Download politicas de seguridad de ti y auditoria forense
Document related concepts
no text concepts found
Transcript
POLITICAS DE SEGURIDAD DE TI Y AUDITORIA FORENSE MAURICIO AMAYA RIOS 907002 LEIDY ALEJANDRA GALEANO ARIAS 907017 Docente CARLOS HERNAN GOMEZ Universidad Nacional de Colombia Sede Manizales Administración de Sistemas Informáticos Auditoria de Sistemas ll Manizales, Mayo de 2010 Tabla de contenido Políticas de Seguridad ......................................................................................................................... 3 1. Elementos asociados a las políticas de seguridad. .................................................................. 3 2. Por qué tener políticas escritas ............................................................................................... 3 3. 2.1. Definición de política....................................................................................................... 3 2.2. Definición de estándar .................................................................................................... 4 2.3. Procedimiento ................................................................................................................. 4 2.4. Mejor práctica ................................................................................................................. 4 2.5. Guía ................................................................................................................................. 4 Etapas en el desarrollo de una política. .................................................................................. 5 3.1. Creación. Planificación, investigación, documentación, y coordinación de la política ... 5 3.2. Revisión. Evaluación independiente de la política .......................................................... 6 3.3. Aprobación. Obtener la aprobación de la política por parte de las directivas ............... 6 3.4. Comunicación. Difundir la política .................................................................................. 6 3.5. Cumplimiento. Implementar la política .......................................................................... 6 3.6. Excepciones. Gestionar las situaciones donde la implementación no es posible........... 7 3.7. Concienciación: Garantiza la concienciación continuada de la política .......................... 7 3.8. Monitoreo: Seguimiento y reporte del cumplimiento de la política .............................. 7 3.9. Mantenimiento. Asegurar que la política esté actualizada............................................. 8 3.10. 4. Retiro. Prescindir de la política cuando no se necesite más ....................................... 8 Auditoría a las políticas de seguridad. .................................................................................... 8 4.1. Cuestionario. ................................................................................................................... 8 4.2. Investigación.................................................................................................................... 9 Auditoria Forense .............................................................................................................................. 10 5. Antecedentes de la auditoria forense ................................................................................... 10 6. Definición de la auditoria forense ......................................................................................... 11 7. Auditor forense ..................................................................................................................... 14 7.1. Responsabilidades y riesgos del auditor forense .......................................................... 14 7.2. El perfil del auditor forense........................................................................................... 16 Bibliografía. ....................................................................................................................................... 17 Políticas de Seguridad 1. Elementos asociados a las políticas de seguridad. Para que pueda convertirse en esa línea guía, es necesario involucrar a los diferentes sectores en la organización: Alta gerencia, responsables de T.I., los encargados de seguridad, los auditores, gerentes de las dependencias y representantes de los usuarios. El documento formal debe definir elementos asociados la adquisición de hardware, software y contratación de servicios externos teniendo presente los aspectos referentes a seguridad (outsourcing, mantenimiento a hardware y/o software, desarrollo de aplicaciones, administración de proyectos, etc.); las disposiciones sobre privacidad y control de acceso incluidas las políticas de autenticación; las responsabilidades asociadas a los métodos de actuación y el manejo de incidentes. Un aspecto importante es la declaración de disponibilidad, entendida como el compromiso que hace el área de sistemas informáticos sobre el mínimo nivel la prestación de servicios en términos de tiempo y cobertura que se garantizará. Un reto importante es lograr todo lo anterior emitiendo un documento sencillo y claro, apoyado por la alta dirección, que permita la normal actuación, haciendo de las políticas procedimientos inmersos en los tareas cotidianas, enfocados a los problemas relevantes, fácil de ajustar a los cambios permanentes, que garanticen su cumplimiento apoyándose en herramientas de seguridad antes que orientado a castigar a los infractores, lo cual no se descarta. Pero hay que resaltar algunas características que hacen de ella una buena política de Seguridad: La constante actualización y el hacerla pública y respaldada por los usuarios en la vida práctica. 