan en el trabajo.
Otro aspecto importante es la conclusión que emitirá el auditor forense, el mismo que debe
apoyarse en evidencias apropiadas y suficientes como son las notas de las entrevistas,
declaraciones dadas por escrito, pistas, análisis y documentos de apoyo que sean admisibles por
Ley.
Para concluir debemos señalar que el auditor forense debe documentar adecuadamente la
evidencia de su trabajo; es decir, sus papeles de trabajo que explican los métodos usados, análisis
efectuado, los hechos básicos, los datos coleccionados, las asunciones aceptadas, conclusión
formulada y la evidencia recaudada que apoya su conclusión.
7.2. El perfil del auditor forense
En adición a los conocimientos de contabilidad y auditoría habituales, para la formación del
auditor forense se debe incluir aspectos de investigación legal y formación jurídica, con énfasis en
la recolección de pruebas y evidencias.
El auditor forense debe tener amplios conocimientos en el campo a auditar. Los principios y las
disposiciones legales vigentes, las normas internacionales de auditoría, técnicas y procedimientos
de auditoría a emplearse y experiencia en la realización de estas labores. El auditor debe estar
altamente calificado para manejar la información y las técnicas de análisis y revisar el proceso de
control designado por la administración.
Asimismo, entre las principales competencias para asumir el compromiso de una auditoría
forense, tenemos:












Ser perspicaz,
Conocimiento de Psicología,
Una mentalidad investigadora,
Mucha auto motivación,
Trabajo bajo presión,
Mente creativa,
Habilidades de comunicación y persuasión,
Habilidad de comunicar en las condiciones de ley,
Habilidades de mediación y negociación,
Habilidades analíticas,
Creatividad para poder adaptarse a las nuevas situaciones,
Experiencia en el campo de la auditoría.
Actualmente, para la formación de los auditores forenses no existen programas de tipo
universitario, dado de que la formación básica es la de Contador Público. Sin embargo, en los
Estados Unidos de Norteamérica existen programas de entrenamiento y conferencias organizadas
por el Institute of Internal Auditors, la Nacional Asociación of Certified Fraud Examiners, y la
National Associations of Accountants, con un marcado sello de tipo profesional.
Según un estudioso de la Auditoría Forense, Bologna. J. and R. Lindquist (1995) señala que la
formación de un auditor forense debe cubrir por lo menos, además de la carrera de Contador
Público las siguientes áreas; legal, auditoría, organizacional, investigativa y de administración de
riesgos, como mínimo. La mayoría de temas que tratan esta áreas son las relacionadas al fraude,
controles, sistemas de prevención, irregularidades, características psicosociales de los ladrones y
desfalcadores, tipos de robo, desfalco, etc.
Bibliografía.

http://www.virtual.unal.edu.co/cursos/sedes/manizales/4060035/lecciones/Cap2Politicas.html


http://www.unal.edu.co/dnic/docs/guia_para_elaborar_politicas_v1_0.pdf
http://www.monografias.com/trabajos65/auditoria-forense/auditoria-forense.shtml
Related documents
auditoría forense - González Lazarini
auditoría forense - González Lazarini
Auditoria Forense, aspectos conceptuales y de procedimiento
Auditoria Forense, aspectos conceptuales y de procedimiento
Antonacci, Ricardo. Auditoría forense y el fraude financiero
Antonacci, Ricardo. Auditoría forense y el fraude financiero
Precisando el concepto y el marco de actuación de la auditoría
Precisando el concepto y el marco de actuación de la auditoría
Nota de Clase 13 Auditoria Forense
Nota de Clase 13 Auditoria Forense
Grant Thornton Cheng y Asociados 1999-63
Grant Thornton Cheng y Asociados 1999-63
la auditoria forense: metodología y herramientas aplicadas en la
la auditoria forense: metodología y herramientas aplicadas en la
TesisListaLista2(5) - Postgrado en Ciencias Contables
TesisListaLista2(5) - Postgrado en Ciencias Contables
Apuntes contables 18.indd - Revistas Universidad Externado de
Apuntes contables 18.indd - Revistas Universidad Externado de
Concepto y Generalidades de la Auditoria Forense
Concepto y Generalidades de la Auditoria Forense
auditor forense
auditor forense
ditoria forense, n enfoque esperado u
ditoria forense, n enfoque esperado u
AUDITORIA_I_-_GENERALIDADES
AUDITORIA_I_-_GENERALIDADES
la contaduría forense
la contaduría forense
formación continuada. centros reconocidos
formación continuada. centros reconocidos
¿usted cree que su empresa esta libre de fraude?
¿usted cree que su empresa esta libre de fraude?
Puntos a considerar para seleccionar Al auditor
Puntos a considerar para seleccionar Al auditor
Risk Technology - Portafolio de Servicios
Risk Technology - Portafolio de Servicios
Uso de indicadores financieros (ratios) en las auditorías
Uso de indicadores financieros (ratios) en las auditorías
CASO PRACTICO 01
CASO PRACTICO 01