2. Por qué tener políticas escritas Existen varias razones por las cuales es recomendable tener políticas escritas en una organización. La siguiente es una lista de algunas de estas razones. 1. Para cumplir con regulaciones legales o técnicas 2. Como guía para el comportamiento profesional y personal 3. Permite unificar la forma de trabajo de personas en diferentes lugares o momentos que tengan 1. responsabilidades y tareas similares 4. Permiten recoger comentarios y observaciones que buscan atender situaciones anormales en el trabajo. 5. Permite encontrar las mejores prácticas en el trabajo 6. Permiten asociar la filosofía de una organización (lo abstracto) al trabajo (lo concreto) 2.1. Definición de política Declaración general de principios que presenta la posición de la administración para un área de control definida. Las políticas se elaboran con el fin de que tengan aplicación a largo plazo y guíen el desarrollo de reglas y criterios más específicos que aborden situaciones concretas. Las políticas son desplegadas y soportadas por estándares, mejores prácticas, procedimientos y guías. Las políticas deben ser pocas (es decir, un número pequeño), deben ser apoyadas y aprobadas por las directivas, y deben ofrecer direccionamientos a toda la organización o a un conjunto importante de dependencias. Por definición, las políticas son obligatorias y la incapacidad o imposibilidad para cumplir una política exige que se apruebe una excepción. 2.2. Definición de estándar Regla que especifica una acción o respuesta que se debe seguir a una situación dada. Los estándares son orientaciones obligatorias que buscan hacer cumplir las políticas. Los estándares sirven como especificaciones para la implementación de las políticas: son diseñados para promover la implementación de las políticas de alto nivel de la organización antes que crear nuevas políticas. 2.3. Procedimiento Los procedimientos definen específicamente cómo las políticas, estándares, mejores prácticas y guías serán implementados en una situación dada. Los procedimientos son dependientes de la Tecnología o de los procesos y se refieren a plataformas, aplicaciones o procesos específicos. Son utilizados para delinear los pasos que deben ser seguidos por una dependencia para implementar la seguridad relacionada a dicho proceso o sistema específico. Generalmente los procedimientos son desarrollados, implementados y supervisados por el dueño del proceso o del sistema. Los procedimientos seguirán las políticas de la organización, los estándares, las mejores prácticas y las guías tan cerca como les sea posible, y a la vez se ajustarán a los requerimientos procedimentales o técnicos establecidos dentro de la dependencia donde ellos se aplican. 2.4. Mejor práctica Es una regla de seguridad específica a una plataforma que es aceptada a través de la industria al proporcionar el enfoque más efectivo a una implementación de seguridad concreta. Las mejores prácticas son establecidas para asegurar que las características de seguridad de sistemas utilizados con regularidad estén configurados y administrados de manera uniforme, garantizando un nivel consistente de seguridad a través de la organización. 2.5. Guía Una guía es una declaración general utilizada para recomendar o sugerir un enfoque para implementar políticas, estándares y buenas prácticas. Las guías son, esencialmente, recomendaciones que deben considerarse al implementar la seguridad. Aunque no son obligatorias, serán seguidas a menos que existan argumentos documentados y aprobados para no hacerlo. Un ejemplo de los requerimientos de seguridad interrelacionados podría ser: En el nivel más alto, se puede elaborar una POLÍTICA, para toda la organización, que obligue a “garantizar seguridad en el correo electrónico cuyo contenido sea información confidencial”. Esta POLÍTICA podría ser soportada por varios ESTÁNDARES, incluyendo por ejemplo, que los mensajes de este tipo sean enviados utilizando algún sistema de criptografía aprobado por la empresa y que sean borrados de manera segura después de su envío. Una MEJOR PRÁCTICA, en este ejemplo, podría estar relacionada sobre la manera de configurar el correo sobre un tipo específico de sistema (Windows o Linux) con el fin de garantizar el cumplimiento de la POLÍTICA y del ESTÁNDAR. Los PROCEDIMIENTOS podrían especificar requerimientos para que la POLÍTICA y los ESTÁNDARES que la soportan, sean aplicados en una dependencia específica, por ejemplo la Oficina de Control Interno. Finalmente, las GUÍAS podrían incluir información sobre técnicas, configuraciones y secuencias de comandos recomendadas que deben seguir los usuarios para asegurar la información confidencial enviada y recibida a través del servicio de correo electrónico. 3. Etapas en el desarrollo de una política. Hay 11 etapas que deben realizarse a través de “la vida” de una política. Estas 11 etapas pueden ser agrupadas en 4 fases. Fase de desarrollo: durante esta fase la política es creada, revisada y aprobada. Fase de implementación: en esta fase la política es comunicada y acatada (o no cumplida por alguna excepción). Fase de mantenimiento: los usuarios deben ser consientes de la importancia de la política, su cumplimiento debe ser monitoreado, se debe garantizar su cumplimiento y se le debe dar mantenimiento (actualizarla). Fase de eliminación: La política se retira cuando no se requiera más. 3.1. Creación. Planificación, investigación, documentación, y coordinación de la política El primer paso en la fase de desarrollo de una política es la planificación, la investigación y la redacción de la política o, tomado todo junto, la creación. La creación de una política implica identificar por qué se necesita la política (por ejemplo, requerimientos legales, regulaciones técnicas, contractuales u operacionales); determinar el alcance y la aplicabilidad de la política, los roles y las responsabilidades inherentes a la aplicación de la política y garantizar la factibilidad de su implementación. La creación de una política también incluye la investigación para determinar los requerimientos organizacionales para desarrollar las políticas (es decir, que autoridades deben aprobarla, con quién se debe coordinar el desarrollo y estándares del formato de redacción), y la investigación de las mejores prácticas en la industria para su aplicabilidad a las necesidades organizacionales actuales. De esta etapa se tendrá como resultado la documentación de la política de acuerdo con los procedimientos y estándares de la organización, al igual que la coordinación con entidades internas y externas que la política afectará, para obtener información y su aceptación. En general, la creación de una política es la función más fácil de entender en el ciclo de vida de desarrollo de una política. 3.2. Revisión. Evaluación independiente de la política La revisión de la política es la segunda etapa en la fase de desarrollo del ciclo de vida. Una vez la documentación de la política ha sido creada y la coordinación inicial ha sido iniciada, esta debe ser remitida a un grupo (o un individuo) independiente para su evaluación antes de su aprobación final. Hay varios beneficios de la revisión independiente: una política más viable a través del escrutinio de individuos que tienen una perspectiva diferente o más vasta que la persona que redactó la política; apoyo más amplio para la política a través de un incremento en el número de involucrados; aumento de credibilidad en la política gracias a la información recibida de diferentes especialistas del grupo de revisión. Propio de esta etapa es la presentación de la política a los revisores, ya sea de manera formal o informal, exponiendo cualquier punto que puede ser importante para la revisión, explicando su objetivo, el contexto y los beneficios potenciales de la política y justificando por qué es necesaria. Como parte de esta función, se espera que el creador de la política recopile los comentarios y las recomendaciones para realizar cambios en la política y efectuar todos los ajustes y las revisiones necesarias para obtener una versión final de la política lista para la aprobación por las directivas. 3.3. Aprobación. Obtener la aprobación de la política por parte de las directivas El paso final en la fase de desarrollo de la política es la aprobación. El objetivo de esta etapa es obtener el apoyo de la administración de la dirección. La aprobación permite iniciar la implementación de la política. Requiere que el proponente de la política haga una selección adecuada de la autoridad de aprobación, que coordine con dicho funcionario, presente las recomendaciones emitidas durante la etapa de revisión y haga el esfuerzo para que sea aceptada por la administración. Puede ocurrir que por incertidumbre de la autoridad de aprobación sea necesaria una aprobación temporal. 3.4. Comunicación. Difundir la política Una vez la política ha sido aprobada formalmente, se pasa a la fase de implementación. La comunicación de la política es la primera etapa que se realiza en esta fase. La política debe ser inicialmente difundida a quienes sean afectados directamente por la política (contratistas, proveedores, usuarios de cierto servicio, etc.). Esta etapa implica determinar el alcance y el método inicial de distribución de la política (es posible que deban tenerse en cuenta factores como la ubicación geográfica, el idioma, la cultura y línea de mando que será utilizada para comunicar la política). Debe planificarse esta etapa con el fin de determinar los recursos necesarios y el enfoque que debe ser seguido para mejorar la visibilidad de la política. 3.5. Cumplimiento. Implementar la política La etapa de cumplimiento incluye actividades relacionadas con la ejecución de la política. Implica trabajar con otras personas de la organización como los directores de departamento y los jefes de dependencias (de división o de sección) para interpretar cuál es la mejor manera de implementar la política en diversas situaciones y oficinas; asegurando que la política es entendida por aquellos que requieren implementarla, monitorearla, hacerle seguimiento, reportar regularmente su cumplimiento y medir el impacto inmediato de la política en las actividades operativas. Dentro de estas actividades está la elaboración de informes a la administración del estado de la implementación de la política. 3.6. Excepciones. Gestionar las situaciones donde la implementación no es posible Debido a problemas de coordinación, falta de personal y otros requerimientos operacionales, no todas las políticas pueden ser cumplidas de la manera que se pensó al comienzo. Por esto, cuando los casos lo ameriten, es probable que se requieran excepciones a la política para permitir a ciertas oficinas o personas el no cumplimiento de la política. Debe establecerse un proceso para garantizar que las solicitudes de excepciones son registradas, seguidas, evaluadas, enviadas para aprobación o desaprobación, documentadas y vigiladas a través del periodo de tiempo establecido para la excepción. El proceso también debe permitir excepciones permanentes a la política al igual que la no aplicación temporal por circunstancias de corta duración. 3.7. Concienciación: Garantiza la concienciación continuada de la política La etapa de concienciación de la fase de mantenimiento comprende los esfuerzos continuos realizados para garantizar que las personas están consientes de la política y buscan facilitar su cumplimiento. Esto es hecho al definir las necesidades de concienciación de los diversos grupos de audiencia dentro de la organización (directivos, jefes de dependencias, usuarios, etc.); en relación con la adherencia a la política, determinar los métodos de concienciación más efectivos para cada grupo de audiencia (es decir, reuniones informativas, cursos de entrenamiento, mensajes de correo, etcétera); y desarrollo y difusión de material de concienciación (presentaciones, afiches, circulares, etc.). La etapa de concienciación también incluye esfuerzos para integrar el cumplimiento de la política y retroalimentación sobre el control realizado para su cumplimiento. La tarea final es medir la concienciación de los miembros de la organización con la política y ajustar los esfuerzos de acuerdo con los resultados de las actividades medidas. 3.8. Monitoreo: Seguimiento y reporte del cumplimiento de la política Durante la fase de mantenimiento, la etapa de monitoreo es realizada para seguir y reportar la efectividad de los esfuerzos en el cumplimiento de la política. Esta información se obtiene de la observación de los docentes, estudiantes, empleados y los cargos de supervisión, mediante auditorias formales, evaluaciones, inspecciones, revisiones y análisis de los reportes de contravenciones y de las actividades realizadas en respuesta a los incidentes. Esta etapa incluye actividades continuas para monitorear el cumplimiento o no de la política a través de métodos formales e informales y el reporte de las deficiencias encontradas a las autoridades apropiadas. Garantía de cumplimiento: Afrontar las contravenciones de la política La etapa de garantía de cumplimiento de las políticas incluye las respuestas de la administración a actos u omisiones que tengan como resultado contravenciones de la política con el fin de prevenir que sigan ocurriendo. Esto significa que una vez una contravención sea identificada, la acción correctiva debe ser determinada y aplicada a los procesos (revisión del proceso y mejoramiento), a la tecnología (actualización) y a las personas (acción disciplinaria) involucrados en la contravención con el fin de reducir la probabilidad de que vuelva a ocurrir. Se recomienda incluir información sobre las acciones correctivas adelantadas para garantizar el cumplimiento en la etapa de concienciación. 3.9. Mantenimiento. Asegurar que la política esté actualizada La etapa de mantenimiento está relacionada con el proceso de garantizar la vigencia y la integridad de la política. Esto incluye hacer seguimiento a las tendencias de cambios (cambios en la tecnología, en los procesos, en las personas, en la organización, en el enfoque del negocio, etcétera) que puede afectar la política; recomendando y coordinando modificaciones resultado de estos cambios, documentándolos en la política y registrando las actividades de cambio. Esta etapa también garantiza la disponibilidad continuada de la política para todas las partes afectadas por ella, al igual que el mantenimiento de la integridad de la política a través de un control de versiones efectivo. Cuando se requieran cambios a la política, las etapas realizadas antes deben ser re-visitadas, en particular las etapas de revisión, aprobación, comunicación y garantía de cumplimiento. 3.10. Retiro. Prescindir de la política cuando no se necesite más Después que la política ha cumplido con su finalidad y no es necesaria (por ejemplo, la empresa cambió la tecnología a la cual aplicaba o se creó una nueva política que la reemplazó) entonces debe ser retirada. La etapa de retiro corresponde a la fase de eliminación del ciclo de vida de la política, y es la etapa final del ciclo. Esta función implica retirar una política superflua del inventario de políticas activas para evitar confusión, archivarla para futuras referencias y documentar la información sobre la decisión de retirar la política (es decir, la justificación, quién autorizó, la fecha, etcétera). 4. Auditoría a las políticas de seguridad. Para esta auditoría se eligió realizar una Guía en la que se aplicará el siguiente cuestionario además de realizar una investigación. 4.1. Cuestionario. Preguntas Cumple ¿Las políticas de seguridad especifican el proceso de adquisición de hardware alineado con algún estándar? ¿Las políticas de seguridad especifican el proceso de adquisición de software alineado con algún estándar? ¿Las políticas de seguridad especifican la contratación de servicio externos teniendo presente los aspectos? ¿referentes a seguridad (outsourcing, mantenimiento a hardware y/o software, desarrollo de aplicaciones, administración de proyectos, etc.)?. ¿Las políticas contienen disposiciones sobre privacidad y control de acceso a la información incluidas las políticas de autenticación? ¿Las especifican las responsabilidades asociadas a los métodos de actuación? ¿Las políticas especifican manejo de incidentes? ¿En las políticas está definido el compromiso del área de sistemas con la organización? Observaciones: 4.2. Investigación. Se buscan vulnerabilidades en los servidores. Estado de actualización de los sistemas operativos y aplicaciones de seguridad (antivirus, etc.) Usuarios con doble loguin. Definición de perfiles y permisos sobre la información y la aplicación. Verificación a simple vista de escritorios y monitores en busca de contraseñas escritas. Auditoria Forense 5. Antecedentes de la auditoria forense “A través de la historia se han realizado distintos tipos de auditoría, tanto al comercio como a las finanzas de los gobiernos. El significado del auditor fue “persona que oye”, y fue apropiado en la época durante la cual los registros de contabilidad gubernamental eran aprobados solamente después de la lectura pública en la cual las cuentas eran leídas en voz alta. Desde tiempos medievales, y durante la revolución Industrial, se realizaban auditorias para determinar si las personas en posiciones de responsabilidad oficial en el gobierno y en el comercio estaban actuando y presentado información de forma honesta”. Durante la Revolución Industrial a medida que el tamaño de las empresas aumentaba sus propietarios empezaron a utilizar servicios de gerentes contratados. Con la separación de propiedad y gerencia, los ausentes propietarios acudieron a los auditores para detectar errores operativos y posibles fraudes. Los bancos fueron los principales usuarios externos de los informes financieros. Antes del 1900 la auditoría tenía como objetivo principal detectar errores y fraudes, con frecuencia incluían el estudio de todas o casi todas las transacciones registradas. A mediados del siglo XX, el enfoque del trabajo de auditoría tendió a alejarse de la detección de fraude y se dirigió hacia la determinación de si los estados financieros presentaban razonablemente la posición financiera y los resultados de las operaciones. A medida que las entidades corporativas se expandían los auditores comenzaron a trabajar sobre la base de muestras de transacciones seleccionadas y en adición tomaron conciencia de la efectividad del control interno. La profesión reconoció que las auditorías para descubrir fraudes serían muy costosas, por esto el control interno fue reconocido como mejor técnica. A partir de la década de los 60s en Estados Unidos la detección de fraudes asumió un papel más importante en el proceso de auditoría. Este desplazamiento en la detección de fraude fue el resultado de: un incremento del Congreso para asumir una mayor responsabilidad por los fraudes en gran escala, una diversidad de procesos judiciales exitosos que reclamaban que los informes financieros fraudulentos habían quedado inapropiadamente sin detección por parte de los auditores independientes y la convicción por parte de los contadores públicos de que debería esperarse de las auditorías la detección de fraude material. En 1996 la Junta de Normas de Auditoría, emitió una guía para los auditores requiriendo una evaluación explícita del riesgo de errores en los estados financieros en todas las auditorías, debido al fraude. El uso de sistemas de computación no ha alterado la responsabilidad del auditor en la detección de errores y fraude. El Congreso y los reguladores estaban convencidos de que la clave para evitar problemas era la reglamentación de leyes efectivas y las exigencias por parte de los auditores, en el cumplimiento de las provisiones de esas leyes y regulaciones. Como consecuencia de diversos actos fraudulentos las principales organizaciones de contabilidad patrocinaron la Comisión Nacional sobre Presentación de informes Financieros Fraudulentos, muchas de las recomendaciones a los auditores fueron reglamentadas por la Junta de Normas y Auditoría, una de la más importante fueron sobre la efectividad del control interno y la demanda de la atestación de los auditores 6. Definición de la auditoria forense Comúnmente el término forense se relaciona sólo con la medicina legal y con quienes la practican, frecuentemente identifican este vocablo con necropsia (necro que significa muerto o muerte), patología (ciencia médica que estudia las causas, síntomas y evolución de las enfermedades) y autopsia (examen y disección de un cadáver, para determinar las causas de su muerte). El término forense corresponde al latín forensis, que significa público, y complementando su significado podemos remitirnos a su origen forum del latín que significa foro, plaza pública o de mercado de las antiguas ciudades romanas donde se trataban las asambleas públicas y los juicios; lo forense se vincula con lo relativo al derecho y la aplicación de la ley, en la medida que se busca que un profesional idóneo asista al juez en asuntos legales que le competan y para ello aporte pruebas de carácter público para representar en un juzgado o Corte Superior. Según el diccionario Larousse, forense es “el que ejerce su función por delegación judicial o legal”. Por ello se puede definir la Auditoria forense como “aquélla que provee de un análisis contable que es conveniente para la Corte, el cual formará parte de las bases de la discusión, el debate y finalmente el dictamen de la sentencia”. En términos de investigación contable y de procedimientos de auditoria, la relación con lo forense se hace estrecha cuando hablamos de la contaduría forense, encaminada a aportar pruebas y evidencias de tipo penal, por lo tanto se define inicialmente a la auditoria forense como una auditoria especializada en descubrir, divulgar y atestar sobre fraudes y delitos en el desarrollo de las funciones públicas y privadas; algunos tipos de fraude en la administración pública son: conflictos de intereses, nepotismo, gratificaciones, estados falsificados, omisiones, favoritismo, reclamaciones fraudulentas, falsificaciones, comisiones clandestinas, malversación de fondos, conspiración, prevaricato, peculado, cohecho, soborno, sustitución, desfalco, personificación, extorsión, lavado de dinero. Entre otras definiciones, tenemos: La auditoria forense, es una ciencia que permite reunir y presentar información financiera, contable, legal, administrativa e impositiva, en una forma que será aceptada por una corte de jurisprudencia contra los perpetradores de un crimen económico, por lo tanto, existe la necesidad de preparar personas con visión integral, que faciliten evidenciar especialmente, delitos como la corrupción administrativa, el fraude contable, el delito en los seguros, el lavado de dinero y el terrorismo, entre otros. La sociedad espera de los investigadores, mayores resultados que minimicen la impunidad, especialmente en estos momentos tan difíciles, en los cuales el crimen organizado utiliza medios más sofisticados para lavar dinero, financiar operaciones ilícitas y ocultar los resultados de sus diversos delitos. Lo FORENSE, por lo tanto, está estrechamente vinculado a la administración de justicia en el sentido de aportar pruebas de carácter público, que puedan ser discutidas a la luz de todo el mundo (el foro). La auditoria forense, es una disciplina especializada que requiere un conocimiento experto de la teoría contable, auditoria y métodos de investigación. La auditoria forense constituye una rama importante de la contabilidad investigativa utilizada en la reconstrucción de hechos financieros, investigaciones de fraudes, cálculos de daños económicos y rendimientos de proyecciones financieras. La investigación de un profundo conocimiento de contabilidad, auditoria y vías de investigación viene a formar la función especializada que en el mundo de los negocios se conoce como auditoria forense y es aquí donde se brinda el respaldo necesario. Existen otras asignaciones que únicamente requieren el suministro o recopilación de documentación detallada del cliente. La auditoría forense es una alternativa para combatir la corrupción, porque permite que un experto emita ante los jueces conceptos y opiniones de valor técnico, que le permiten a la justicia actuar con mayor certeza, especialmente en lo relativo a la vigilancia de la gestión fiscal, de esta manera se contribuye, a mejorar las economías de nuestros países y por tanto el bienestar de todos nuestros pueblos hermanos.” Para arribar este tema debemos empezar por lo forense; cuya definición ya explicamos anteriormente, sin embargo es lógico extender el significado de esta palabra al ámbito jurídico diciendo que los jueces necesitan para el ejercicio de su función la asistencia de profesionales que colaboren en la obtención de las pruebas y las aporten en el foro, o lo que es lo mismo, las hagan públicas, y así se garanticen justas en las causas judiciales, ya que sería más que pretencioso, imposible que el fallador se especializara en todas las ramas de la ciencia. Dicho lo anterior, tenemos que la auditoria forense es, en términos contables, la ciencia que permite reunir y presentar información financiera, contable, legal, administrativa e impositiva, para que sea aceptada por una corte o un juez en contar de los perpetradores de un crimen económico, como en este caso, el lavado de activos (contaduría forense) En sus inicios la auditoria forense se aplicó en la investigación de fraudes en el sector público, considerándose un verdadero apoyo a la tradicional auditoria gubernamental, en especial ante delitos tales como: enriquecimiento ilícito, peculado, cohecho, soborno, malversación de fondos, etc, sin embargo, la auditoria forense no se a limitado a los fraudes propios de la corrupción administrativa, sino que también ha diversificado su portafolio de servicios para participar en investigaciones relacionadas con crímenes fiscales, el crimen corporativo, el lavado de dinero y terrorismo, entre otros. En ese sentido, el auditor forense puede desempeñarse tanto en el sector público como privado, prestando apoyo procesal que va desde la recaudación de pruebas y el peritaje. De la misma forma, su labor no solamente se destaca en las investigaciones en curso, sino en etapas previas al fraude, es decir, el contador público actúa realizando investigaciones y cálculos que permitan determinar la existencia de un delito y su cuantía para definir si se justifica el inicio de un proceso; situación ésta, que aplica también para las investigaciones de crimen corporativo que se relacionan con fraude contable ante la presentación de información financiera inexacta por manipulación I intencional, falsificación, lavado de activos, etc. Con todo, si no fuera por esta especialidad de la ciencia, no podríamos hablar de casos tan conocidos como Enron, Tyco, WorldCom y Parmalat, siendo éste el más reciente. Por eso, la labor del auditor tradicional difiere de uno forense, quien debe desarrollar dos capacidades, en principio opuestas para llevar a cabo su trabajo con éxito. Una de ellas es la habilidad de escudriñar pequeños detalles sin perder de vista el gran entorno, o en otras palabras dicho y de manera metafórica, el auditor forense "debe percatarse de las hojas al tiempo que contempla el bosque". Y por otro desde las cuales ven circunstancias relativamente fáciles de detectar, como un simple robo, hasta situaciones de suma complejidad, como la manipulación de estados financieros y los delitos de "cuello blanco". La principal diferencia entre una auditoria forense y una tradicional, es que la primera descansa en la experiencia de expertos que trabajan con evidencia delicada, con abogados, con agencias estatales y el sistema legal. Su trabajo está dirigido para ambientes legales o cuasi jurídicos. La Auditoria Tradicional se realiza sin este enfoque, sólo se dedica a llevar los programas para obtener una seguridad razonable basada en sus evidencias. Por lo tanto, existe la necesidad de preparar personas con visión integral, que faciliten evidenciar especialmente, delitos como: la corrupción administrativa, el fraude contable, el delito en los seguros, el lavado de dinero y el terrorismo, entre otros. Dicho lo anterior, ya estamos preparados para establecer el manejo de la prueba en términos de auditoría forense. Las pruebas o medios probatorios como también han sido denominados tienen un objeto, un tema y un fin. El primero, se refiere a los hechos y afirmaciones; el segundo, hace relación a los hechos que deben ser investigados en cada proceso, y el tercero, tiene que ver con el cometido de las pruebas, ya que estas persiguen la búsqueda de la verdad, pero aquí lo importante es que la verdad real coincida con la verdad procesal que se desprende de la investigación y del expediente. La Auditoria Forense es muy usada en otros países, tanto así, que en los Estados Unidos de América ya se ha conformado la Asociación de Contadores Forenses (en inglés Asociación of Forensic Accountants – NAFA) que es una asociación profesional de firmas de contabilidad dedicada a la investigación. Los miembros de está asociación brindan respaldo profesional para las reclamaciones a la industria de seguros y a los clientes en los distintos procesos de litigios. Existe en ese país, Europa y Australia, un sinnúmero de firmas especializadas en lo que ellos mismos se han autodenominado detectives financieros. Más aún. En algunas firmas de las llamadas firmas grandes de contabilidad en los Estados Unidos de América, se puede encontrar con un departamento especializado llamado precisamente, el Departamento de Auditoria Forense (Forensic audit.) 7. Auditor forense Los investigadores privados en el mundo de los negocios son los auditores forenses, los que utilizan herramientas investigativas para conducir la búsqueda a través de los ingresos y cuentas corrientes de las compañías o individuos. Su habilidad va estar basada en responder inmediatamente y comunicar de manera clara y concisa la información financiera ante la Corte. Ellos están preparados para mirar a través de los números y determinar la situación real de los negocios. El Auditor Forense analiza, interpreta, recopila y presenta complejas finanzas y los flujos de manera que sean entendibles, como correctamente sustentados con el fin ulterior de asistir a la justicia en los aspectos contables. El Contador, pues, en su capacidad de auditor forense con su experiencia cumple está función de localizar y aportar estas pruebas documentales a los distintos procesos judiciales ya sean éstos de carácter civil, penal, de familia, comercial, fiscal, laboral, etc, es decir, todas las ramas del derecho. 7.1. Responsabilidades y riesgos del auditor forense Dada la naturaleza de la Auditoría Forense que desarrolla su trabajo en estrecho vínculo con la justicia es importante distinguir el tipo de compromiso que el auditor debe asumir. Por ejemplo: Una disputa es un conflicto entre partes que puede establecerse en la corte, fuera de ella o puede llevarse a una acción judicial. Una disputa judicial es un conflicto potencial entre las partes que incluye la sospecha del ilícito o actividad ilegal que si se materializa puede establecerse fuera de la corte o puede llevarse a los procedimientos judiciales. Una acción legal es un procedimiento judicial instituido para reajustar un mal (acción civil) o para buscar el castigo por una ofensa delictiva (acción penal). Por otro lado, varios son los involucrados en el trabajo del auditor forense, así tenemos: Individuos o las organizaciones involucradas directamente en las disputas reales o la acción legal. La parte que hace las alegaciones o que tiene las sospechas, quien debe demostrar que se cometió un hecho doloso o de haber sufrido una pérdida. La parte contra quien se hace las alegaciones o se tienen las sospechas, quien debe defenderse contra las alegaciones o sospechas. Abogados y el mediador o la corte responsable de establecer la disputa o juzgar la acción legal. Como hemos visto por el grado de compromiso envuelto entre las partes involucradas, la conclusión y el consejo que el auditor forense suministre producirá un impacto determinante en el resultado de una disputa o acción legal, por lo tanto el auditor forense debe ser conciente de esta responsabilidad al aceptar un compromiso de este tipo. El auditor forense normalmente desarrolla su trabajo en un ambiente emocionalmente cargado y conflictivo por lo tanto debe tener en cuenta este ambiente particular y debe tratar siempre a las partes involucradas con el respeto y dignidad correspondientes. Antes de aceptar un compromiso de Auditoría Forense, el auditor debe asegurarse de estar libre de cualquier conflicto de intereses que podrían dañar su juicio y objetividad. Asimismo, debe determinar si posee el conocimiento necesario para el campo de especialización relacionado al compromiso y si posee la experiencia suficiente para desarrollar este tipo de trabajo. Por otro lado, debe asegurarse de tener un claro entendimiento del objetivo del compromiso y si las condiciones del mismo son aceptables, caso contrario si existen reservas sobre la buena fe del cliente o la racionalidad de las demandas debe considerarse la posibilidad de declinar el compromiso. El acuerdo de compromiso entre el auditor forense y el cliente debe fijarse por escrito, debe ser redactado cuidadosamente, pues pudiera utilizarse en la corte y podría ser usado en su contra exponiéndolo de esta manera a una posición de riesgo que podría minar su credibilidad. Al realizar su trabajo el auditor forense nunca debe pensar que las técnicas forenses reemplazarán a las normas, reglas o prácticas relacionadas a su especialización, por lo tanto nunca debe dejar de aplicar los conocimientos relacionados a su especialidad tales como contabilidad, finanzas, aseguramiento y control, y apoyar su análisis en la legislación pertinente. Dada la implicancia que tendrá el trabajo del auditor forense, la planificación de su auditoría debe ser continuamente ajustada a los cambios en los compromisos asumidos, así como a los nuevos hechos que surjan. Estos cambios en la naturaleza y dirección del trabajo deben ser comunicados inmediatamente a las personas que participan en el trabajo. Otro aspecto importante es la conclusión que emitirá el auditor forense, el mismo que debe apoyarse en evidencias apropiadas y suficientes como son las notas de las entrevistas, declaraciones dadas por escrito, pistas, análisis y documentos de apoyo que sean admisibles por Ley. Para concluir debemos señalar que el auditor forense debe documentar adecuadamente la evidencia de su trabajo; es decir, sus papeles de trabajo que explican los métodos usados, análisis efectuado, los hechos básicos, los datos coleccionados, las asunciones aceptadas, conclusión formulada y la evidencia recaudada que apoya su conclusión. 7.2. El perfil del auditor forense En adición a los conocimientos de contabilidad y auditoría habituales, para la formación del auditor forense se debe incluir aspectos de investigación legal y formación jurídica, con énfasis en la recolección de pruebas y evidencias. El auditor forense debe tener amplios conocimientos en el campo a auditar. Los principios y las disposiciones legales vigentes, las normas internacionales de auditoría, técnicas y procedimientos de auditoría a emplearse y experiencia en la realización de estas labores. El auditor debe estar altamente calificado para manejar la información y las técnicas de análisis y revisar el proceso de control designado por la administración. Asimismo, entre las principales competencias para asumir el compromiso de una auditoría forense, tenemos: Ser perspicaz, Conocimiento de Psicología, Una mentalidad investigadora, Mucha auto motivación, Trabajo bajo presión, Mente creativa, Habilidades de comunicación y persuasión, Habilidad de comunicar en las condiciones de ley, Habilidades de mediación y negociación, Habilidades analíticas, Creatividad para poder adaptarse a las nuevas situaciones, Experiencia en el campo de la auditoría. Actualmente, para la formación de los auditores forenses no existen programas de tipo universitario, dado de que la formación básica es la de Contador Público. Sin embargo, en los Estados Unidos de Norteamérica existen programas de entrenamiento y conferencias organizadas por el Institute of Internal Auditors, la Nacional Asociación of Certified Fraud Examiners, y la National Associations of Accountants, con un marcado sello de tipo profesional. Según un estudioso de la Auditoría Forense, Bologna. J. and R. Lindquist (1995) señala que la formación de un auditor forense debe cubrir por lo menos, además de la carrera de Contador Público las siguientes áreas; legal, auditoría, organizacional, investigativa y de administración de riesgos, como mínimo. La mayoría de temas que tratan esta áreas son las relacionadas al fraude, controles, sistemas de prevención, irregularidades, características psicosociales de los ladrones y desfalcadores, tipos de robo, desfalco, etc. Bibliografía. http://www.virtual.unal.edu.co/cursos/sedes/manizales/4060035/lecciones/Cap2Politicas.html http://www.unal.edu.co/dnic/docs/guia_para_elaborar_politicas_v1_0.pdf http://www.monografias.com/trabajos65/auditoria-forense/auditoria-forense.shtml